W dzisiejszych czasach wydaje się, że obawy związane z cyberbezpieczeństwem w nieskończoność pojawiają się w nas. Wśród zalewu zgłoszeń naruszeń danych, naruszeń umów dotyczących prywatności i cyberataków w sektorze prywatnym i publicznym może być trudno określić, co jest naprawdę bezpieczne.
A po kilku przerażeniach związanych z włamaniami do pompy insulinowej kilka lat temu, nie możemy przestać się zastanawiać: na czym stoimy, jeśli chodzi o bezpieczeństwo naszych urządzeń do cukrzycy (i zawartych w nich informacji) w 2019 roku?
Ryzyko polega na tym, że czasami jest to rzeczywiste, a czasami postrzegane. Zajmowanie się rzeczywistym ryzykiem prowadzi do bezpieczeństwa. Podczas gdy obsesja na punkcie postrzeganego ryzyka prowadzi do strachu. Więc co jest tutaj prawdziwe? I co dokładnie robi się, aby rozwiązać problemy związane z cyberbezpieczeństwem technologii cukrzycy?
Postęp w zakresie standardów cyberbezpieczeństwa medycznego
W październiku 2018 r. Amerykańska Agencja ds.Żywności i Leków (FDA) wydała wytyczne przed wprowadzeniem na rynek wszystkich urządzeń medycznych zawierających cyberzagrożenia. Później jesienią Health Canada wydało również wytyczne zawierające zalecenia dotyczące cyberbezpieczeństwa, które mają być wykorzystywane przez firmy z branży medycznej na etapie ich opracowywania i testowania. Chodzi oczywiście o to, że postępując zgodnie z wytycznymi, dostawcy wprowadzą na rynek urządzenia, które są już bezpieczne, w przeciwieństwie do urządzeń, których luki zostały odkryte po wprowadzeniu na rynek poprzez użycie przez pacjentów.
Według informacji prasowej Health Canada, wśród zaleceń dotyczących cyberbezpieczeństwa urządzeń medycznych w ich projekcie wytycznych znajdują się: 1) włączenie środków cyberbezpieczeństwa do procesów zarządzania ryzykiem dla wszystkich urządzeń z komponentem oprogramowania, 2) ustanowienie ram zarządzania ryzykiem cyberbezpieczeństwa na poziomie przedsiębiorstwa, oraz 3) weryfikacja i walidacja wszystkich procesów kontroli ryzyka cyberbezpieczeństwa. W szczególności zalecają środki, takie jak wdrożenie standardu cyberbezpieczeństwa UL 2900 w celu ograniczenia zagrożeń i luk w zabezpieczeniach.
Ken Pilgrim, starszy konsultant ds.regulacji i zapewnienia jakości w Emergo Group w Vancouver, powiedział, że nowe wytyczne powinny okazać się cenne dla producentów urządzeń medycznych nie tylko w Kanadzie, ale także w innych jurysdykcjach opracowujących podobne wymagania w zakresie cyberbezpieczeństwa.
W międzyczasie w Stanach Zjednoczonych trwają prace nad cyberbezpieczeństwem urządzeń dla diabetyków.
Pod koniec października Diabetes Technology Society (DTS) ogłosiło, że OmniPod DASH stał się pierwszą pompą insulinową zatwierdzoną przez FDA, która otrzymała certyfikat w ramach standardu i programu zapewniania bezpieczeństwa cybernetycznego „Standard for Wireless Diabetes Device Security”, znanego jako DTSec.
Firma DTS została założona w 2001 roku przez dr Davida Klonoffa w celu promowania stosowania i rozwoju technologii cukrzycy. DTSec jest zasadniczo pierwszym zorganizowanym standardem bezpieczeństwa dla technologii diabetologicznej. Potraktuj to jako rodzaj pieczęci bezpieczeństwa, podobnie jak widzimy adres internetowy https. Standard został ustanowiony w 2016 roku po badaniach i wkładzie ze środowiska akademickiego, przemysłu, rządu i ośrodków klinicznych. Podobnie jak w przypadku większości norm, są to dobrowolne wytyczne dla producentów do rozważenia ich przyjęcia i przestrzegania.
