Riziko hackování inzulínových pump v animacích OneTouch Ping?

Riziko hackování inzulínových pump v animacích OneTouch Ping?
Riziko hackování inzulínových pump v animacích OneTouch Ping?

Women's Wellness Fitness Open Class | Siberian Power Show 2020

Women's Wellness Fitness Open Class | Siberian Power Show 2020

Obsah:

Anonim

Zprávy se víří o nových svědectvích, že inzulínová pumpa Animas OneTouch Ping je ohrožena hackerem, protože výrobce vydává pacienta uklidňující dopis, který obsahuje tipy na snížení rizika cyber-bezpečnosti.

V úterý 4. října vydala společnost Animas, která vlastní JnJ, upozornění na počítačovou bezpečnost pro uživatele zařízení OneTouch Ping, které bylo k dispozici od roku 2008 a komunikuje s měřičem glukózy pro dálkové ovládání.

Společně zkoumali tuto záležitost od té doby, co FDA a Ministerstvo vnitřní bezpečnosti oznámili, a nyní o šest měsíců později, jsou ochotni veřejně odhalit problematiku o tom, jak s ní bojovat.

Samozřejmě, hlavní média zvedla příběh rychle, i když ne docela k šílenství, které jsme v minulosti viděli. Zdravotnické zařízení hacking vždy dělá pro šťavnaté zprávy, a byl spiknutí linky v populárních televizních pořadech jako The Blacklist před několika lety.

V tomto případě Animas říká, že riziko je extrémně nízké a neexistují žádné důkazy o tom, že by někdo vlastně hackoval do zařízení. Místo toho se jedná o událost "nulového dne", při níž je společnost povinna vystavit zranitelnost pro transparentnost rizika

a nabídnout opravy. Abychom byli jasní, my na minci

si nemyslíme, že to je zvláště ohrožující. Upřímně řečeno, je pravděpodobné, že uvidíme baterii telefonu Samsung Note 7, která exploduje poblíž, než aby někdo vnikl do inzulínové pumpy, aby uškodil. Nicméně bezpečnost našich zařízení musí být brána vážně; je to důležité téma, na kterém FDA v současné době uvažuje o konečném pokynu pro výrobce, i když mluvíme (po veřejném termínu pro připomínky na začátku tohoto roku o návrhu pokynů).

Nyní se pumpa Animas stává nejnovějším zařízením, které má zvýšit červené vlajky o možných nebezpečích …

Animas vysvětluje problém

JnJ před několika dny organizoval konferenční hovor s malým množstvím diabetických médií a obhajoval diskutovat o tomto problému. Na této výzvě byli vedoucí lékař JnJ Dr. Brian Levy a viceprezident pro bezpečnost informací Marene Allison.

Vysvětlili, že JnJ v dubnu zřídil internetovou stránku pro pacienty o možných obavách z kybernetické bezpečnosti, který byl spojen s pokyny FDA a přišel po 18 měsících diskuse mezi výrobcem, divizí Cyber-Security FDA a oddělením.vnitřní bezpečnosti.

Brzy po nastavení tohoto místa dostali od Radcliffe slovo o tomto konkrétním bezpečnostním nedostatku v programu Animas Ping - konkrétně to, že nešifrovaná rádiová frekvence používaná k povolení vzdálené komunikace mezi čerpadlem a měřičem by mohla potenciálně aby někdo mohl dodat inzulín až do vzdálenosti 25 stop (Radcliffe zveřejnil technické údaje na této webové stránce pro informace o bezpečnosti Rapid7).

J & J Animas zdůrazňuje, že nikdo neopustil OneTouch Ping. Radcliffe spíše provedl testování v "kontrolovaném prostředí", jen aby dokázal, že se

mohl dostat do přístroje a tím odhalit potenciální riziko. Mluvčí společnosti vysvětlili, že se rozhodli nevydávat rozsáhlou aktualizaci dálkového ovladače kvůli velmi nízkému riziku a skutečnosti, že riziko může být zmírněno několika snadnými kroky. Oprava patchů zřejmě není vzhledem k použitému rádiovému kmitočtu možná, protože by stávající systémy byly nepoužitelné.

Dopis, který společnost zaslala 114 000 pacientům Ping a jejich lékařům v USA a Kanadě, poskytla tyto rady dotčeným osobám:

Nastavit vibrační výstrahy:

Zapnout funkci vibrací pro inzulínovou pumpu, která upozorní uživatele, že dávka bolusu začíná dálkovým ovladačem. To dává uživateli možnost zrušit nežádoucí bolus a samozřejmě je možné pouze změnit základní bolusové a bazální nastavení ze samotného čerpadla.

Sledujte histologii inzulínu: Animas naléhavě vyzývá uživatele Ping, aby uchovávali záznamy o historii inzulinu v rámci čerpadla. Každé množství dávky inzulínu, ať již je spuštěno měřením nebo čerpadlem, je zaznamenáno v této historii a může být přezkoumáno kvůli jakýmkoli obavám.

