Inzulin Pump Hacking kockázat az Animas OneTouch Pingben?

Hírek keringenek a friss kinyilatkoztatások miatt, hogy az Animas OneTouch Ping inzulinpumpa veszélyeztetett a hackelésre, és a gyártó nyugtató levelet küld a betegeknek, amely tartalmaz tanácsokat a cybersecurity kockázat csökkentéséről.

Június 4-én, kedden a JnJ tulajdonában lévő Animas kiberbiztonsági riasztást adott ki a OneTouch Ping felhasználóinak, akik 2008 óta elérhetők, és kommunikálnak egy távoli bólusú glükózmérővel.

Természetesen a mainstream média gyorsan felvette a történetet, bár nem egészen az őrület szintjéig, amit a múltban láttunk. Az orvostechnikai eszköz hackelés mindig lédús híreket tesz lehetővé, és néhány évvel ezelőtti népszerű tévéműsorok, mint például a Feketelista.

Ebben az esetben az Animas szerint a kockázat rendkívül alacsony, és nincs bizonyíték arra, hogy valaki ténylegesen betört a készülékbe. Ehelyett ez egy "nulla nap" esemény, amelyben a vállalat arra kényszerül, hogy a

potenciális

kockázatra rákényszerítse az átláthatóság sérülékenységét, és javításokat kínáljon. Ahhoz, hogy világosak legyünk, a Bánya

nem hiszem, hogy ez különösen veszélyes. Őszintén szólva nagyobb valószínűséggel látni fogjuk, hogy a Samsung Note 7 akkumulátora felrobban a közelben, mint látni, hogy valaki bepattan egy inzulin pumpába, hogy kárt okozzon. De ennek ellenére eszközeink biztonságát komolyan kell venni; ez egy fontos téma, amelyen az FDA mostanában a gyártók számára is végső iránymutatásokat mérlegel, még akkor is, ha beszélünk (az idei év elején nyilvános megjegyzési időszakot követően). Most az Animas szivattyú lesz a legfrissebb eszköz a vörös zászlók felemelésére a lehetséges veszélyekkel kapcsolatban …

Animas elmagyarázza a problémát

A hét elején a JnJ konferenciahívást szervezett kis cukorbetegséggel és támogatta megvitassák ezt a problémát. Ezen a felhíváson Dr. Brian Levy, a JnJ orvosi főorvosa és az információbiztonságért felelős alelnök Marene Allison.

Megmagyarázták, hogy a JnJ áprilisban internetes oldalt állított fel a betegek számára a potenciális internetes biztonsággal kapcsolatos aggályok miatt, amelyek az FDA útmutatásához kapcsolódtak, és 18 hónapos vita következtek a gyártó, az FDA Cybersecurity Division és a Dept.a hazai biztonságról.

Nem sokkal azután, hogy feltelepítették ezt a helyet, a Radcliffe-től kapott egy szót az Animas Ping ezen különleges biztonsági hibájáról - konkrétan arról, hogy a szivattyú és a mérő közötti távközlés engedélyezéséhez használt titkosítatlan rádiófrekvencia potenciálisan hogy valaki inzulint szállítson akár 25 méterre is (Radcliffe közzétette a Rapid7 info biztonsági honlap technikai részleteit).

A J & J Animas hangsúlyozza, hogy senki sem sértette meg a OneTouch Pingt. Radcliffe inkább "ellenőrzött környezetben" végezte el a tesztelését, csak azért, hogy bebizonyíthassa, hogy

be tudna ugrani a készülékbe, és így téve ki a lehetséges kockázatokat.

A cég szóvivője elmagyarázta, hogy úgy döntöttek, hogy nem nagy mennyiségű távfelügyeleti távlevelet ad ki a nagyon alacsony kockázat miatt, és az a tény, hogy a kockázatot könnyű lépésekkel mérsékelni lehet. A "patch fix" nyilvánvalóan nem lehetséges a használt rádiófrekvencia miatt, mivel ezáltal a jelenlegi rendszereket használhatatlanná tenné.

Kapcsolja be a vibrációs funkciót az inzulinpumpa számára, amely értesíti a felhasználót arról, hogy a buszadagot a távmérő távvezérlője indítja el. Ez lehetővé teszi a felhasználó számára, hogy törölje a nemkívánatos bóluszt, és természetesen csak az alapvető bolus és alapbeállításokat lehet megváltoztatni a szivattyúról.

Az inzulin előzményeinek megtekintése:

Az Animas sürgeti a Ping felhasználókat, hogy tartsák meg a szivattyú belsejében lévő inzulin előzmények feljegyzéseit. Minden inzulinadagoló mennyiséget, függetlenül attól, hogy a mérő vagy a szivattyú kiváltja-e, fel van jegyezve ebben a történetben, és bármilyen aggály esetén felülvizsgálható.

