Cybersikkerhetsproblemer ser ut til å gi oss en endeløs løkke i disse dager. Blant en flom av rapporter om brudd på data, brudd på personvernavtaler og nettangrep i privat og offentlig sektor, kan det være vanskelig å fastslå hva som virkelig er trygt.
Og etter et par hackinger av insulinpumpe for noen år tilbake, kan vi ikke unngå å lure på: hvor står vi når det gjelder sikkerheten til diabetesenhetene våre (og informasjonen de inneholder) i 2019?
Tingen med risiko er at det noen ganger er ekte, og noen ganger oppfattes. Å håndtere reell risiko fører til sikkerhet. Mens besettelse over opplevd risiko fører til frykt. Så hva er ekte her? Og hva blir nøyaktig gjort for å løse cybersikkerhetsproblemer med diabetesteknologi?
Fremgang med medisinske sikkerhetsstandarder
I oktober 2018 utstedte den amerikanske mat- og medikamentadministrasjonen (FDA) veiledning før markedsføring for alle medisinsk utstyr som inneholder cyberrisiko. Senere på høsten ga Health Canada også ut et veiledningsdokument som inneholder cybersikkerhetsanbefalinger som skal brukes av medteknologiske selskaper i utviklings- og testfasen. Tanken er selvfølgelig at ved å følge retningslinjene, vil leverandører bringe enheter til markedet som allerede er sikre, kontra å se enheter hvis sårbarheter oppdages etter markedsføring gjennom pasientbruk.
I følge en Health Canada-pressemelding er blant medisinene cybersikkerhetsanbefalinger i deres utkast til veiledning: 1) å inkorporere cybersikkerhetstiltak i risikostyringsprosesser for alle enheter med programvarekomponent, 2) etablere rammer for å håndtere cybersikkerhetsrisiko på bedriftsnivå og 3) verifisering og validering av alle risikokontrollprosesser for cybersikkerhet. De anbefaler spesielt tiltak som implementering av UL 2900 cybersecurity-standarden for å redusere risiko og sårbarhet.
Ken Pilgrim, Senior Regulatory Affairs & Quality Assurance-konsulent i Emergo Group i Vancouver, sa at den nye veiledningen skulle vise seg å være verdifull for produsenter av medisinsk utstyr, ikke bare i Canada, men også andre jurisdiksjoner som utvikler lignende cybersikkerhetskrav.
I mellomtiden trer tiltak for å adressere cybersikkerhet for diabetesenheter spesifikt fremover i USA.
I slutten av oktober kunngjorde Diabetes Technology Society (DTS) at OmniPod DASH hadde blitt den første FDA-ryddede insulinpumpen som fikk sertifisering under DTSs "Standard for Wireless Diabetes Device Security" cybersikkerhetsstandard og program, kjent som DTSec.
DTS ble grunnlagt i 2001 av Dr. David Klonoff med det formål å fremme bruk og utvikling av diabetesteknologi. DTSec er egentlig den første organiserte sikkerhetsstandarden for diabetesteknologi. Tenk på det som et slags sikkerhetsstempel, i likhet med hvordan vi ser en https-nettadresse. Standarden ble etablert i 2016 etter forskning og innspill fra akademia, industri, myndigheter og kliniske sentre. Som de fleste standarder, er det en frivillig veiledning for produsenter å vurdere å adoptere og følge.
Siden den gang har organisasjonen fortsatt å presse cybersikkerhetsforskning og risikovurdering, arrangere konferanser og utvikle mer grundig beskyttelse.
I juni i fjor, noen måneder før kunngjøringen om OmniPod etter DTSec, utgav gruppen ny sikkerhetsveiledning kalt DTMoSt, forkortelse for "Bruk av mobile enheter i Diabetes Control-sammenhenger."
I følge Klonoff, medisinsk direktør ved Diabetes Research Institute ved Mills-Peninsula Medical Center, San Mateo, CA, bygger DTMoSt-retningslinjene på DTSec ved å bli den første standarden med både ytelseskrav og sikkerhetskrav til produsenter av tilkoblet medisinsk utstyr kontrollert av en mobil plattform.
DTMoSt identifiserer trusler, for eksempel ondsinnede fjern- og appbaserte angrep og "ressurssult", for sikker drift av mobile enhetsaktiverte løsninger og gir veiledning til utviklere, regulatorer og andre interessenter for å hjelpe med å håndtere disse risikoene.
Sikkerhetstiltak bør ikke hindre bruk
I dag kan ens glukometer-, CGM- og diabetes-smarttelefon-app alle være koblet til Internett, og derfor åpne for noe risikonivå.
Til tross for fortsatt snakk om farene ved tingenes internett advarer eksperter om at den faktiske risikoen for publikum er ganske lav. Når det gjelder sikkerhet, er dårlige mennesker bare ikke så interesserte i andres blodsukkerdata (sammenlignet med passordet til bankkontoen).
