Ir-riskju tas-sigurtà ċibernetika għal teħid minn pompa tal-insulina?

L-aħbar iddur madwar rivelazzjonijiet reċenti li l-pompa ta 'l-insulina Animas OneTouch Ping hija f'riskju ta' hacking, u l-manifattur ħareġ ittra konvinċenti lill-pazjenti li tinkludi pariri dwar it-tnaqqis tar-riskji tas-sigurtà ċibernetika.

Nhar it-Tlieta, 4 ta’ Ottubru, 2016, ġew rilaxxati annimali proprjetà ta’ JnJ twissija taċ-ċibersigurtà lill-utenti tal-OneTouch Ping, li ilu disponibbli mill-2008 u jikkomunika mal-meter tal-glukożju għat-tagħlim mill-bogħod.

JnJ tgħid li skopriet difett potenzjali bbażat fuq il-parir tal-espert rinomat taċ-ċibersigurtà Jay Radcliffe, li jgħix bit-T1D u ta isem lilu nnifsu. jesponu r-riskji ta 'hacking fil-pompi Medtronic ftit snin ilu. Huwa kkuntattja lill-kumpanija f'April u qal li kien skopra mod kif xi ħadd potenzjalment mhux awtorizzat biex jaċċessa l-pompa permezz tas-sistema ta 'komunikazzjonijiet tal-frekwenza tar-radju mhux kriptata.

Huma investigaw kollettivament il-kwistjoni, innotifikaw lill-FDA u lid-Dipartiment tas-Sigurtà Interna, u issa sitt xhur wara lesti jiżvelaw pubblikament il-problema bl-ispeċifiċitajiet ta 'kif tiġġieledha.

Dażgur, Midja ewlenija fehem l-istorja malajr, għalkemm mhux eżattament għal-livell ta’ rabja li rajna fil-passat. Il-hacking tal-apparat mediku dejjem jikkontribwixxi għal aħbarijiet mmerraq, u ftit snin ilu kien hemm intrigue fi programmi televiżivi popolari bħal The Blacklist.

F'dan il-każ, Animas tgħid li r-riskju huwa estremament baxx u m'hemm l-ebda evidenza li xi ħadd fil-fatt daħal fl-apparat. Minflok, dan huwa "jum żero“avveniment li fih kumpanija tkun sfurzata tesponi vulnerabbiltà minħabba trasparenza għar-riskju potenzjali u toffri korrezzjonijiet.

Biex inkunu ċari, aħna ta’ Rudnik ma naħsbux li dan huwa partikolarment ta’ theddida. Onestament, aħna aktar probabbli li naraw Il-batterija tas-Samsung Note 7 tisplodi eqreb milli tara lil xi ħadd jidħol f’pompa ta’ l-insulina biex jagħmel ħsara.

Madankollu, is-sigurtà tal-apparati tagħna għandha tittieħed bis-serjetà; suġġett importanti li fuqu L-FDA issa qed tikkunsidra linji gwida finali għall-manifatturi kif nitkellmu (wara perjodu ta 'kumment pubbliku aktar kmieni din is-sena dwar abbozz ta' linji gwida).

Issa l-pompa Animas hija l-aħħar apparat biex iqajmu bnadar ħomor dwar perikli potenzjali...

Animas jispjega l-problema

Aktar kmieni din il-ġimgħa, JnJ organizza konferenza ma' numru żgħir ta' midja u avukati tad-dijabete biex jiddiskutu l-kwistjoni. Is-sejħa attendew it-Tabib Ewlieni tal-JnJ Dr Brian Levy u l-Viċi President tas-Sigurtà tal-Informazzjoni Marene Allison.

Spjegaw li f'April, JnJ waqqfet websajt għall-pazjenti dwar kwistjonijiet potenzjali taċ-ċibersigurtà, li kienet marbuta mal-linji gwida tal-FDA u segwa 18-il xahar ta 'taħdidiet bejn il-manifatturi, id-Dipartiment taċ-Ċibersigurtà tal-FDA u d-Dipartiment tas-Sigurtà Interna.

Ftit wara li waqqfu s-sit, huma rċevew messaġġ mingħand Radcliffe dwar dan id-difett partikolari tas-sigurtà f'Animas Ping - speċifikament li l-frekwenza tar-radju mhux kodifikata tista' tiġi ffalsifikata biex tippermetti komunikazzjoni mill-bogħod bejn il-pompa u l-miter, li tippermetti lil xi ħadd iwassal sa 25 pied ta' insulina. (Radcliffe ippubblika dettalji tekniċi dwarha) Websajt tas-Sigurtà tal-Informazzjoni Rapid7).