Kikapcsolja a mérőt Távoli szolgáltatás: Ez persze megállítja a rádiófrekvenciás kommunikációt a One Touch Ping-mérő és az inzulinpumpa között, vagyis a felhasználók nem láthatnak vércukor eredményt a szivattyújukon, vagy nem használhatják a méter a bolus adagolás szabályozásához. Ehelyett a felhasználóknak manuálisan kell beírniuk a szivattyúhoz tartozó BG-eket, és bólist kell adni az eszközről.

A bolusz mennyiségének korlátozása: Azok számára, akik továbbra is használni szeretnék a távvezérlőt, a szivattyú beállításai segítségével csökkentheti a maximális bolus mennyiségét, az első két órában leadott összeget és a teljes napi adagot az inzulin. Az ilyen beállítások túllépésére vagy felülbírálására tett kísérletek szivattyú riasztást és a bolus inzulin szállítást megakadályozzák.

Nagyra értékeljük, hogy az Animas intézkedéseket hoz a bátorság nyugtatására és hangos tippeket nyújtva azoknak, akik aggódhatnak. Mégis furcsa, hogy öt évbe telt, hogy felfedezzék ezt a gyengeséget a Ping rendszerben, mivel 2011-ben hasonló probléma merült fel egy rivális szivattyúval. Animas szerint ez nem jelent problémát az aktuális Animas Vibe rendszere számára, amely kommunikál a Dexcom CGM-mel, mert ez nem tartalmazza ugyanazt az RF-engedélyezett funkciót, amely lehetővé teszi a mérő és a szivattyú közötti beszélgetést. Természetesen a vállalat azt állítja, hogy "kiberbiztonságot kíván építeni a jövőbeli eszközökre", ahogyan a termékcsatornával halad előre.

A cybersecurity Hacker mondja … Azok számára, akik korábban nem hallották Jay Radcliffe nevét, már évek óta kiemelkedő szerepet játszik a cybersecurity előtt. A 22 évesen T1D-vel diagnosztizálva 2011-ben főcímeket tett közzé, amikor egy Medtronic szivattyút csapott be, és felszabadította a potenciális hibákat - beleértve a távoli bólintó funkciót is - egy vezető hacker konferencián.

Aztán egy érdekes eseménysorozatban csatlakozott az FDA-hoz, hogy tanácsadóvá váljon az orvosi kiberbiztonsági kérdésekben. És most a 2014-es évek elején dolgozott a Rapid7 kibertér biztonsági cégnél.

Meghívtuk őt a legújabb Animas cybersecurity felfedezésről.

Ez alkalommal különbözik a Medtronic-helyzettől, Radcliffe azt mondja nekünk, hogy esélyt tudott dolgozni az Animas-lal közvetlenül, mielőtt publikálta volna a kérdést. Ezúttal a nyilvános megjelenést időzítették a vállalat figyelmének a fogyasztókkal kapcsolatban, hogy miként védhetik meg magukat.

Boldog az Animas válaszaival, mondja, és valójában nem nagyon aggódik amiatt, hogy a OneTouch Ping biztonságos és biztonságos a PWD-k számára.

DiabetesMine

e-mailben. "Ha egyik gyermeke sem lett volna cukorbeteg, és az orvosi személyzet azt javasolta, egy szivattyút, nem haboznék felvenni őket a OneTouch Pingre. "

A jövőben reméli, hogy felfedezi és következetes munkát végez az eladóval, és kiemeli, hogy miért fontos a PWD-k számára, hogy türelmesek legyenek, miközben a gyártók, a szabályozók és a kutatók teljes mértékben feltárják ezek a rendkívül összetett eszközök.

"Mindannyian a legjobb technológiát akarjuk azonnal, de vigyázatlan, véletlenszerű módon végezzük az egész folyamatot mindenki számára" - mondta nekünk.

Open-Source Fallout?

Lenyűgöző volt látni, hogy a beszélgetés a cukorbetegeszközök nyílt forrású aspektusaival foglalkozik, mivel ez az Animas kiberbiztonsági kockázathoz kapcsolódik. Néhányan úgy vélték, hogy ez az Animas fátyolos kísérlete, hogy a nyílt forráskódú projekteket - például a Nightscout és a #OpenAPS-ot - titokban tartja a kockázatok nélküli, nem titkosított kommunikációra irányuló törekvések. A többiek kíváncsiak voltak arra, hogy az Animas sokkal jobban elgondolkodott-e, hogy látszólag felemeli a kezét és azt mondja: "Hé, D-eszköz hackerek és OpenAPS alkotók, használhatod szivattyúinkat, és nem csak a Medtronic-t!" a nyílt forráskódú világ rámutatott arra, hogy ez a képesség, hogy a távoli bólintó funkciót titkosítatlan kommunikáción keresztül használják, egy jól ismert probléma, amely kis veszélyeket tár fel, de valójában mindenféle lehetőséget kínál az új D-tech újítások számára.

"A" sebezhetőségekről "szóló címek félelmet jelenthetnek, de a valóság az, hogy az adatok és a szivattyúk ellenőrzése hihetetlen innovációs ökoszisztémát hozott létre" - mondja D-Dad Howard Look, a nonprofit Tidepool vezérigazgatója. nyitott platform létrehozása a cukorbetegek adatainak és alkalmazásainak.

