Hvis du følger produktsikkerhetsmerknader eller de siste medisinske overskriftene, har du kanskje hørt at eldre Medtronic insulinpumper blir kalt usikre og sårbare for cyberangrep.
Jepp, FDA og Medtronic har begge utstedt feltsikkerhetsvarsler om eldre pumper i Revel og Paradigm-serien, enheter som i noen tilfeller er fra et tiår opp til nesten 20 år nå. Her er FDA-varselet, og pasientbrevet fra Medtronic selv.
De berørte enhetene inkluderer: Minimed 508 (først lansert i 1999), Paradigm-modellene (511, 512/712, 515/715, 522/722 og eldre versjoner av 523/723), samt den eldre Minimed Paradigm Veo-versjoner selges utenfor USA
Ingen grunn til panikk
Før noen blir helt freaked om insulinpumpesikkerhet, la oss være tydelige at både FDA og Medtronic bekrefter at det har vært NULL rapporter om noen form for manipulering med disse pumpene. Så til tross for de oppsiktsvekkende overskriftene, er et skummelt scenario der noen skumle cyberhacker omprogrammerer en persons pumpe for å levere for mye insulin, fortsatt fôr for TV- eller filmplott. Selv om noe sånt teoretisk kan være mulig, er det mer sannsynlig at den virkelige risikoen er en feil CGM-sensoravlesning som får pumpen til å levere for mye eller for lite insulin i disse eldre modellene.
Den offisielle meldingen fra FDA er ganske enkelt byrået som gjør jobben sin med å advare folk om potensielle farer som kan eksistere. Det er enda en "null dag" -hendelse - som advarselen om Animas-insulinpumper tilbake i 2016 - der produsenten er tvunget til å avsløre sårbarhet som kunne skape risiko.
Enda viktigere, dette er ikke en ny utvikling. Forestillingen om at Medtronic-pumper er sårbare, har vært offentlig siden 2011, da vanlige medier rapporterte at "White Hat" -hacker Jay Radcliffe hadde klart å bryte inn i koden til en insulinpumpe, og vanlige medier var over det hele. Selv to kongresmedlemmer på den tiden ble fanget i sprøytenarkomanen, og i de påfølgende årene har og relaterte cybersikkerhetsproblemer sirkulert mens FDA og føderale myndigheter utarbeidet retningslinjer og protokoller for mulige cybersikkerhetsproblemer innen medisinsk teknologi.
Ikke en tradisjonell tilbakekalling
Til tross for rapportering i vanlige medier bekrefter Medtronic med oss at dette ikke er en tradisjonell tilbakekalling av produkter. “Dette er bare et sikkerhetsvarsel. Påvirkede pumper er ikke pålagt å returneres på grunn av dette varselet, ”sier Pam Reese, Medtronic Diabetes’ direktør for global kommunikasjon og bedriftsmarkedsføring.
Hun forteller oss at folk som bruker disse eldre pumpene fortsatt kan bestille forsyninger fra Medtronic og fra distributører.
Hva skal du egentlig gjøre hvis du har en av de berørte pumpene?
“Vi anbefaler at du snakker med helsepersonell for å diskutere cybersikkerhetsproblemet og trinnene du kan ta for å beskytte deg selv. I mellomtiden er spesifikke instruksjoner å holde insulinpumpen din og enhetene som er koblet til pumpen din til enhver tid, og ikke dele pumpens serienummer med noen, sier Reese.
Hvorfor gi advarsel nå?
Dette er det store spørsmålet for mange sinn i pasientmiljøet.
Hvis Medtronic og FDA har vært klar over dette sårbarheten i åtte hele år, og nå er alle disse eldre generasjons Minimed-insulinpumper faktisk avviklet og utenfor markedet for nye kunder i USA, hva som førte til et varsel for øyeblikket ?
Medtronic's Reese sier: “Det har vært en pågående samtale fordi cybersikkerhetsbeskyttelse stadig utvikler seg ettersom teknologien fortsetter å forbedre seg raskt og tilkoblede enheter må følge med i dette tempoet ... Vi ble gjort oppmerksom på dette i slutten av 2011, og vi begynte å implementere sikkerhetsoppgraderinger. til pumpene våre på den tiden. Siden den gang har vi gitt ut nyere pumpemodeller som kommuniserer på helt forskjellige måter. Med den økende oppmerksomheten rundt cybersikkerhet i medisinsk utstyrsindustri i dag, følte vi at det var viktig for våre kunder å forstå problemene og risikoen mer detaljert. ”
Det kan være, men det som også har skjedd de siste årene er fødselen og den eksponentielle veksten av #WeAreNotWaiting DIY diabetes teknologi bevegelse; i dag lager tusenvis av mennesker over hele verden sine egne hjemmelagde systemer med lukket sløyfe. Mange av disse blir bygget basert på disse eksakte eldre modellene av Medtronic-pumper som selskapet plutselig har bestemt seg for å snakke ut om.