Funkce dálkového ovládání: Tímto způsobem samozřejmě zastavíte komunikaci mezi zařízením One Touch Ping a inzulinovou pumpou, což znamená, že uživatelé nebudou schopni vidět výsledky krevního cukru na čerpadle nebo používat metr pro kontrolu dávkování bolusu. Místo toho by uživatelé museli ručně zadat BG na čerpadle a bolus z tohoto zařízení.

Limity bolusů: Pro ty, kteří chtějí dále používat glukometr pro dálkové posílení, můžete použít nastavení pumpy k omezení maximálního množství bolusu, množství dodaného během prvních dvou hodin a celkové denní dávky inzulínu. Jakýkoli pokus o překročení nebo překročení těchto nastavení způsobí poplach čerpadla a zabránění dodávání bolusového inzulínu.

Oceňujeme, že společnost Animas podnikla kroky k uklidnění obav a nabídla zdravé tipy těm, kteří by se mohli obávat. Přesto je zvláštní, že trvalo pět let, než se objevila tato slabost v systému Ping, neboť podobná záležitost vyšla v roce 2011 s konkurenčním čerpadlem. Animas říká, že to není problém pro jeho současný systém Animas Vibe, který komunikuje s Dexcom CGM, protože to nezahrnuje stejnou funkci RF umožňující měřiči a čerpadlo vzájemně mluvit. Společnost samozřejmě tvrdí, že plánuje "budovat počítačovou bezpečnost v budoucích zařízeních", jak se bude pohybovat vpřed s produktem.

Cybersecurity Hacker říká …

Pro ty, kteří předtím neslyšeli jméno Jay Radcliffe, je už několik let přední na počítačově bezpečnostní frontě. Při diagnostice s T1D ve věku 22 let se v roce 2011 poprvé objevil na titulních stránkách, když hackloval čerpadlo společnosti Medtronic a uvolnil své poznatky o možných nedostatcích - včetně dálkového posílení funkce - na přední hackerské konferenci.

Pak se v zajímavých událostech spojil s FDA, aby se stal konzultantem v otázkách zdravotní bezpečnosti kybernetické bezpečnosti. A od začátku roku 2014 pracuje pro firmu kybernetické bezpečnosti Rapid7.

Na tuto nejnovější objev Cybersecurity jsme zaútočili.

Tentokrát se liší od situace společnosti Medtronic, říká nám to Radcliffe, protože měl příležitost pracovat s Animas přímo před veřejným odhalením problému. Tentokrát byla veřejná verze zveřejněna ve spojení s upozorněním společnosti na spotřebitele o tom, jak se chránit.

Říká, že je to významné, že je to poprvé, co významný výrobce zdravotnických prostředků proaktivně vydal varování o možných nedostatcích v počítačovém zabezpečení ve spotřebitelském produktu - i když nebyly hlášeny žádné související nežádoucí příhody zákazníkům.

On je spokojený s reakcí Animase, říká, a není ve skutečnosti příliš znepokojen, jak bezpečný a bezpečný OneTouch Ping je pro PWD.

DiabetesMine

. "Pokud se některá z mých dětí stane diabetickou a zdravotnický personál doporučil, pumpu, neváhal bych je dát na OneTouch Ping. "

V budoucnu doufá, že jeho objev a následná práce s dodavatelem zdůrazní, proč je důležité, aby PWD byli trpěliví, zatímco výrobci, regulátoři a výzkumní pracovníci plně prozkoumají těchto velmi složitých zařízení. "Všichni chceme, aby byla nejlepší technologie okamžitě, ale děláme to bezstarostným a náhodným způsobem, který celý proces zpřísňuje všem," řekl nám. Fallout otevřeného zdroje?

Bylo fascinující sledovat konverzaci, která se zaměřuje na aspekty open-source u diabetických zařízení, protože se týká tohoto rizika cybersecurity Animas.

Někteří se domnívali, že to byla zahalená snaha společnosti Animas diskreditovat projekty typu open-source jako Nightscout a #OpenAPS jako riskantní snahy založené na nešifrované komunikaci. Jiní se zajímali o to, zda je Animas spíše zklamáním, aby se zdánlivě vrhlo ruce a řekla: "Hej, hackeři D-zařízení a tvůrci OpenAPS - můžete použít naše pumpy a ne jen ty z Medtronic!"

svět otevřeného zdroje poukázal na to, že tato schopnost využívat dálkově bohatou funkci prostřednictvím nešifrované komunikace je známou otázkou, která představuje malé nebezpečí, ale ve skutečnosti otevírá možnosti všech nových inovací v oblasti D-tech.

