Úgy tűnik, hogy a kiberbiztonsági aggodalmak manapság végtelen ciklusban hatnak ránk. Az adatszegésekről, az adatvédelmi megállapodások megsértéséről és a magán- és az állami szektorban történt kibertámadásokról szóló jelentések áradata között nehéz meghatározni, hogy mi is az igazán biztonságos.
És miután néhány évvel ezelőtt megijesztett néhány inzulinpumpa-feltörés, nem tudunk csodálkozni: csak hol állunk cukorbetegség-eszközeink (és az azokban található információk) biztonságában 2019-ben?
A kockázattal járó dolog az, hogy néha valóságos, és néha észlelhető. A valódi kockázat kezelése biztonsághoz vezet. Míg az észlelt kockázat megszállása félelemhez vezet. Tehát mi az igazi itt? És mi történik pontosan a cukorbetegséggel foglalkozó kiberbiztonsági aggályok kezelésére?
Az orvosi kiberbiztonsági előírások terén elért haladás
2018 októberében az Egyesült Államok Élelmiszer- és Gyógyszerügyi Hivatala (FDA) forgalomba hozatal előtti útmutatást adott ki minden olyan számítógépes eszközre vonatkozóan, amely kibernetikai kockázatokat tartalmaz. Később az ősz folyamán az Health Canada kiadott egy kiberbiztonsági ajánlásokat tartalmazó útmutatót, amelyet a med-tech vállalatok használnak fejlesztésük és tesztelésük során. Az elképzelés természetesen az, hogy az irányelvek betartásával az eladók olyan eszközöket hoznak a piacra, amelyek már biztonságosak, szemben azokkal az eszközökkel, amelyek olyan sebezhetőségeket fedeznek fel, amelyek sebezhetőségét a forgalomba hozatalt követően a beteg használatával fedezik fel.
A Health Canada egyik sajtóközleménye szerint az orvosok kiberbiztonsági ajánlásai útmutató tervezetükben a következők: 1) a kiberbiztonsági intézkedések beépítése minden szoftverkomponenssel rendelkező eszköz kockázatkezelési folyamataiba, 2) keretek létrehozása a kiberbiztonsági kockázatok vállalati szintű kezeléséhez, és 3) az összes kiberbiztonsági kockázat-ellenőrzési folyamat ellenőrzése és validálása. Különösen olyan intézkedéseket javasolnak, mint az UL 2900 kiberbiztonsági szabvány bevezetése a kockázatok és a sebezhetőségek enyhítése érdekében.
Ken Pilgrim, a vancouveri Emergo Group vezető szabályozási ügyek és minőségbiztosítási tanácsadója szerint az új útmutatásnak értékesnek kell lennie nemcsak az orvostechnikai eszközök gyártói számára Kanadában, hanem más joghatóságokban is, amelyek hasonló kiberbiztonsági követelményeket dolgoznak ki.
Eközben az Egyesült Államokban a cukorbetegség elleni eszközök kiberbiztonságának kezelésére irányuló intézkedések folynak.
Október végén a Diabetes Technology Society (DTS) bejelentette, hogy az OmniPod DASH lett az első FDA által törölt inzulinpumpa, amely a DTS „Standard for Wireless Diabetes Device Security” kiberbiztonsági biztosítási szabványa és programja (DTSec) néven tanúsítást kapott.
A DTS-t 2001-ben Dr. David Klonoff alapította azzal a céllal, hogy elősegítse a cukorbetegség technológiájának használatát és fejlesztését. A DTSec lényegében az első szervezett biztonsági szabvány a cukorbetegség kezelésére. Gondoljon arra, mint egyfajta biztonsági pecsétre, hasonlóan ahhoz, ahogyan látjuk a https webcímet. A szabványt 2016-ban hozták létre az egyetemek, az ipar, a kormány és a klinikai központok kutatása és közreműködése után. A legtöbb szabványhoz hasonlóan ez is egy önkéntes útmutató a gyártók számára, hogy fontolják meg annak elfogadását és követését.
Azóta a szervezet folytatja a kiberbiztonsági kutatásokat és a kockázatértékelést, konferenciákat rendez és mélyebb védelmet fejleszt ki.
Tavaly júniusban, néhány hónappal azelőtt, hogy a DTSec-et követően bejelentést tettek az OmniPodról, a csoport új biztonsági útmutatást adott ki DTMoSt néven, rövidítve: „Mobileszközök használata a cukorbetegség-ellenőrzési kontextusokban”.
Klonoff, a San Mateo-i Mills-Peninsula Medical Center Diabetes Kutatóintézetének orvosi igazgatója szerint a DTMoSt iránymutatások a DTSec-re építenek, mivel az első szabványnak számítanak mind a teljesítmény, mind a biztosíték követelményeivel a csatlakoztatott orvostechnikai eszközök gyártói számára. mobil platform.
A DTMoSt azonosítja azokat a fenyegetéseket, mint például a rosszindulatú távoli és alkalmazásalapú támadások és az „erőforrás-éhezés” a mobileszközökre képes megoldások biztonságos üzemeltetését, és útmutatást kínál a fejlesztőknek, a szabályozóknak és más érdekelteknek a kockázatok kezelésében.
Biztonsági intézkedéseket nem szabad használni
Ma az egyik glükométer, CGM és cukorbetegséggel foglalkozó okostelefon-alkalmazás mind kapcsolódhat az internethez, és ezért bizonyos szintű kockázatnak van kitéve.
Annak ellenére, hogy a tárgyak internetének veszélyeiről folyamatosan beszélnek, a szakértők arra figyelmeztetnek, hogy a nyilvánosság tényleges kockázata meglehetősen alacsony. Ami a biztonságot illeti, a rossz embereket egyszerűen nem érdekli valaki vércukorszint-adata (szemben a bankszámla jelszavával).