J&J Animas jirrimarka li ħadd ma ħakkja lil OneTouch Ping. Minflok, Radcliffe ttestja f'"ambjent ikkontrollat" biss biex jipprova li seta' jidħol fl-apparat filwaqt li jesponih għal riskju potenzjali.

Kelliema tal-kumpanija spjegaw li ddeċidew li ma joħorġux aġġornament tal-meter remot l-aktar minħabba r-riskju baxx ħafna u l-fatt li r-riskju jista’ jittaffa b’passi sempliċi. "Tiswija tal-garża" jidher li mhix possibbli minħabba l-frekwenza tar-radju użata, peress li dan jagħmel is-sistemi attwali inutilizzabbli.

Ittra mibgħuta mill-kumpanija lil 114,000 pazjent Ping u lit-tobba tagħhom fl-Istati Uniti u l-Kanada offriet pariri lill-partijiet interessati:

Issettjar ta 'Twissijiet ta' Vibrazzjoni: Ixgħel il-karatteristika ta 'vibrazzjoni għall-pompa ta' l-insulina, li tinnotifika lill-utent li l-counter remot jiġi attivat minn doża bolus. Dan jagħti lill-utent l-għażla li jikkanċella kwalunkwe bolus mhux mixtieq, u ovvjament, huwa possibbli biss li tbiddel is-settings bażiċi tal-bolus u l-issettjar bażali mill-pompa nnifisha.

Ara l-istorja tal-insulina tiegħek: Animas iħeġġeġ lill-utenti ta' Ping biex iżommu karti tal-istorja tal-insulina ġewwa l-pompa. Kwalunkwe ammont ta 'twassil ta' insulina, kemm jekk attivat b'miter jew pompa, ġie rreġistrat f'din l-istorja u jista 'jiġi rivedut għal kwalunkwe tħassib.

Itfi l-kontroll mill-bogħod tal-meter: Dan, ovvjament, iwaqqaf il-komunikazzjoni tal-frekwenza tar-radju bejn il-gauge tal-pressjoni tal-ping wieħed u l-pompa tal-insulina, li jfisser li l-utenti mhux se jkunu jistgħu jaraw ir-riżultati taz-zokkor fid-demm fuq il-pompa tagħhom jew jużaw il-meter biex tikkontrolla d-dożaġġ tal-bolus. Minflok, l-utenti jkollhom jidħlu manwalment BGs fuq il-pompa u bolus minn dak l-apparat.

Illimita l-ammonti tal-bolus: Għal dawk li jixtiequ jkomplu jużaw il-meter tal-konnessjoni remota, tista 'tuża s-settings tal-pompa biex tillimita l-ammont massimu tal-bolus, l-ammont mogħti fl-ewwel sagħtejn, u d-doża totali ta' insulina ta 'kuljum. Kwalunkwe tentattiv biex taqbeż jew taqbeż dawn is-settings jattiva l-allarm tal-pompa u jipprevjeni t-twassil bl-uġigħ ta' l-insulina.

Napprezzaw li Animas qed tieħu passi biex itaffi l-biżgħat u tipprovdi pariri tajbin għas-saħħa lil dawk li jistgħu jkunu kkonċernati. Xorta waħda, hija stramba li damu ħames snin biex jinstabu din id-dgħufija fis-sistema Ping peress li problema simili qamet lura fl-2011 b'pompa rivali.

Animas jgħid li din mhix problema għall-kurrent tiegħu Sistema Animas Vibe li jikkomunika mad-Dexcom CGM għax ma jinkludix l-istess funzjoni RF li tippermetti li l-meter u l-pompa jitkellmu ma’ xulxin. Madankollu, il-kumpanija tgħid li qed tippjana li "tinkorpora ċ-ċibersigurtà f'apparati futuri" hekk kif timxi 'l quddiem bil-pipeline tal-prodotti tagħha.

Hacker taċ-ċibersigurtà jgħid...

Għal dawk li ma semgħux bl-isem ta’ Jay Radcliff qabel, huwa ilu prominenti fuq il-front taċ-ċibersigurtà għal diversi snin. Iddijanjostikat bit-T1D fl-età ta’ 22 sena, huwa kiteb l-ewwel titolu fl-2011 waqt li kien ikkontrolla pompa Medtronic u ppubblika l-għarfien tiegħu dwar in-nuqqasijiet potenzjali – inkluża l-karatteristika tat-tortura remota – f’konferenza ewlenija tal-hacking.

Imbagħad f'dawra interessanti ta 'avvenimenti, hu ingħaqdu mal-FDA issir konsulent dwar kwistjonijiet ta’ ċibersigurtà medika. U issa ilu jaħdem għall-kumpanija taċ-ċibersigurtà Rapid7 mill-bidu tal-2014.