"Aktuality o" zranitelnosti "mohou být děsivé, ale skutečnost spočívá v tom, že schopnost číst data a kontrolovat čerpadla přispěla k neuvěřitelnému ekosystému inovace," říká generální ředitel neziskového Tidepool D- vytvoření otevřené platformy pro data a aplikace týkající se diabetu.

"Měli bychom hledat způsoby, jak to udělat víc a tato inovace učinila terapii

více

bezpečnou a efektivní. Výrobci zařízení mohou zpřístupnit své protokoly pro kontrolu dat bezpečnými a bezpečnými způsoby "

Podívejte se, že to není o otevřeném zdroji, ale spíše o vyvážení rizika otevřených dat a kontrolních protokolů s výhodou umožňující inovace ze strany společnosti - nebo mimo zdi konkrétních výrobců zařízení. Někteří z pacientů a komunita s otevřeným zdrojem se obávají, že tyto děsivé titulky mohou přimět výrobce zařízení a regulátory, aby si mysleli, že jediným způsobem, jak zabezpečit zařízení, je převzít kontrolní protokoly. Ale to by nemělo být. "Ano, zajistěte je v budoucích zařízeních bezpečná, ale dokonce i otevřené komunikační protokoly (které jsou velmi těžké využít, jako jsou tyto) jsou lepší než nikdo," říká Look. "Umožňují živý ekosystém inovací, by měla katalyzovat a povzbudit. "

Vyhodnocování zdravotnického zařízení Cybersecurity

Samozřejmě, kybernetická bezpečnost v lékařských zařízeních je stále horší téma, které zkoumá mnoho odborníků a organizací.

V květnu 2016 společnost založená v Kalifornii Diabetes Technology oznámila svůj projekt DTSec (DTS Cybersecurity Standard for Connected Diabetes Devices), který byl vytvořen s podporou FDA, NIH, Homeland Security, NASA, US Air Force a Národní institut standardů a techniky! To bylo v práci asi rok a nyní probíhá.

Vedoucí DTS Dr. David Klonoff, endokrinolog z Kalifornie a lékařský ředitel Institutu pro výzkum diabetu v zařízení Mills-Peninsula Health Services, říká, že organizace nyní přijímá výrobci přístrojů, aby přijali a vyhodnotili své výrobky pomocí nového standardu DTSec . Říká, že skupina je v diskusích s "několika průmyslovými hráči" a očekávají, že se výrobci budou brzy přihlásit.

Animas dosud nezaregistroval žádný zájem na podpoře nového standardu DTS cybersecurity. Společnost se místo toho rozhodla, že se ve spolupráci s FDA rozhodne projednat svůj problém.

Ale s regulátory FDA za novým standardem se zdá být jen otázkou času, než budou společnosti nuceny dodržovat.

Klonoff si myslí, že bude založen na třech klíčových faktorech:

DTS spolupracoval s FDA na vytváření standardu DTSec a dala jí pravou regulační důvěryhodnost

Společnosti budou mít pocit, že je to konkurenční výhoda prokazující, že mají dobrou počítačovou bezpečnost . To jim dovoluje zdokumentovat, že …

Ty společnosti, které se vyvíjejí, by mohly nakonec být potenciálně odpovědné buď za regulační pokuty, nebo za potenciální soudní spory, pokud by proti nim došlo někdy k počítačovým bezpečnostním sporům; pokud neplní tento standard DTSec, může být obtížnější uplatnit nárok, že neudělali nic špatného.

  1. "Očekávám, že to dopadne, a zatímco mluvíme s několika výrobci přístrojů v USA, pracujeme také na tom, aby se toto mezinárodní," říká Klonoff.
  2. Co se týče specifického problému cybersecurity v Animase, Klonoff říká, že věří, že jde o případovou studii o tom, jak by měly být tyto potenciální problémy řešeny ze všech stran. Ocenil J & J za to, že "tuto zodpovědnost zvládne" tím, že bude spolupracovat s FDA a Radcliffe, a nabídne nápravné prostředky, které tuto záležitost řeší.

"Tak by se to mělo dělat, místo aby se vytvářelo strach, aniž by byly nějaké opravy pro pacientskou komunitu, nebo by to nefungovalo," řekl Klonoff. "Takhle FDA chce, aby se s těmito problémy s počítačovou bezpečností zacházelo. Každý zde provedl správné hlášení a analýzu a ukazuje, že existuje naděje na počítačovou bezpečnost. Toto je příběh o kybernetické bezpečnosti, který má docela dobrý konec. "

Určitě doufáme.

Odmítnutí odpovědnosti

: Obsah vytvořený týmem Diabetes Mine. Pro více informací klikněte zde.

Odmítnutí odpovědnosti

Tento obsah je vytvořen pro Diabetes Mine, blog pro zdraví spotřebitelů zaměřený na diabetickou komunitu. Obsah není lékařsky přezkoumáván a nedodržuje redakční pokyny společnosti Healthline. Více informací o partnerství Healthline s Diabetes Mine naleznete zde.