Ennek ellenére a kiberbiztonságba történő beruházásokra szükség van a fenyegetések megelőzésére, valamint a felhasználók és az ügyfelek alapvető biztonságának biztosítására.
De hátránya, hogy a kiberbiztonsági intézkedések végrehajtása néha azt jelentheti, hogy a rendszert nagyon megnehezítik vagy lehetetlenné teszik az adatmegosztáshoz a rendeltetésszerű módon. Az egyenlet trükkje nem korlátozza a szándékolt emberek működését és hozzáférését.
És mi van a magánélettel? Újra és újra azt látjuk, hogy bár az emberek azt mondják, hogy elsőbbséget élveznek a magánélet iránt, úgy tűnik, ellentmondásos módon járnak el, hozzájárulva, görgetve, inicializálva, aláírva és hozzáférést biztosítva az információkhoz és adatokhoz, nagyon kevés valós gondolkodással vagy aggodalommal. Az az igazság, hogy mi fogyasztók általában nem olvassuk el figyelmesen az adatvédelmi irányelveket, ha egyáltalán. Éppen a „következő” gombot nyomtuk meg.
A félelem és a borzongás ellensúlyozása
Az iparban sokan óvatosságra intik a kiberbiztonság hátrányos oldalát: a félelemre összpontosítanak, amely a megszállottsággal, a kutatás megrekedésével korlátozódik, és végül életbe kerülhet. Olyan emberekről van szó, akik felismerik, hogy a számítógépes világ és a diabéteszes eszközeink nyitottak a kockázatra, de úgy érzik, hogy a túlreagálás potenciálisan veszélyesebb.
"A" kiberbiztonság az eszközökben "egész kérdés sokkal nagyobb figyelmet kap, mint amit megérdemel" - mondja Adam Brown, a gyalázkodás és szerzője Fényes foltok és taposóaknák: A cukorbetegség útmutatója, bárcsak valaki átadta volna. „Szükségünk van arra, hogy a vállalatok gyorsabban mozogjanak, mint amilyenek, és a kiberbiztonság felesleges félelmet válthat ki. Eközben az emberek ott vannak, ahol nincs adat, nincs kapcsolat, nincs automatizálás és nincs támogatás. ”
Howard Look, a Tidepool vezérigazgatója, a D-Dad és a #WeAreNotWaiting mozgalom mögött álló kulcsfontosságú erő, látja a kérdés mindkét oldalát, de egyetért Brown és más iparági szakértőkkel, akik félnek az orvosi előrelépés mértékének ellenőrzésétől.
"Természetesen az eszköztársaságoknak (beleértve az orvostechnikai eszközökkel foglalkozó szoftvereket, például a Tidepool) nagyon, nagyon komolyan kell venniük a kiberbiztonságot" - mondja Look. „Természetesen nem akarunk olyan helyzetet teremteni, amelyben fennáll annak a veszélye, hogy tömegesen támadják az embereket káros eszközök vagy alkalmazások. De a „kapucnis hackerekről” készült képek, koponyával és keresztcsontokkal a számítógép képernyőjén csak megijesztik azokat az embereket, akik nem igazán értik a tétet. Az eszközcégek lelassulnak, mert félnek. Ez nem segít abban, hogy megértsék a helyes dolgot. ” A Look a cukorbetegséggel foglalkozó orvosi konferenciákon bemutatott Powerpoint-diákra hivatkozott, amelyek hátborzongató képekkel állítják a számítógépes veszélyeket.
A népszerűvé vált OpenAPS és Loop do-it-yourself zárt hurkú rendszerek technikailag a régebbi Medtronic szivattyúk „sérülékenységén” alapulnak, amely lehetővé teszi ezen szivattyúk vezeték nélküli távvezérlését. A szivattyúk feltöréséhez ismernie kell a sorozatszámot, és 20 másodpercig a szivattyú közelében kell lennie. "Vannak sokkal könnyebb módszerek, hogy megöljenek valakit, ha ezt akarja megtenni" - mondja Look.
Sokan azzal érvelnek, hogy ez a biztonsági „sebezhetőség”, bármennyire ijesztő is, elméletileg óriási előny, mivel több ezer ember számára lehetővé tette az OpenAPS és a Loop futtatását, életet mentve, javítva az életminőséget és a közegészséget. őket.
A kockázatok mért megközelítése
Az ilyen DTS-szervezetek fontos munkát végeznek. Az eszköz biztonsága számít. A témával kapcsolatos kutatási és konferencia-előadások állandóak az iparban - a cukorbetegség technológiája és a kiberbiztonság lesz a hangsúly a 12. Nemzetközi Konferencia a cukorbetegség fejlett technológiáiról és kezeléséről (ATTD 2019), amelyet ebben a hónapban Berlinben tartanak. De ezek az igazságok továbbra is léteznek a valóság mellett, hogy az embereknek jobb eszközökre van szükségük, amelyek olcsóbbak, és nekünk gyorsan szükségünk van rájuk.
"A nagyszerű eszközök jellemzője a folyamatos fejlesztés, nem pedig a tökéletesség" - mondja Brown. "Ehhez kapcsolatra, interoperabilitásra és távoli szoftverfrissítésre van szükség."
Míg az eszközök nyitottak a kockázatokra, úgy tűnik, hogy a szakértők egyetértenek abban, hogy általában meglehetősen biztonságosak. 2019 folyamán és azon túl is úgy tűnik, hogy egyetértés mutatkozik abban, hogy bár fontos a kiberkockázat figyelemmel kísérése, ez a kockázat gyakran túlértékelt, és potenciálisan elsápad az egészségügyi kockázatokkal szemben, ha nem rendelkeznek fejlett diabéteszes eszközökkel.