Tkellimna miegħu dwar din l-aħħar skoperta taċ-ċibersigurtà ta’ Animas.

Din id-darba hija differenti mis-sitwazzjoni ma' Medtronic, jgħidilna Radcliffe, fis-sens li kellu l-opportunità li jaħdem direttament fuq Animas qabel ma jiżvela pubblikament il-kwistjoni. Din id-darba, ir-rilaxx pubbliku kien ibbażat fuq informazzjoni tal-konsumatur dwar kif jipproteġu lilhom infushom.

Jgħid li huwa sinifikanti li din hija l-ewwel darba li manifattur ewlieni ta’ apparat mediku ħareġ twissija b’mod proattiv dwar difetti potenzjali fis-sigurtà tal-kompjuter fi prodott tal-konsumatur – anke meta l-klijenti ma rrappurtaw l-ebda avveniment avvers.

Huwa kuntent bir-rispons ta 'Animas, jgħid, u fil-fatt mhuwiex imħasseb żżejjed dwar kemm OneTouch Ping huwa sigur u sigur għall-persuni b'diżabilità.

"Mhux perfett, imma mhu xejn," kiteb Radcliffe f'email lil DiabetesMine. "Jekk wieħed mit-tfal tiegħi sar dijabetiku u l-istaff mediku irrakkomanda li jpoġġihom fuq il-pompa, ma noqgħodx lura milli npoġġihom fuq OneTouch Ping."

Fil-futur, jittama li l-iskoperta tiegħu u x-xogħol sussegwenti mal-fornitur jenfasizzaw għaliex huwa importanti li l-PWDs ikunu paċenzjużi, filwaqt li l-manifatturi, ir-regolaturi u r-riċerkaturi qed jesploraw bis-sħiħ dawn l-apparati kumplessi ħafna.

"Ilkoll irridu l-aħjar teknoloġija bħalissa, imma jekk isir b'mod imprudenti u każwali, il-proċess kollu jerġa 'lura għal kulħadd," qalilna.

Jabbandunaw sors miftuħ?

Kien affaxxinanti li tara l-konversazzjoni ddur lejn l-aspetti miftuħa tal-apparati dijabetiċi minħabba li hija relatata ma 'dan ir-riskju taċ-ċibersigurtà f'Animas.

Xi wħud ħasbu li kien tentattiv moħbi minn Animas biex jiskredita proġetti open source simili Nightscout i #OpenAPS bħala sforzi riskjużi bbażati fuq komunikazzjoni mhux kriptata. Oħrajn staqsew jekk kienx aktar diffiċli għal Animas li jidher li jgħollu idejhom u jgħidu, "Ħej, D hackers u kreaturi ta' OpenAPS - tista' tuża l-pompi tagħna, mhux biss dawk ta' Medtronic!"

Oħrajn mid-dinja tas-sors miftuħ irrimarkaw ukoll li din il-kapaċità li tuża l-karatteristika tal-bolus remota permezz ta 'komunikazzjoni mhux kriptata hija problema magħrufa li ftit li xejn toħloq periklu, iżda fil-fatt tiftaħ kull xorta ta' possibbiltajiet għal innovazzjonijiet D-tech ġodda.

"L-aħbarijiet dwar il-'vulnerabbiltà' jistgħu jkunu skoraġġanti, iżda r-realtà hija li l-abbiltà li taqra d-dejta u tikkontrolla l-pompi tat fjuwil għal ekosistema aqwa ta 'innovazzjoni," tgħid D-Tata Howard Look, CEO ta' Tidepool mingħajr skop ta' qligħ toħloq pjattaforma miftuħa għad-dejta u l-applikazzjonijiet tad-dijabete.

"Għandna nfittxu modi biex nagħmlu aktar. U din l-innovazzjoni għamlet it-terapija aktar sigura u aktar effettiva. Il-manifatturi tal-apparat jistgħu jagħmlu l-protokolli ta 'kontroll tad-dejta tagħhom disponibbli b'modi sikuri u sikuri li ma joħonqux l-innovazzjoni. Mhuwiex reċiprokament esklussiv."

Ħares tgħid li mhux dwar sors miftuħ, iżda dwar l-ibbilanċjar tar-riskji ta 'data miftuħa u protokolli ta' kontroll bil-vantaġġ li tippermetti l-innovazzjoni mill-komunità - jew barra l-ħitan ta 'ċerti manifatturi ta' apparat.

