Čini se da nas briga o cyber sigurnosti ovih dana nailazi na nepreglednu petlju. Među poplavama izvještaja o kršenju podataka, prekršenim ugovorima o privatnosti i cyber napadima u privatnom i javnom sektoru, može biti teško odrediti što je stvarno sigurno.
I nakon nekoliko hakiranja inzulinske pumpe prije nekoliko godina, ne možemo se ne zapitati: samo gdje stojimo u pogledu sigurnosti naših uređaja za dijabetes (i podataka koje sadrže) u 2019. godini?
Stvar s rizikom je da je to ponekad stvarno, a ponekad percipirano. Rješavanje stvarnih rizika dovodi do sigurnosti. Iako opsjednutost opaženim rizikom dovodi do straha. Pa, što je ovdje stvarno? A što se točno poduzima za rješavanje zabrinutosti za kibernetsku sigurnost dijabetesa?
Napredak u medicinskim standardima kibernetičke sigurnosti
U listopadu 2018. američka Uprava za hranu i lijekove (FDA) izdala je pretprodajne smjernice za sve medicinske uređaje koji sadrže kibernetičke rizike. Kasnije u jesen, Health Canada također je objavio dokument sa smjernicama koji sadrži preporuke za kibernetsku sigurnost koje će koristiti medicinske tvrtke tijekom njihovih faza razvoja i testiranja. Ideja je naravno da će slijedeći smjernice dobavljači na tržište donijeti uređaje koji su već sigurni, u odnosu na uređaje čija se ranjivost otkriva nakon stavljanja na tržište pacijentovom upotrebom.
Prema priopćenju Health Canada, među preporukama za kibernetsku sigurnost med uređaja u njihovom su nacrtu smjernica: 1) uključivanje mjera kibernetske sigurnosti u procese upravljanja rizicima za sve uređaje sa softverskom komponentom, 2) uspostavljanje okvira za upravljanje rizicima kibernetske sigurnosti na razini poduzeća, i 3) provjera i provjera valjanosti svih procesa kontrole rizika od kibernetičke sigurnosti. Oni posebno preporučuju mjere kao što je primjena standarda UL 2900 za kibernetsku sigurnost radi ublažavanja rizika i ranjivosti.
Ken Pilgrim, viši savjetnik za regulatorna pitanja i osiguranje kvalitete iz Emergo Group iz Vancouvera, rekao je da bi se nove smjernice trebale pokazati vrijednima za proizvođače medicinskih uređaja ne samo u Kanadi već i u drugim jurisdikcijama koje razvijaju slične zahtjeve za kibernetskom sigurnošću.
U međuvremenu, mjere za rješavanje cyber-sigurnosti uređaja za dijabetes posebno se pokreću u Sjedinjenim Državama.
Krajem listopada, Diabetes Technology Society (DTS) objavilo je da je OmniPod DASH postala prva inzulinska pumpa pročišćena FDA-om koja je dobila certifikat prema DTS-ovom standardu i programu osiguranja kibernetske sigurnosti "Standard for Wireless Diabetes Device Security", poznatom kao DTSec.
DTS je 2001. godine osnovao dr. David Klonoff u svrhu promicanja upotrebe i razvoja tehnologije dijabetesa. DTSec je u biti prvi organizirani sigurnosni standard za tehnologiju dijabetesa. Shvatite to kao vrstu sigurnosnog pečata, slično onome kako vidimo https web adresu. Standard je uspostavljen 2016. nakon istraživanja i doprinosa akademske zajednice, industrije, vlade i kliničkih centara. Kao i većina standarda, to je dobrovoljna smjernica za proizvođače da razmotre usvajanje i poštivanje.
Od tada je organizacija nastavila gurati istraživanje kibernetičke sigurnosti i procjenu rizika, ugostiti konferencije i razviti dublju zaštitu.
Prošlog lipnja, nekoliko mjeseci prije objave o OmniPodu nakon DTSeca, grupa je objavila nove sigurnosne smjernice nazvane DTMoSt, kratice za "Upotreba mobilnih uređaja u kontekstima kontrole dijabetesa".
Prema Klonoffu, medicinskom direktoru Instituta za istraživanje dijabetesa pri Medicinskom centru Mills-Peninsula, San Mateo, CA, smjernice DTMoSt nadovezuju se na DTSec postajući prvi standard sa zahtjevima izvedbe i zahtjevima osiguranja za proizvođače povezanih medicinskih uređaja pod nadzorom mobilna platforma.
DTMoSt identificira prijetnje, poput zlonamjernih napada na daljinu i aplikacija i "izgladnjivanje resursa", sigurnom radu rješenja s omogućenim mobilnim uređajima i nudi smjernice programerima, regulatorima i ostalim dionicima koji pomažu u upravljanju tim rizicima.
Mjere sigurnosti ne bi trebale ometati upotrebu
Danas su svi nečiji glucometer, CGM i dijabetes aplikacija za pametne telefone možda povezani s Internetom i stoga otvoreni za određenu razinu rizika.
Ipak, unatoč kontinuiranom razgovoru o opasnostima Interneta stvari, stručnjaci upozoravaju da je stvarni rizik za javnost prilično nizak. Što se tiče sigurnosti, loše ljude jednostavno ne zanimaju nečiji podaci o glukozi u krvi (u usporedbi s lozinkom za njihov bankovni račun).
