Bekymringer om cybersikkerhed ser ud til at accostere os i en uendelig løkke i disse dage. Blandt en strøm af rapporter om databrud, krænkede privatlivsaftaler og cyberangreb i den private og offentlige sektor kan det være svært at afgøre, hvad der virkelig er sikkert.
Og efter et par hackinger af insulinpumpe skræmmer et par år tilbage, kan vi ikke undgå at undre os over: hvor står vi med hensyn til sikkerheden ved vores diabetesenheder (og de oplysninger, de indeholder) i 2019?
Sagen med risiko er, at den undertiden er reel og undertiden opfattes. Håndtering af reel risiko fører til sikkerhed. Mens besættelse af opfattet risiko fører til frygt. Så hvad er rigtigt her? Og hvad gøres der nøjagtigt for at imødegå cybersikkerhedsproblemer med diabetesteknologi?
Fremskridt med medicinske cybersikkerhedsstandarder
I oktober 2018 udsendte den amerikanske fødevare- og lægemiddeladministration (FDA) vejledning før markedsføring for alle medicinske enheder, der indeholder cyberrisici. Senere på efteråret udgav Health Canada også et vejledningsdokument, der indeholder cybersikkerhedsanbefalinger, der skal bruges af medteknologiske virksomheder i deres udviklings- og testfaser. Ideen er naturligvis, at ved at følge retningslinjerne, vil leverandører bringe enheder til markedet, der allerede er sikre, versus at se enheder, hvis sårbarheder opdages efter markedsføring gennem patientbrug.
Ifølge en pressemeddelelse fra Health Canada er blandt cybersikkerhedsanbefalingerne i deres udkast til vejledning: 1) inkorporering af cybersikkerhedsforanstaltninger i risikostyringsprocesser for alle enheder med softwarekomponent, 2) etablering af rammer til styring af cybersikkerhedsrisici på virksomhedsniveau og 3) verifikation og validering af alle cybersikkerhedsrisikokontrolprocesser. De anbefaler specifikt foranstaltninger såsom implementering af UL 2900 cybersikkerhedsstandarden for at mindske risici og sårbarheder.
Ken Pilgrim, Senior Regulatory Affairs & Quality Assurance-konsulent hos Emergo Group i Vancouver, sagde, at den nye vejledning skulle vise sig at være værdifuld for producenter af medicinsk udstyr ikke kun i Canada, men også andre jurisdiktioner, der udvikler lignende cybersikkerhedskrav.
I mellemtiden rulles foranstaltninger til at imødegå cybersikkerhed af diabetesenheder specifikt fremad i USA.
I slutningen af oktober annoncerede Diabetes Technology Society (DTS), at OmniPod DASH var blevet den første FDA-ryddede insulinpumpe, der modtog certificering under DTS's "Standard for Wireless Diabetes Device Security" cybersikkerhedsstandard og -program, kendt som DTSec.
DTS blev grundlagt i 2001 af Dr. David Klonoff med det formål at fremme brugen og udviklingen af diabetesteknologi. DTSec er i det væsentlige den første organiserede sikkerhedsstandard for diabetesteknologi. Tænk på det som en slags sikkerhedstempel, der ligner hvordan vi ser en https-webadresse. Standarden blev etableret i 2016 efter forskning og input fra den akademiske verden, industrien, regeringen og kliniske centre. Som de fleste standarder er det en frivillig vejledning for producenter at overveje at vedtage og følge.
Siden da har organisationen fortsat skubbet på cybersikkerhedsforskning og risikovurdering, vært for konferencer og udviklet mere dybtgående beskyttelse.
Sidste juni, et par måneder før meddelelsen om OmniPod efter DTSec, udgav gruppen ny sikkerhedsvejledning kaldet DTMoSt, forkortelse for "Brug af mobile enheder i Diabetes Control-sammenhænge."
Ifølge Klonoff, medicinsk direktør for Diabetes Research Institute ved Mills-Peninsula Medical Center, San Mateo, CA, bygger DTMoSt-retningslinjerne på DTSec ved at blive den første standard med både præstationskrav og sikkerhedskrav til producenter af tilsluttet medicinsk udstyr styret af en mobil platform.
DTMoSt identificerer trusler, såsom ondsindede fjern- og app-baserede angreb og "ressource sult", til sikker drift af mobile enhedsaktiverede løsninger og tilbyder vejledning til udviklere, regulatorer og andre interessenter til at hjælpe med at håndtere disse risici.
Sikkerhedsforanstaltninger bør ikke hindre brug
I dag er ens glucometer-, CGM- og diabetes-smartphone-app muligvis alle forbundet til internettet og derfor åbne for et vist risikoniveau.
På trods af den fortsatte snak om farerne ved tingenes internet advarer eksperter om, at den faktiske risiko for offentligheden er ret lav. Når det kommer til sikkerhed, er dårlige mennesker bare ikke så interesserede i nogens blodsukkerdata (sammenlignet med deres bankkontokodeord).