Når det er sagt, er investeringer i cybersikkerhet nødvendige som forebyggende tiltak mot trusler og sikrer grunnleggende sikkerhet for brukere og kunder.
Men ulempen er at implementering av cybersikkerhetstiltak noen ganger kan bety å gjøre et system veldig vanskelig eller umulig å bruke til datadeling på den måten det er tiltenkt. Trikset i ligningen er ikke å begrense muligheten for bruk og tilgang for tiltenkte personer.
Og hva med personvern? Igjen og igjen ser vi at mens folk sier at de prioriterer personvern, ser de ut til å handle på en motstridende måte ved å gi samtykke, bla, initialisere, signere og gi tilgang til informasjon og data med veldig lite reell tanke eller bekymring. Sannheten er at vi forbrukere vanligvis ikke leser personvernreglene veldig nøye, om i det hele tatt. Vi trykker bare på ‘neste’ knappen.
Oppveier frykt og trepidasjon
Mange i bransjen advarer den negative siden av cybersikkerhet: et fokus på frykt som grenser til besettelse, forhindrer forskning og til slutt kan koste liv. Dette er mennesker som anerkjenner at nettverdenen og våre diabetesenheter er åpne for risiko, men føler at overreaksjon er potensielt farligere.
"Hele problemet med" cybersikkerhet i enheter "får mye mer oppmerksomhet enn det fortjener, sier Adam Brown, seniorredaktør i diaTribe og forfatter av Bright Spots & Landmines: Diabetes Guide Jeg ønsker at noen hadde gitt meg. “Vi trenger selskaper til å bevege seg raskere enn de er, og cybersikkerhet kan føre til unødvendig frykt. I mellomtiden er folk der ute med vinger uten data, ingen tilkobling, ingen automatisering og ingen støtte. "
Howard Look, administrerende direktør i Tidepool, D-Dad, og en nøkkelkraft bak # WeAreNotWaiting-bevegelsen, ser begge sider av saken, men er enig med Brown og andre bransjeeksperter som frykter å sjekke hastigheten på medisinsk utvikling.
"Absolutt må enhetsbedrifter (inkludert programvare som medisinsk utstyr, som Tidepool) ta cybersikkerhet veldig, veldig seriøst," sier Look. “Vi ønsker absolutt ikke å skape en situasjon der det er en risiko for et masseangrep på enheter eller apper som kan skade mennesker. Men bilder av ‘hackere i hettegensere’ med hodeskalle og tverrbein på dataskjermer skremmer bare folk som ikke forstår hva som står på spill. Det får enhetsbedrifter til å bremse, fordi de er redde. Det hjelper dem ikke å forstå den rette tingen å gjøre. ” Look refererte til Powerpoint-lysbilder vist på medisinske konferanser med diabetes med uhyggelige bilder som påstår cyberfarer.
OpenAPS og Loop gjør-det-selv-lukkede system som har blitt populære er teknisk basert på en "sårbarhet" i eldre Medtronic-pumper som muliggjør trådløs fjernkontroll av disse pumpene. For å hacke pumpene, må du vite serienummeret, og du må være nær pumpen i 20 sekunder. "Det er enklere måter å drepe noen på, hvis det er det du vil gjøre," sier Look.
Mange hevder at denne foreslåtte "sårbarheten" i sikkerhet, så skummel som den kan være i teorien, er en stor fordel siden den har gjort det mulig for tusenvis av mennesker å kjøre OpenAPS og Loop, redde liv og forbedre livskvaliteten og folkehelsen for de som bruker dem.
En målt tilnærming til risiko
Organisasjoner som DTS gjør et viktig arbeid. Enhetssikkerhet er viktig. Og presentasjoner om forskning og konferanser om emnet er konstanter i bransjen - diabetesteknologi og cybersikkerhet vil være et fokus for flere elementer av den 12. internasjonale konferansen om avanserte teknologier og behandlinger for diabetes (ATTD 2019) som avholdes senere denne måneden i Berlin. Men disse sannhetene fortsetter å eksistere ved siden av den virkeligheten at folk trenger bedre verktøy som er billigere, og vi trenger dem raskt.
"Kjennetegnet på flotte enheter er kontinuerlig forbedring, ikke perfeksjon," sier Brown. "Det krever tilkobling, interoperabilitet og ekstern programvareoppdatering."
Mens enheter er åpne for risiko, ser det ut til at eksperter er enige om at de generelt er ganske trygge og sikre. Fremover gjennom hele 2019 og utover ser det ut til at konsensus er at selv om det er viktig å holde øye med nettrisiko, er risikoen ofte overvurdert og potensielt blekner mot helserisikoen ved ikke å ha avanserte diabetesverktøy.