To je rečeno, ulaganja u cyber sigurnost neophodna su kao preventivne mjere za prijetnje i osiguravanje osnovne sigurnosti korisnika i kupaca.
Ali loša je strana što provedba mjera kibernetičke sigurnosti ponekad može značiti da je sustav vrlo teško ili nemoguće koristiti za razmjenu podataka na predviđeni način. Trik u jednadžbi nije ograničavanje mogućnosti rada i pristupa predviđenih ljudi.
A što je s privatnošću? Iznova i iznova vidimo da, iako ljudi kažu da daju prednost privatnosti, čini se da djeluju kontradiktorno, pristajući, pomičući se, parafirajući, potpisujući i pružajući pristup informacijama i podacima s vrlo malo stvarne misli ili brige. Istina je, mi potrošači obično ne čitamo pravila o privatnosti baš pažljivo, ako ih uopće imamo. Samo smo pritisnuli tipku 'next'.
Kompenzirajući strah i strepnju
Mnogi u industriji upozoravaju na lošu stranu cyber sigurnosti: usredotočenost na strah koji se graniči s opsesijom, istražuje i može u konačnici koštati života. To su ljudi koji prepoznaju da su cyber svijet i naši uređaji za dijabetes otvoreni za rizik, ali smatraju da je pretjerana reakcija potencijalno opasnija.
"Cijelo izdanje" kibernetičke sigurnosti na uređajima "dobiva daleko više pažnje nego što zaslužuje", kaže Adam Brown, viši urednik u diaTribe i autor knjige Svijetla mjesta i nagazne mine: Vodič za dijabetes koji bih volio da mi je netko predao. „Trebamo se tvrtke kretati brže nego što jesu, a cyber sigurnost može potaknuti nepotreban strah. U međuvremenu, ljudi su tamo krili ih bez podataka, bez povezivanja, bez automatizacije i bez podrške. "
Howard Look, izvršni direktor tvrtke Tidepool, D-Dad, i ključna sila koja stoji iza pokreta #WeAreNotWaiting, vidi obje strane problema, ali slaže se s Brownom i drugim stručnjacima iz industrije koji se plaše provjera brzine medicinskog napretka.
"Svakako, tvrtke koje proizvode uređaje (uključujući softver kao tvrtke za medicinske uređaje, poput Tidepoola) moraju vrlo, vrlo ozbiljno shvatiti cyber sigurnost", kaže Look. „Svakako ne želimo stvoriti situaciju u kojoj postoji rizik od masovnog napada na uređaje ili aplikacije koji bi mogli naštetiti ljudima. Ali slike 'hakera u kapuljačama' s lubanjom i prekriženim kostima na ekranima računala samo plaše ljude koji zapravo ne razumiju o čemu se radi. To uzrokuje usporavanje tvrtki koje se bave uređajima, jer se boje. To im ne pomaže razumjeti pravu stvar. " Look se odnosio na Powerpoint slajdove prikazane na medicinskim konferencijama o dijabetesu sa jezivim slikama u kojima se navode cyber opasnosti.
Sustavi zatvorene petlje OpenAPS i Loop "uradi sam", koji su postali popularni, tehnički se temelje na "ranjivosti" starijih Medtronic pumpi koja omogućuje bežično daljinsko upravljanje tim crpkama. Da biste provalili pumpe, morate znati serijski broj i trebate biti blizu pumpe 20 sekundi. "Postoje načini lakših načina da nekoga ubijete ako je to ono što želite učiniti", kaže Look.
Mnogi tvrde da je ova predložena "ranjivost" u sigurnosti, koliko god zastrašujuća mogla biti u teoriji, velika korist jer je tisućama ljudi omogućila pokretanje OpenAPS-a i Loop-a, spašavajući živote i poboljšavajući kvalitetu života i javno zdravlje za one koji koriste ih.
Mjereni pristup rizicima
Organizacije poput DTS-a rade važan posao. Važna je sigurnost uređaja. A prezentacije o istraživanjima i konferencijama na tu temu stalne su grane industrije - tehnologija dijabetesa i kibernetičnost bit će u središtu pozornosti nekoliko elemenata 12. međunarodne konferencije o naprednim tehnologijama i liječenju dijabetesa (ATTD 2019) koja se održava kasnije ovog mjeseca u Berlinu. Ali te istine i dalje postoje usporedo sa stvarnošću da ljudi trebaju bolje alate koji su jeftiniji, a mi ih trebamo brzo.
"Obilježje sjajnih uređaja je kontinuirano usavršavanje, a ne savršenstvo", kaže Brown. "To zahtijeva povezanost, interoperabilnost i daljinsko ažuriranje softvera."
Iako su uređaji otvoreni rizicima, čini se da se stručnjaci slažu da su općenito prilično sigurni i sigurni. Idući naprijed tijekom 2019. i nakon nje, čini se da je konsenzus da je, iako je nadzor nad cyber rizikom važan, taj rizik često precijenjen i potencijalno blijedi u odnosu na zdravstvene rizike zbog nedostatka naprednih alata za dijabetes.