"Meg kell keresnünk a módját, hogy többet tegyünk, és ez az innováció a

több terápiát biztonságos és hatékony kezelésre készteti, az eszközkezelők biztonságosan és biztonságos módon tudják az adatkezelési protokollokat elérni nem ellentétes az innovációval, ezek nem kölcsönösen kizáró célok. "Look szerint ez nem a nyílt forráskódról szól, hanem inkább a nyílt adatok és az ellenőrzési protokollok kockázatának kiegyensúlyozásáról, ami lehetővé teszi az innovációt a közösségből - vagy az egyes eszközkészítők falától.

A páciensek és a nyílt forráskódú közösségek közül néhányan aggódnak amiatt, hogy ezek a félelmetes címsorok arra késztethetik az eszközkészítőket és a szabályozókat, hogy gondolják csak az eszközök biztonságos védelmére, hogy távol tartsák az ellenőrző protokollokat. De ez nem így van.

"Igen, biztosítsd őket biztonságban a jövőbeni készülékekben, de még a nyílt kommunikációs protokollok is (amelyek nagyon nehézek a kihasználni, mint ilyenek) jobbak, mint egyáltalán," mondja. "Ezek lehetővé teszik az innováció élénk ökoszisztémáját. ösztönözni és ösztönözni kell. "

Az orvosi eszköz kiberbiztonságának értékelése

Természetesen az orvostechnikai eszközökben a számítógépes biztonság egyre inkább forró téma, amelyet sok szakértő és szervezet kutat.

2016 májusában a Kaliforniai Diabétesz Technológiai Társaság bejelentette az FDA, a NIH, a Homeland Security Tanszék, a NASA, az Egyesült Államok Légiereje és az Egyesült Nemzetek Szövetsége által támogatott DTSec (DTS Cybersecurity Standard for Connected Diabetes Devices project) projektet. Országos Szabványügyi és Technológiai Intézet! Ez körülbelül egy éve működött, és most már folyamatban van. A DTS vezetője Dr. David Klonoff, a kaliforniai endokrinológus és a Mills-Peninsula Egészségügyi Szolgálat Diabetes Kutató Intézetének orvosi igazgatója szerint a szervezet most felveszi az eszközgyártókat, hogy alkalmazzák és értékeljék termékeiket az új DTSec szabvány szerint . Azt állítja, hogy a csoport "több iparági szereplővel" folytatott megbeszéléseket folytatja, és azt várják, hogy a gyártók hamarosan aláírják a gyártókat. Eddig az Animas nem ismeri el az érdeklődést az új DTS kiberbiztonsági szabvány támogatásához. Ehelyett a vállalat úgy döntött, hogy az FDA-val közösen kezeli a problémáját.

De az FDA szabályozókkal az új szabvány mögött, úgy tűnik, csak idő kérdése, hogy a vállalatok kénytelenek lesznek betartani.

Klonoff úgy gondolja, hogy három kulcsfontosságú tényezőn fog alapulni:

A DTS együttműködött az FDA-val a DTSec szabvány megteremtéséért, ami igazán szabályszerű hitelességet biztosított

A vállalatok úgy érzik, hogy ez versenyelőnyt jelent a megfelelő cybersecuritynek . Ez lehetővé teszi számukra, hogy dokumentálják, hogy …

Azok a vállalatok, amelyek fennállnak, esetleg felelősek lehetnek akár szabályozói bírságok vagy esetleges peres ügyek esetén, ha valaha kiberbiztonsági ügy van velük szemben; ha nem követik ezt a DTSec szabványt, nehezebb lenne azt állítani, hogy nem tettek semmi rosszat.

"Úgy gondolom, hogy elkapni fog, és miközben több U. szerszámkészítővel beszélünk, azt is megpróbáljuk megtenni, hogy ezt nemzetközi" - mondja Klonoff.

"Ezt kell tenni, ahelyett, hogy a páciens közösségének javítása nélkül félelmet keltene, vagy ki nem akarná tenni" - mondta Klonoff. "Ez az, ahogyan az FDA azt akarja, hogy ezeket a kiberbiztonsági problémákat kezeljék. Mindenki tette a megfelelő jelentéstétel és elemzés itt, és azt mutatja, van remény a számítógépes biztonság. Ez egy cybersecurity történet, amely elég jó véget ér. „

Biztosan reméljük.

1. Jogi nyilatkozat
2. : A Diabetes Mine csapata által létrehozott tartalom. További részletekért kattintson ide.
3. Jogi nyilatkozat

Ez a tartalom a cukorbetegség közösségére összpontosító, a cukorbetegek bányájára készült. A tartalom nem orvosilag felülvizsgálható, és nem tartja be az egészségügy szerkesztői irányelveit. Ha többet szeretne megtudni a Healthline Diabetes Bánya partnerségéről, kattintson ide.