Od tego czasu organizacja kontynuuje badania nad cyberbezpieczeństwem i ocenę ryzyka, organizując konferencje i opracowując bardziej dogłębne zabezpieczenia.
W czerwcu ubiegłego roku, kilka miesięcy przed ogłoszeniem dotyczącym OmniPod po DTSec, grupa wydała nowe wskazówki dotyczące bezpieczeństwa o nazwie DTMoSt, skrót od „Use of Mobile Devices in Diabetes Control Contexts”.
Według Klonoffa, dyrektora medycznego Diabetes Research Institute w Mills-Peninsula Medical Center w San Mateo w Kalifornii, wytyczne DTMoSt opierają się na DTSec, stając się pierwszym standardem spełniającym zarówno wymagania dotyczące wydajności, jak i wymagania dotyczące gwarancji dla producentów podłączonych urządzeń medycznych kontrolowanych przez platforma mobilna.
DTMoSt identyfikuje zagrożenia, takie jak złośliwe zdalne i oparte na aplikacjach ataki oraz „głód zasobów”, dla bezpiecznego działania rozwiązań obsługujących urządzenia mobilne i oferuje wskazówki dla programistów, organów regulacyjnych i innych interesariuszy, aby pomóc w zarządzaniu tymi zagrożeniami.
Środki bezpieczeństwa nie powinny utrudniać użytkowania
Obecnie glukometr, CGM i aplikacja na smartfony dla diabetyków mogą być połączone z Internetem, a tym samym narażone na pewne ryzyko.
Jednak pomimo ciągłych rozmów o zagrożeniach związanych z Internetem przedmiotów eksperci ostrzegają, że rzeczywiste zagrożenie dla społeczeństwa jest dość niskie. Jeśli chodzi o bezpieczeństwo, źli ludzie po prostu nie są zainteresowani czyimiś danymi dotyczącymi poziomu glukozy we krwi (w porównaniu z hasłem do konta bankowego).
Mając to na uwadze, inwestycje w cyberbezpieczeństwo są niezbędne jako środki zapobiegające zagrożeniom i zapewniające podstawowe bezpieczeństwo użytkowników i klientów.
Wadą jest jednak to, że wdrażanie środków bezpieczeństwa cybernetycznego może czasami oznaczać bardzo trudne lub niemożliwe wykorzystanie systemu do udostępniania danych w zamierzony sposób. Sztuczka w równaniu nie polega na ograniczaniu możliwości obsługi i dostępu dla zamierzonych osób.
A co z prywatnością? Wielokrotnie widzimy, że chociaż ludzie twierdzą, że priorytetowo traktują prywatność, wydają się działać w sprzeczny sposób, wyrażając zgodę, przewijając, inicjując, podpisując i udzielając dostępu do informacji i danych przy bardzo niewielkim przemyśleniu lub zmartwieniu. Prawda jest taka, że my, konsumenci, zazwyczaj nie czytamy bardzo uważnie polityki prywatności, jeśli w ogóle. Po prostu kliknęliśmy przycisk „Dalej”.
Równoważenie strachu i niepokoju
Wielu przedstawicieli branży ostrzega przed niekorzystną stroną cyberbezpieczeństwa: skupienie się na strachu, który graniczy z obsesją, utrudnia badania i może ostatecznie kosztować życie. Są to ludzie, którzy zdają sobie sprawę, że cyberświat i nasze urządzenia do cukrzycy są narażone na ryzyko, ale uważają, że nadmierna reakcja jest potencjalnie bardziej niebezpieczna.
