Pompa insulin Risiko Hacking di Animas OneTouch Ping?

Berita berputar-putar atas wahyu baru bahwa pompa insulin OneSouch Ping adalah risiko untuk melakukan hacking, dengan pabrikan mengeluarkan surat yang meyakinkan kepada pasien yang mencakup tip tentang mengurangi risiko keamanan dunia maya. Pada hari Selasa tanggal 4 Oktober, Animasi milik JnJ mengeluarkan lansiran cybersecurity kepada pengguna Ping OneTouch, yang telah tersedia sejak 2008 dan berkomunikasi dengan meter glukosa untuk bolusan jarak jauh.

Mereka secara kolektif telah menjajaki masalah ini sejak, telah memberi tahu FDA dan Departemen Keamanan Dalam Negeri, dan sekarang enam bulan kemudian, siap untuk mengungkapkan masalah ini secara terbuka dengan spesifik mengenai bagaimana cara melawannya. Tentu saja, media arus utama mengangkat cerita dengan cepat, meski tidak begitu pada hiruk pikuk yang pernah kita lihat di masa lalu. Peranti lunak perangkat medis selalu dibuat untuk berita yang menarik, dan telah menjadi alur cerita dalam acara TV populer seperti The Blacklist beberapa tahun yang lalu.

Dalam kasus ini, Animas mengatakan risikonya sangat rendah dan tidak ada bukti adanya siapa pun yang benar-benar menyusup ke perangkat. Sebagai gantinya, ini adalah peristiwa "nol hari" di mana perusahaan dipaksa untuk mengekspos kerentanan transparansi mengenai risiko

potensial

, dan menawarkan perbaikan.

Jelas, kita di '

Mine tidak menganggap ini sangat mengancam. Jujur saja, kami lebih cenderung melihat baterai ponsel Samsung Note 7 meledak di dekat tempat melihat seseorang masuk ke pompa insulin untuk menyakiti. Namun, keamanan perangkat kita harus dianggap serius; Ini adalah topik penting dimana FDA sekarang mempertimbangkan panduan akhir untuk produsen meskipun kita berbicara (mengikuti periode komentar publik awal tahun ini mengenai panduan draf). Sekarang, pompa Animas menjadi alat terbaru untuk menaikkan bendera merah tentang potensi bahaya …

Animas Menjelaskan Masalahnya Awal pekan ini, JnJ menyelenggarakan sebuah konferensi dengan sejumlah kecil media diabetes dan pendukung untuk diskusikan masalah ini Pada panggilan itu adalah Kepala Staf Medis JnJ Dr. Brian Levy dan VP Keamanan Informasi Marene Allison. Mereka menjelaskan bahwa JnJ telah membuat sebuah situs web pada bulan April untuk pasien tentang kekhawatiran keamanan cybersecurity potensial, yang terkait dengan panduan FDA dan hadir setelah 18 bulan diskusi antara produsen, Divisi Cybersecurity FDA dan Dept.Keamanan Dalam Negeri

J & J Animas menekankan bahwa tidak ada yang hacking OneTouch Ping. Sebaliknya, Radcliffe melakukan pengujiannya di "lingkungan yang terkendali" hanya untuk membuktikan bahwa dia bisa kembali ke perangkat dan dengan berbuat demikian, terekspos potensi risiko tersebut.

Juru bicara perusahaan menjelaskan bahwa mereka telah memutuskan untuk tidak mengeluarkan pembaruan jarak meter di sebagian besar karena risiko yang sangat rendah, dan fakta bahwa risikonya dapat dikurangi dengan beberapa langkah mudah. Sebuah "patch fix" tampaknya tidak memungkinkan mengingat frekuensi radio yang digunakan, karena akan membuat sistem saat ini tidak dapat digunakan.

Surat yang dikirim oleh perusahaan kepada 114.000 pasien Ping dan dokter mereka di AS dan Kanada memberikan saran ini kepada pihak yang berkepentingan:

Setel Vibrating Alerts:

Nyalakan fitur getaran untuk pompa insulin, yang akan memberi tahu pengguna bahwa dosis bolus dimulai dengan remote meter. Ini memberi pengguna pilihan untuk membatalkan bolus yang tidak diinginkan, dan tentu saja itu hanya mungkin untuk mengubah bolus dasar dan pengaturan basal dari pompa itu sendiri.

Perhatikan Sejarah Insulin: Animas mendesak pengguna Ping untuk menyimpan catatan sejarah insulin di dalam pompa. Setiap jumlah pengiriman insulin, apakah itu dipicu oleh meter atau pompa, dicatat dalam riwayat ini dan dapat ditinjau untuk setiap masalah. Matikan Fitur Jarak Jauh:

Hal ini tentu saja akan menghentikan komunikasi frekuensi radio antara pita Sentuh Satu Sentuhan dan pompa insulin, yang berarti pengguna tidak akan dapat melihat hasil gula darah pada pompa mereka atau menggunakan meter untuk mengontrol dosis bolus. Sebagai gantinya, pengguna harus memasukkan BG secara manual ke pompa dan bolus dari perangkat itu.

