Insuliinipumpun hakkureaktio Animas OneTouch Pingissä?

Uutiset pyörivät tuoreista ilmoituksista, että Animas OneTouch Ping -insuliinipumppu on vaarassa hakkeroida, ja valmistaja antaa potilaille rauhoittavan kirjeen, jossa on vinkkejä verkkoturvallisuusriskien vähentämisestä.

Tiistaina 4. lokakuuta JnJ: n omistuksessa oleva Animas julkaisi tietoturvan varoituksen OneTouch Pingin käyttäjille, jotka ovat olleet saatavilla vuodesta 2008 lähtien ja kommunikoivat glukoosimittarin kanssa etähallintaa varten.

He ovat yhdessä tutkinneet asiaa, koska he ovat ilmoittaneet FDA: lle ja Homeland Security -yksikölle ja nyt kuusi kuukautta myöhemmin ovat valmiita julkistamaan ongelman julkisesti erityispiirteensä siitä, miten sitä voitaisiin torjua.

Tietenkin mainstream media piristyi tarina nopeasti, vaikkakaan ei aivan taso vimma olemme nähneet aiemmin. Lääketieteellisen laitteen hakkerointi tekee aina mehukkaita uutisia ja on ollut juonilinjana suosituissa tv-ohjelmissa, kuten The Blacklist muutamia vuosia sitten.

Tällöin Animas sanoo, että riski on äärimmäisen pieni eikä ole mitään todisteita siitä, kuka tahansa todella kaappaa laitteeseen. Sen sijaan tämä on "nolla päivä" -tapahtuma, jossa yhtiö joutuu altistamaan

potentiaalisen riskin avoimuuden haavoittuvuuden ja tarjoamaan korjauksia. Jotta selkeä, "

Kaivos ei ole mielestämme erityisen uhkaava. Rehellisesti, me todennäköisemmin näemme, että Samsung Note 7 -puhelimen paristo räjähtää lähistöllä, kuin nähdä joku hakata insuliinipumppuun vahingoittamatta. Kuitenkin laitteidemme turvallisuus on otettava vakavasti; se on tärkeä aihe, jonka osalta FDA harkitsee lopullisesti valmistajille suunnattuja ohjeita, kuten puhumme.

Nyt Animas-pumppu on uusin laite, joka nostaa punaisia ​​lippuja mahdollisista vaaroista …

Animas selittää ongelman

Aiemmin tällä viikolla JnJ järjesti puhelinkonferenssin pienellä määrällä diabeteksen mediaa ja kannatti keskustele tästä asiasta. Puheluun osallistuivat JnJ: n johtava lääkäri Dr. Brian Levy ja tietoturvapäällikkö Marene Allison.

He selittivät, että JnJ oli perustanut verkkosivuston huhtikuussa potilaille potentiaalisista tietoturvakysymyksistä, jotka olivat sidoksissa FDA: n ohjeisiin ja tulivat 18 kuukauden keskustelun jälkeen valmistajan, FDA: n Cybersecurity Divisionin ja Dept.kotimaan turvallisuudesta.

Pian tämän sivuston perustamisen jälkeen he saivat Radcliffilta sanan tästä erityisesti Animas Pingin tietoturvaongelmasta - erityisesti, että salaamaton radiotaajuus, jota käytetään mahdollistamaan etäyhteyden pumppuun ja mittariin, voisi mahdollisesti olla anna joku luovuttaa insuliinia jopa 25 metrin päässä (Radcliffe on julkaissut tämän Rapid7-tietoturva-sivuston tekniset tiedot).

J & J Animas korostaa, ettei kukaan ole hakkeroinut OneTouch Pingia. Pikemminkin Radcliffe teki testauksensa "kontrolloidussa ympäristössä" vain sen osoittamiseksi, että hän

kykenisi hakemaan laitetta ja tekemällä näin, altistui mahdolliselle riskille. Yhtiön tiedottajat selittivät, että he ovat päättäneet olla lähettämättä mittarin kauko-ohjattua päivitystä suurelta osin hyvin pienen riskin vuoksi ja siitä, että riskiä voidaan lieventää muutamalla helpolla tavalla. "Patch fix" ilmeisesti ei ole mahdollista, koska käytetään radiotaajuutta, koska se tekisi nykyiset järjestelmät käyttökelvottomiksi. Värähtelevien hälytysten asettaminen:

Värähtelytoiminnon kytkeminen päälle insuliinipumpulle, joka ilmoittaa käyttäjälle, että mittarin kauko-ohjain aloittaa bolusannoksen. Tämä antaa käyttäjälle mahdollisuuden peruuttaa ei-halutut bolut, ja tietenkin on mahdollista vaihtaa vain peruspulus- ja perusasetukset pumpusta itsestään.