Xi wħud fil-komunità tal-pazjenti u tas-sors miftuħ huma mħassba li dawn l-aħbarijiet intimidanti jistgħu jwasslu lill-manifatturi u r-regolaturi tal-apparati biex jaħsbu li l-uniku mod biex jipproteġu l-apparat huwa li jitneħħew il-protokolli ta 'kontroll. Iżda dan m'għandux ikun il-każ

"Iva, agħmelhom siguri fuq l-apparati futuri tiegħek, iżda anke protokolli ta 'komunikazzjoni miftuħa (li huma diffiċli ħafna biex jintużaw, bħal dawn) huma aħjar milli xejn," tgħid Ħares. "Huma jippermettu ekosistema ħajja ta 'innovazzjoni li għandna nikkatalizzaw u ninkoraġġixxu."

Valutazzjoni taċ-ċibersigurtà ta' apparat mediku

Naturalment, iċ-ċibersigurtà fl-apparat mediku hija suġġett dejjem aktar jaħraq li qed jiġi esplorat minn ħafna professjonisti u organizzazzjonijiet.

F'Mejju 2016, is-Soċjetà ta 'Kalifornja tat-Teknoloġija tad-Dijabete ħarġet tagħha stess DTSec (Standard ta' Ċibersigurtà tad-DTS għal Apparat Relatat mad-Dijabete), maħluqa bl-appoġġ tal-FDA, NIH, id-Dipartiment tas-Sigurtà Interna, NASA, il-Forza tal-Ajru tal-Istati Uniti u l-Istitut Nazzjonali tal-Istandards u t-Teknoloġija! Ilha topera għal madwar sena u issa għaddejja.

David Klonoff, endokrinologu ta' Kalifornja u direttur mediku tat-tobba tad-DTS Istitut għar-Riċerka dwar id-Dijabete fl-Istituzzjoni tas-Saħħa Mills-Peninsulatgħid li l-organizzazzjoni issa timpjega manifatturi tal-apparat biex jadottaw u jevalwaw il-prodotti tagħhom billi jużaw l-istandard DTSec il-ġdid. Jgħid li l-grupp tkellem ma '"diversi atturi industrijali" u jistenna li l-manifatturi jiffirmaw dalwaqt.

S'issa, Animas ma rrikonoxxietx l-interess li tappoġġja l-istandard DTS il-ġdid għas-sigurtà ċibernetika. Minflok, il-kumpanija għażlet għall-mistoqsija tiegħu internament b'kollaborazzjoni mal-FDA.

Iżda bir-regolaturi tal-FDA wara l-istandard il-ġdid, jidher li hija biss kwistjoni ta 'żmien qabel ma l-kumpaniji jkunu sfurzati jikkonformaw.

Klonoff jaħseb li dan se jkun ibbażat fuq tliet fatturi ewlenin:

  • DTS ħadmet mal-FDA biex toħloq standards DTSec, u tagħtiha kredibilità regolatorja vera
  • Il-kumpaniji se jħossu li dan huwa vantaġġ kompetittiv peress li wrew li għandhom sigurtà ċibernetika tajba. Dan jippermettilhom jiddokumentaw li...
  • Dawk il-kumpaniji li jgħixu jistgħu jkunu potenzjalment responsabbli, jew għal multi regolatorji jew għal litigazzjoni potenzjali jekk qatt jiġu mħarrka għaċ-ċibersigurtà; jekk ma jsegwux dan l-istandard DTSec, jista 'jkun aktar diffiċli li wieħed jallega li ma għamlu xejn ħażin.
  • "Nistenna li tlaħħaq, u hekk kif nitkellmu ma 'diversi manifatturi tal-apparat tal-Istati Uniti, qed naħdmu wkoll biex nagħmluha internazzjonali," tgħid Klonoff.

    Fir-rigward tal-kwistjoni speċifika taċ-ċibersigurtà tal-Animas, Klonoff jgħid li jemmen li huwa studju ta’ każ dwar kif jeħtieġ li jiġu indirizzati problemi potenzjali minn kull naħa. Huwa faħħar l-"immaniġġjar responsabbli tiegħu" ta 'J&J li jaħdem mal-FDA u Radcliffe u li joffri mediċini li jistgħu jsolvu l-problema.

    "Dan huwa kif għandu jsir, minflok ma tinħoloq biża 'mingħajr ebda tiswijiet lill-komunità tal-pazjenti jew titfa' sproporzjonat," qal Klonoff. “Dan huwa kif l-FDA trid tindirizza dawn il-kwistjonijiet ta’ ċibersigurtà. Hawnhekk, kulħadd għamel rappurtar u analiżi xierqa, u dan juri li hemm tama għas-sigurtà ċibernetika. Din hija storja taċ-ċibersigurtà li għandha tmiem pjuttost tajjeb. "

    Żgur li hekk nittamaw.