Batas Jumlah Bolus:

Bagi mereka yang ingin terus menggunakan meter untuk bolusan jarak jauh, Anda dapat menggunakan pengaturan pompa untuk membatasi jumlah bolus maks, jumlah yang diberikan dalam dua jam pertama, dan total dosis harian dari insulin. Upaya untuk melebihi atau mengganti pengaturan tersebut akan memicu alarm pompa dan mencegah pengiriman insulin bolus.

Kami menghargai Animas mengambil tindakan untuk menenangkan ketakutan dan menawarkan tip suara kepada mereka yang mungkin khawatir. Meski begitu, aneh rasanya butuh lima tahun untuk menemukan kelemahan ini dalam sistem Ping mengingat bahwa masalah serupa muncul pada tahun 2011 dengan pompa saingan. Animas mengatakan ini bukan masalah bagi sistem Animas Vibe saat ini yang berkomunikasi dengan CGM Dexcom, karena itu tidak termasuk fitur RF-enabled yang sama yang memungkinkan meteran dan pompa saling berbicara satu sama lain. Tapi tentu saja perusahaan mengatakan pihaknya berencana untuk "membangun keamanan maya ke perangkat masa depan" karena bergerak maju dengan jalur produknya.

Cybersecurity Hacker Says … Bagi mereka yang belum pernah mendengar nama Jay Radcliffe sebelumnya, dia sudah menonjol di front cybersecurity selama beberapa tahun sekarang. Didiagnosis dengan T1D pada usia 22, dia pertama kali menjadi berita utama di tahun 2011 saat melakukan hacking sebuah pompa Medtronic dan melepaskan temuannya tentang potensi kekurangan - juga melibatkan fitur bolusan jarak jauh - pada konferensi hacker terkemuka.

Kemudian pada saat yang menarik, dia bergabung dengan FDA untuk menjadi konsultan masalah keamanan cybersecurity. Dan sekarang dia sudah bekerja untuk firma keamanan dunia maya Rapid7 sejak awal 2014.

Kami mengulurkan tangan kepadanya tentang penemuan cybersecurity terbaru dari Animas ini. Kali ini berbeda dengan situasi Medtronic, Radcliffe mengatakan kepada kami, bahwa dia memiliki kesempatan untuk bekerja dengan Animas secara langsung sebelum mengungkapkan masalahnya secara publik. Kali ini, rilis publik dijadwalkan bersamaan dengan pemberitahuan perusahaan kepada konsumen tentang bagaimana melindungi diri mereka sendiri.

Dia mengatakan penting bahwa ini adalah pertama kalinya produsen perangkat medis utama secara proaktif mengeluarkan peringatan tentang potensi kelemahan keamanan komputer dalam produk konsumen - bahkan ketika tidak ada kejadian buruk terkait yang dilaporkan oleh pelanggan.

Dia senang dengan tanggapan Animas, katanya, dan sebenarnya tidak terlalu memperhatikan seberapa aman dan aman Ping OneTouch adalah untuk orang cacat.

"Itu tidak sempurna, tapi tidak ada," Radcliffe menulis dalam email kepada

DiabetesMine

. "Jika salah satu anak saya menjadi penderita diabetes dan staf medis merekomendasikan agar menggunakannya. sebuah pompa, saya tidak akan ragu untuk memasukkannya ke Ping OneTouch. "

Untuk masa depan, dia berharap penemuan dan kerja konsekuennya dengan vendor menyoroti mengapa penting bagi penyandang cacat untuk dipikul sementara produsen, regulator dan peneliti menjelajahi sepenuhnya Perangkat yang sangat kompleks ini.

"Kita semua menginginkan teknologi terbaik segera, tapi dengan cara sembrono dan serampangan membuat keseluruhan proses kembali untuk semua orang," katanya kepada kami.

Open-Source Fallout?

Sangat menarik untuk melihat percakapan beralih ke aspek sumber perangkat diabetes yang berkaitan dengan risiko cybersecurity Animas ini. Beberapa orang berpendapat bahwa ini adalah usaha terselubung Animas untuk mendiskreditkan proyek open source seperti Nightscout dan #OpenAPS sebagai usaha berisiko berdasarkan komunikasi yang tidak terenkripsi. Yang lain bertanya-tanya apakah ini lebih merupakan tipu muslihat oleh Animas yang tampaknya mengangkat tangannya dan berkata, "Hei, peretas perangkat D dan perancang OpenAPS - Anda dapat menggunakan pompa kami dan bukan hanya dari Medtronic!"

Masih ada orang lain di dunia open source menunjukkan bahwa kemampuan untuk menggunakan fitur bolusan jarak jauh melalui komunikasi yang tidak terenkripsi adalah masalah yang terkenal yang jarang menimbulkan bahaya, namun kenyataannya membuka banyak kemungkinan inovasi D-tech baru.