Katso insuliinin historia:

Animas kehottaa Ping-käyttäjiä pitämään ponnahdusvalmisteiden sisältämät insuliinihistorian tiedot. Jokainen insuliinin toimitusmäärä, riippumatta siitä, onko se laukaissut mittarin tai pumpun, tallennetaan tähän historiaan ja sitä voidaan tarkistaa mahdollisten huolenaiheiden varalta.

Mittarin sammuttaminen Remote Feature: Tämä tietenkin lopettaa radiotaajuisen tiedonsiirron One Touch Ping -mittarin ja insuliinipumpun välillä, jolloin käyttäjät eivät näe verensokerituloksiaan pumppuunsa tai käyttävät mittari kontrolloimaan bolusannostelua. Sen sijaan käyttäjien pitäisi syöttää manuaalisesti BG: t pumpusta ja tuoda kyseinen laite.

Rajaus Bolus -määrät: Niille, jotka haluavat jatkaa mittarin käyttöä kauko-bolusoituksessa, voit käyttää pumpun asetuksia rajoittamaan maksimiannosten määrää, kahden ensimmäisen kahden tunnin aikana annettua määrää ja kokonaisannosannosta insuliinia. Yritetään ylittää tai ohittaa nämä asetukset käynnistää pumpun hälytyksen ja estää bolusinsuliinin toimituksen.

Kiitos, että Animas on ryhtynyt toimiin rauhoittaakseen pelkoja ja tarjoamalla vankkoja vinkkejä niille, jotka voivat olla huolissaan. Silti on kummallista, että Ping-järjestelmän heikkouteen kesti viisi vuotta, kun otetaan huomioon, että samanlainen kysymys syntyi vuonna 2011 kilpailevalla pumpulla. Animas sanoo, että tämä ei ole ongelma nykyiselle Animas Vibe -järjestelmälle, joka kommunikoi Dexcom CGM: n kanssa, koska se ei sisällä samaa RF-ominaisuutta, jonka ansiosta mittari ja pumppu voivat puhua toisilleen. Mutta tietenkin yritys sanoo aikovansa "rakentaa tietoverkkoturvaa tulevaisuuden laitteisiin", kun se siirtyy eteenpäin tuoteputkistossaan.

Cybersecurity Hacker sanoo … Niille, jotka eivät ole kuulleet Jay Radcliffe nimeä, hän on ollut näkyvästi tietoturvan edessä useita vuosia. Diagnoosi T1D: llä 22-vuotiaana hän aloitti otsikot vuoden 2011 aikana hakkeroimalla Medtronic-pumppua ja julkaisemalla havainnot potentiaalisista puutteista - myös etähallintaominaisuuksista - johtavassa hakkeri-konferenssissa.

Sitten mielenkiintoisen tapahtuman jälkeen hän liittyi FDA: n kanssa lääketieteelliseen tietoverkkoturvallisuuteen liittyvien kysymysten konsulttina. Hän on nyt työskennellyt Rapid7-tietoverkkojen tietoturvayrityksessä vuoden 2014 alusta lähtien.

Tiesimme hänelle tämän viimeisimmän Animas-tietoturva-löydön.

Tämä aika eroaa Medtronic-tilanteesta, Radcliffe kertoo meille, koska hänellä oli mahdollisuus työskennellä Animasin kanssa suoraan ennen julkistamisen julkistamista. Tällä kertaa julkinen julkaisu ajoitettiin yhdessä yrityksen ilmoituksen kanssa kuluttajille siitä, miten suojata itseään.