Medtronic sier at de allerede har identifisert 4000 direkte kunder som kan bruke disse eldre enhetene som muligens er i fare, og vil jobbe med tredjepartsdistributører for å identifisere andre.
Mistenkelige sinn kan tenke på to mulige årsaker til en plutselig advarsel nå:
- FDA bruker denne "potensielle risikovarslingen" som et middel til å tampe ned den økende bruken av DIY-teknologi som ikke er regulert eller godkjent for kommersielt salg.
- Og / eller Medtronic gjør et konkurransedyktig sjakkflytt her, og støtter et varsel om cybersikkerhet for å skremme folk fra å bruke eldre enheter utenfor garantien, og i stedet presse kundene til å oppgradere til nyere, "sikrere" enheter som 630G og 670G Hybrid Closed Loop-system.
For bare noen uker siden på vårt D-Data ExChange-arrangement 7. juni ble den store kunngjøringen gitt at Medtronic ville begynne å jobbe med open source non-profit Tidepool for å lage en ny versjon av insulinpumpen som vil være interoperabel med andre produkter og med den fremtidige Tidepool Loop-appen som utvikles for Apple Store. Det er mulig Medtronic håper å legge grunnlaget for at DIYere holder seg til Medtronic-produkter, ikke bare de eldre versjonene de ikke lenger ønsker å være ansvarlige for.
Ikke målrettet mot DIY-systemer?
Ikke glem at FDA i mai 2019 utstedte en advarsel om DIY-teknologi og systemer som er "off-label", selv om de bruker FDA-ryddede enheter i systemkomponentene. Men byrået sier at disse to varslene ikke er relatert.
"Dette er et eget problem fra DIY-teknologi-advarselen," forklarer Alison Hunt i FDAs mediesakerkontor. "FDA ble gjort oppmerksom på flere sårbarheter knyttet til disse pumpene, som, når de ble vurdert med de som ble avslørt i 2011, førte oss til å utstede denne sikkerhetskommunikasjonen og Medtronic til å utstede denne siste varslingen."
Hun påpeker at denne siste sikkerhetskommunikasjonen "spesielt diskuterer sikkerhetsproblemet med cybersikkerhet der en uautorisert person potensielt kan koble seg trådløst til en nærliggende MiniMed insulinpumpe og endre pumpens innstillinger for å enten overlevere insulin til en pasient, noe som fører til lavt blodsukker (hypoglykemi). ), eller stoppe insulinleveransen, noe som fører til høyt blodsukker og diabetisk ketoacidose. ”
Hunt sier at FDA har løpende diskusjoner med produsenter, og når det oppstår bekymringer, "jobber vi raskt med å utvikle en handlingsplan, inkludert hvordan man kan dempe eventuelle sikkerhetsproblemer og hvordan vi effektivt kan kommunisere med publikum så raskt som mulig."
OK, men ingenting av dette forklarer nøyaktig hvorfor det i dette tilfellet tok år å løse et kjent cybersikkerhetsproblem ...?
Som nevnt ovenfor ser mange i D-samfunnet dette som et forsøk på å målrette DIY-teknologi, samt å hente inn nye kunder til den nyeste Medtronic-teknologien. Innenfor #WeAreNotWaiting-samfunnet har mange kritisert de nylige FDA-tiltakene - advarslene om DIY-teknologi og denne eldre tekniske cybersikkerheten - som kortsiktige, spesielt gitt forekomsten av unøyaktige CGM-avlesninger og virkelige problemer med kommersielt regulerte diabetesenheter. der ute. Et #WeAreNotWaiting-medlem gravde til og med inn i en ny FDA-bivirkningsrapport som ble utgitt i juni 2019, og så på de siste to tiårene av uønskede hendelser, og fant at Medtronic insulinpumper alene i 2018 var ansvarlige for 11,5% av alle hendelsene.
Whoa! Gjør matematikken, og det er klart at kommersielle, FDA-ryddede enheter har problemer alene.
Det er absolutt mulig at dette akkurat er som det ser ut til å være pålydende: offisiell anerkjennelse av en cybersikkerhetsfeil for gammel teknologi som går forut for Bluetooth-tiden med datadeling og fjernovervåking. Men hvorfor tok det nesten et tiår å realisere seg til handling?
Mens svaret på "Hvorfor nå?" på dette er fortsatt uklart, vi vet at FDA har vært en venn av #WeAreNotWaiting-samfunnet gjennom årene. De har vært mottakelige for åpen kommunikasjon med pasientsamfunnet. Vi vet også at det er reelle ansvars- og sikkerhetsproblemer med DIY-teknologi, og at FDA har vært veldig målt i å håndtere de potensielle risikoene. La oss håpe den trenden fortsetter.
I mellomtiden er vi ganske sikre på at ingen hacker pumper for å drepe mennesker. Fryktfrykt hjelper ingen - verken DIY-samfunnet eller farmasøytene selv.