"Judul tentang 'kerentanan' bisa menakutkan, namun kenyataannya adalah bahwa kemampuan membaca data dan pompa kontrol telah mendorong ekosistem inovasi yang luar biasa," kata D-Dad Howard Look, CEO Tidepool non-profit yang menciptakan platform terbuka untuk data dan aplikasi diabetes. "Kita harus mencari cara untuk melakukan lebih banyak hal ini, dan inovasi ini telah membuat terapi lebih aman dan efektif. Pembuat perangkat dapat membuat protokol pengendalian data mereka tersedia dengan cara yang aman dan aman yang dilakukan. bukan inovasi yang membungkam Itu bukan tujuan yang saling eksklusif. " Lihat mengatakan ini bukan tentang open source, melainkan tentang menyeimbangkan risiko protokol data dan kontrol terbuka dengan keuntungan yang memungkinkan inovasi dari masyarakat - atau dari luar dinding pembuat perangkat tertentu. Beberapa orang di komunitas pasien dan open source khawatir bahwa berita utama yang menyeramkan ini dapat mendorong pembuat perangkat dan regulator berpikir bahwa satu-satunya cara untuk mengamankan perangkat adalah dengan mengambil alih protokol kendali. Tapi itu tidak seharusnya terjadi.

"Ya, buat mereka aman di perangkat masa depan Anda, tapi bahkan protokol komunikasi terbuka (yang sangat sulit untuk dieksploitasi, seperti ini) lebih baik daripada tidak sama sekali," kata Look. "Mereka mengaktifkan ekosistem inovasi yang dinamis harus mengkatalisasi dan memberi semangat. "

Mengevaluasi Perangkat Medis Cybersecurity

Tentu saja, keamanan cybersecurity di peralatan medis adalah topik yang selalu semakin banyak dieksplorasi oleh banyak ahli dan organisasi.

Pada bulan Mei 2016, Diabetes Technology Society yang berbasis di California mengumumkan standar DTS C (DTS Cybersecurity Standard for Connected Diabetes Devices), dibuat dengan dukungan FDA, NIH, Dept. of Homeland Security, NASA, Angkatan Udara AS dan Institut Nasional Standar dan Teknologi! Itu telah berlangsung selama sekitar satu tahun, dan sekarang sedang berlangsung. Pemimpin DTS Dr. David Klonoff, seorang ahli endokrinologi California dan Direktur Medis Institut Penelitian Diabetes di fasilitas Peninsula-Peninsula Health Services, mengatakan bahwa organisasi tersebut sekarang merekrut produsen perangkat untuk mengadopsi dan produk mereka dievaluasi menggunakan standar DTSec yang baru. . Dia mengatakan kelompok tersebut sedang berdiskusi dengan "beberapa pelaku industri," dan mereka memperkirakan produsen akan segera melakukan penandatanganan.

Sejauh ini, Animas belum mengetahui ketertarikan untuk mendukung standar keamanan cybersecurity DTS yang baru. Sebagai gantinya, perusahaan telah memilih untuk mengambil permasalahannya secara internal bersamaan dengan FDA.

Tetapi dengan regulator FDA di belakang standar baru, nampaknya hanya masalah waktu sebelum perusahaan dipaksa untuk mematuhi. Klasifikasi menyatakan bahwa mereka akan didasarkan pada tiga faktor kunci: DTS bekerja dengan FDA untuk menciptakan standar DTSec, dengan memberikan kredibilitas peraturan yang benar, perusahaan akan merasa bahwa ini adalah keunggulan kompetitif untuk menunjukkan bahwa mereka memiliki keamanan cybersecurity yang baik. . Hal ini memungkinkan mereka mendokumentasikan bahwa …

Perusahaan-perusahaan yang bertahan pada akhirnya dapat berpotensi bertanggung jawab, baik untuk denda peraturan atau proses pengadilan potensial jika pernah ada kasus cybersecurity terhadap mereka; Jika mereka tidak mengikuti standar DTSec ini, bisa jadi lebih sulit untuk mengklaim bahwa mereka tidak melakukan kesalahan.

"Saya berharap untuk menangkapnya, dan saat kita berbicara dengan beberapa pembuat perangkat U. S., kami juga bekerja untuk membuat ini internasional," kata Klonoff.

Kami sangat berharap begitu.

Penafian

: Konten yang dibuat oleh tim Tambang Diabetes. Untuk lebih jelasnya klik disini.

Disclaimer

Konten ini dibuat untuk Diabetes Mine, sebuah blog kesehatan konsumen yang berfokus pada komunitas diabetes. Konten tersebut tidak ditinjau secara medis dan tidak mematuhi pedoman editorial Healthline. Untuk informasi lebih lanjut tentang kemitraan Healthline dengan Diabetes Mine, silakan klik di sini.