Hän sanoo, että on merkittävää, että tämä on ensimmäinen kerta, kun merkittävä lääkinnällisten laitteiden valmistaja on antanut ennakoivasti varoituksen mahdollisista tietoturvapäästöistä kuluttajatuotteessa - vaikka ei ole raportoitu mitään haittavaikutuksia Asiakkaat.

Hän on tyytyväinen Animasin vastaukseen, hän sanoo, eikä ole tosiasiassa huolissaan siitä, kuinka OneTouch Ping on turvallinen ja turvallinen.

DiabetesMine

. "Jos jokin lapsistani muuttui diabeettiseksi ja lääketieteellinen henkilökunta suositteli niiden asettamista pumppu, en epäröisi laittaa niitä OneTouch Pingiin. "

Tulevaisuudessa hän toivoo löytöään ja johdonmukaista työtä myyjän kanssa korostaen, miksi päihdehuokkien on oltava kärsivällisiä, kun valmistajat, sääntelyviranomaiset ja tutkijat tutkivat täydellisesti nämä erittäin monimutkaiset laitteet.

"Me kaikki haluamme parasta teknologiaa heti, mutta teemme epävarma, sattumanvarainen tapa palauttaa koko prosessin kaikille", hän kertoi meille.

Open-Source Fallout? On ollut kiehtovaa katsoa, ​​että keskustelu muuttuu diabeteslaitteiden avoimen lähdekoodin näkökulmasta, koska se liittyy tähän Animas-verkkoturvaan liittyvään riskiin. Jotkut totesivat, että tämä oli Animasin häikäilemätön yritys hämmentää avoimen lähdekoodin hankkeet, kuten Nightscout ja #OpenAPS, riskialttiiksi pyrkimyksiksi, jotka perustuvat salaamattomaan viestintään. Muut kysyivät, oliko Animas enemmän mielenkiintoa, että hän ilmeisesti hakkaisi kätensä ja sanoi: "Hei, D-laitehakkereita ja OpenAPS-luojia, voit käyttää pumppuja, eikä vain Medtronic-laitteita!"

Still muut avoimen lähdekoodin maailma totesi, että tämä kyky käyttää etähallintaominaisuutta salaamattomalla viestinnällä on tunnettu ongelma, joka altistaa pienelle vaaralle, mutta tosiasiassa avaa kaikenlaisia ​​mahdollisuuksia uusille D-tech-innovaatioille.

"Otsikot" haavoittuvuuksista "voivat olla pelottavia, mutta todellisuus on se, että tietojen ja valvontapumppujen lukeminen on auttanut uskomattoman innovoinnin ekosysteemiä", kertoo voittoa tavoittelemattoman Tidepoolin toimitusjohtaja D-Dad Howard Look. luomalla avoimen alustan diabetetietoihin ja sovelluksiin.

"Meidän pitäisi etsiä keinoja tehdä enemmän tästä, ja tämä innovaatio on tehnyt turvallisen ja tehokkaamman hoidon

enemmän . Laitepäälliköt voivat tehdä tietohallintoprotokolliaan turvallisella ja turvallisella tavalla "

Look sanoo, että tämä ei koske avointa lähdekoodia, vaan pikemminkin avointen tietojen ja valvontaprotokollien riskin tasapainottamista, sillä se hyödyttää innovaatiota yhteisöstä - tai tiettyjen laitevalmistajien seinien ulkopuolelta.

Potilaiden ja avoimen lähdekokonaisuuden osa-alueet ovat huolissaan siitä, että nämä pelottavat otsikot saattavat laitevalmistajat ja sääntelijät ajattelemaan, että ainoa tapa varmistaa laitteiden on ottaa hallintaprotokollat ​​pois. Mutta näin ei pitäisi olla.