„Całemu zagadnieniu„ cyberbezpieczeństwa w urządzeniach ”poświęca się dużo więcej uwagi, niż na to zasługuje - mówi Adam Brown, starszy redaktor w diatryba i autor Bright Spots & Landmines: The Diabetes Guide. Chciałbym, żeby ktoś mi przekazał. „Potrzebujemy firm, aby działały szybciej niż są w rzeczywistości, a cyberbezpieczeństwo może budzić niepotrzebny strach. W międzyczasie ludzie robią to bez danych, łączności, automatyzacji i wsparcia ”.
Howard Look, dyrektor generalny Tidepool, D-Dad i kluczowa siła stojąca za ruchem #WeAreNotWaiting, widzi obie strony problemu, ale zgadza się z Brownem i innymi ekspertami branżowymi, którzy obawiają się kontroli tempa postępu medycznego.
„Z pewnością firmy produkujące urządzenia (w tym firmy produkujące oprogramowanie medyczne, takie jak Tidepool) muszą bardzo poważnie potraktować cyberbezpieczeństwo” - mówi Look. „Z pewnością nie chcemy stwarzać sytuacji, w której istnieje ryzyko masowego ataku na urządzenia lub aplikacje, które mogłyby zaszkodzić ludziom. Ale zdjęcia „hakerów w bluzach z kapturem” z czaszkami i piszczelami na ekranach komputerów po prostu przerażają ludzi, którzy tak naprawdę nie rozumieją, o co toczy się gra. To powoduje, że firmy produkujące urządzenia zwalniają, ponieważ się boją. Nie pomaga im to zrozumieć, co należy zrobić ”. Spójrz odnosił się do slajdów Powerpoint pokazanych na konferencjach medycznych zajmujących się cukrzycą z niesamowitymi obrazami rzekomych zagrożeń cybernetycznych.
Systemy OpenAPS i Loop do samodzielnego wykonania z zamkniętą pętlą, które stały się popularne, są technicznie oparte na „luce” w starszych pompach Medtronic, która umożliwia bezprzewodowe zdalne sterowanie tymi pompami. Aby zhakować pompy, musisz znać numer seryjny i być blisko pompy przez 20 sekund. „Są o wiele łatwiejsze sposoby na zabicie kogoś, jeśli tego chcesz” - mówi Look.
Wielu twierdzi, że ta proponowana „luka w zabezpieczeniach”, choć teoretycznie przerażająca, jest ogromną korzyścią, ponieważ umożliwiła tysiącom ludzi korzystanie z OpenAPS i pętli, ratując życie i poprawiając jakość życia i zdrowia publicznego osób używających im.
Mierzone podejście do ryzyka
Organizacje takie jak DTS wykonują ważną pracę. Bezpieczeństwo urządzenia ma znaczenie. A badania i prezentacje konferencyjne na ten temat są stałym elementem branży - technologia diabetologiczna i cyberbezpieczeństwo będą przedmiotem kilku elementów 12. Międzynarodowej Konferencji Zaawansowanych Technologii i Leczenia Cukrzycy (ATTD 2019), która odbędzie się pod koniec tego miesiąca w Berlinie. Ale te prawdy nadal istnieją obok rzeczywistości, że ludzie potrzebują lepszych i tańszych narzędzi, a my potrzebujemy ich szybko.
„Cechą charakterystyczną wspaniałych urządzeń jest ciągłe doskonalenie, a nie perfekcja” - mówi Brown. „To wymaga łączności, współdziałania i zdalnej aktualizacji oprogramowania”.
Chociaż urządzenia są narażone na ryzyko, eksperci zdają się zgadzać, że generalnie są one całkiem bezpieczne. W 2019 roku i później wydaje się, że konsensus jest taki, że chociaż obserwowanie cyberzagrożenia jest ważne, ryzyko to jest często przeceniane i potencjalnie blednie w porównaniu z zagrożeniami dla zdrowia wynikającymi z braku zaawansowanych narzędzi diabetologicznych.