"Kyllä, tee ne turvallisiksi tulevilla laitteillasi, mutta jopa avoimet tietoliikenneprotokollat ​​(jotka ovat hyvin vaikeasti hyödynnettävissä, kuten nämä ovat) ovat parempia kuin ei," Look sanoo. "Ne mahdollistavat elinvoimaisen innovoinnin ekosysteemin, jota on edistettävä ja kannustettava. "

Lääkinnällisen laitteiston arviointi Tietoverkkoturvallisuus Tietenkin tietotekniikkavarmuus lääketieteellisissä laitteissa on yhä monimutkaisempi aihe, jota monet asiantuntijat ja organisaatiot tutkivat. Toukokuussa 2016 Kaliforniassa toimiva Diabetes Technology Society julkisti DTSec: n (DTS Cybersecurity Standard Connected Diabetes Devices -projektille), joka perustettiin FDA: n, NIH: n, Homeland Securityin, NASAn, Yhdysvaltain ilmavoimien ja National Standards and Technology -instituutti! Se oli ollut käynnissä jo noin vuoden, ja se on nyt käynnissä.

DTS-johtaja Dr. David Klonoff, Kalifornian endokrinologi ja Mills-Peninsula Health Services -laitoksen diabetestutkimuslaitoksen lääketieteellinen johtaja sanoo, että organisaatio on nyt rekrytoinut laitevalmistajia hyväksymään ja arvioimaan tuotteitaan uuden DTSec-standardin avulla . Hän sanoo, että ryhmä keskustelee "useilla teollisuudenaloilla", ja he odottavat, että valmistajat allekirjoittavat pian.

Animas ei ole toistaiseksi tunnustanut kiinnostusta uuden DTS-verkkoturvallisuusstandardin tukemiseksi. Sen sijaan yritys on päättänyt ottaa ongelmansa sisäisesti yhdessä FDA: n kanssa.

Mutta FDA: n sääntelijöiden kanssa uuden standardin takana näyttää siltä, ​​että vain ajan kysymys ennen yritysten velvoitetta noudattaa.

Klonoffin mielestä ne perustuvat kolmeen keskeiseen tekijään:

DTS työskenteli FDA: n kanssa DTSec-standardin luomisessa ja antoi sille uskottavan uskottavuuden

Yritykset kokevat sen olevan kilpailuetuna osoittamaan, että niillä on hyvä tietoturva . Tämä antaa heille mahdollisuuden dokumentoida, että …

Ne yritykset, jotka pitävät kiinni, saattavat mahdollisesti olla vastuussa joko sääntelyllisistä sakkorangaistuksista tai mahdollisista riita-asioista, jos heitä vastaan ​​on aina tietoturva-asia; jos he eivät noudata tätä DTSec-standardia, voi olla vaikeampaa tehdä väite siitä, että he eivät tehneet mitään väärää.

"Odotan sen saavan kiinni, ja kun puhumme useille U.S.-laitteen valmistajille, pyrimme myös tekemään tästä kansainvälisestä", Klonoff sanoo.

Tiettyyn Animas-verkkoturvaan liittyvästä ongelmasta Klonoff sanoo uskovansa, että se on tapaustutkimus siitä, miten näitä mahdollisia ongelmia pitäisi käsitellä joka puolelta. Hän ylisti J & J: n "käsittelemään tätä vastuullisesti" työskentelemällä FDA: n ja Radcliffen kanssa sekä tarjoamalla korjaustoimenpiteitä, jotka voivat käsitellä asiaa.

1. "Näin on tehtävä, sen sijaan, että luotaisi pelkoa ilman potilasyhteisön korjauksia tai puhaltaisi sitä suhteettomasti", Klonoff sanoi. "Näin FDA haluaa, että nämä verkkoturvallisuusongelmat hoidetaan. Kaikki ovat tehneet oikeat raportit ja analyysit täällä, ja se osoittaa, että on olemassa toivoa tietoverkkorikollisuudesta. Tämä on verkkoturvallisuus tarina, jolla on melko hyvä loppu. ”
3. Toivomme varmasti.

Vastuuvapauslauseke

: Diabetes Mine -ryhmän luoma sisältö. Lisätietoja saat klikkaamalla tästä.

Vastuuvapauslauseke

Tämä sisältö on luotu Diabetes Mine -verkostoon, joka on diabetesta käsittelevä yhteisö. Sisältöä ei ole tarkistettu lääketieteellisesti eikä se noudata Terveysalan toimituksellisia ohjeita. Lisätietoja Terveysn yhteistyöstä Diabetes Mine -yrityksen kanssa saat napsauttamalla tästä.