Når det er sagt, er investeringer i cybersikkerhed nødvendige som forebyggende foranstaltninger mod trusler og sikrer grundlæggende sikkerhed for brugere og kunder.
Men ulempen er, at implementering af cybersikkerhedsforanstaltninger undertiden kan betyde at gøre et system meget hårdt eller umuligt at bruge til datadeling på den måde, det er beregnet til. Tricket i ligningen er ikke at begrænse mulighederne for drift og adgang for tilsigtede mennesker.
Og hvad med privatlivets fred? Igen og igen ser vi, at mens folk siger, at de prioriterer privatlivets fred, ser de ud til at handle på en modstridende måde ved at give samtykke, rulle, initialisere, underskrive og give adgang til information og data med meget lidt reel tanke eller bekymring. Sandheden er, at vi forbrugere normalt ikke læser fortrolighedspolitikker meget omhyggeligt, overhovedet. Vi trykker bare på knappen 'næste'.
Modregning af frygt og trøst
Mange i branchen advarer den negative side af cybersikkerhed: et fokus på frygt, der grænser op til besættelse, forhindrer forskning og i sidste ende kan koste liv. Dette er mennesker, der erkender, at cyberverdenen og vores diabetesenheder er åbne for risiko, men føler at overreaktion potentielt er mere farlig.
"Hele spørgsmålet om 'cybersikkerhed i enheder' får langt mere opmærksomhed, end det fortjener," siger Adam Brown, seniorredaktør hos diaTribe og forfatter af Bright Spots & Landmines: Diabetes Guide Jeg ønsker, at nogen havde givet mig. ”Vi har brug for, at virksomheder bevæger sig hurtigere, end de er, og cybersikkerhed kan medføre unødig frygt. I mellemtiden er folk derude med vinger uden data, ingen forbindelse, ingen automatisering og ingen support. ”
Howard Look, administrerende direktør for Tidepool, D-Dad, og en nøglekraft bag # WeAreNotWaiting-bevægelsen, ser begge sider af sagen, men er enig med Brown og andre eksperter i branchen, der frygter at kontrollere antallet af medicinske fremskridt.
”Helt sikkert skal enhedsvirksomheder (herunder software som virksomheder til medicinsk udstyr, som Tidepool) tage cybersikkerhed meget, meget alvorligt,” siger Look. ”Vi ønsker bestemt ikke at skabe en situation, hvor der er risiko for et masseangreb på enheder eller apps, der kan skade mennesker. Men billeder af 'hackere i hættetrøjer' med kranium og krydsede knogler på computerskærme skræmmer bare folk, der ikke rigtig forstår, hvad der står på spil. Det får enhedsselskaber til at bremse, fordi de er bange. Det hjælper dem ikke med at forstå den rigtige ting at gøre. ” Look henviste til Powerpoint-dias vist på diabetesmedicinske konferencer med uhyggelige billeder, der påstås cyberfarer.
OpenAPS og Loop gør-det-selv lukkede kredsløbssystemer, der er blevet populære, er teknisk baseret på en "sårbarhed" i ældre Medtronic-pumper, der muliggør trådløs fjernstyring af disse pumper. For at hacke pumperne skal du kende serienummeret, og du skal være tæt på pumpen i 20 sekunder. "Der er meget nemmere måder at dræbe nogen på, hvis det er det, du vil gøre," siger Look.
Mange hævder, at denne foreslåede "sårbarhed" inden for sikkerhed, så skræmmende som det i teorien kan være, er en enorm fordel, da det har gjort det muligt for tusindvis af mennesker at køre OpenAPS og Loop, redde liv og forbedre livskvaliteten og folkesundheden for dem, der bruger dem.
En målt tilgang til risici
Organisationer som DTS udfører vigtigt arbejde. Enhedssikkerhed betyder noget. Og forsknings- og konferencepræsentationer om emnet er konstanter i branchen - diabetesteknologi og cybersikkerhed vil være et fokus for flere elementer af den 12. internationale konference om avancerede teknologier og behandlinger for diabetes (ATTD 2019), der afholdes senere denne måned i Berlin. Men disse sandheder eksisterer fortsat ved siden af den virkelighed, at folk har brug for bedre værktøjer, der er billigere, og vi har brug for dem hurtigt.
"Kendetegnet ved store enheder er kontinuerlig forbedring, ikke perfektion," siger Brown. "Det kræver tilslutning, interoperabilitet og ekstern softwareopdatering."
Mens enheder er åbne for risici, synes eksperter at være enige om, at de generelt er ret sikre og sikre. Fremad gennem hele 2019 og derefter synes konsensus at være, at selv om det er vigtigt at holde øje med cyberrisiko, er denne risiko ofte overvurderet og potentielt blegner mod sundhedsrisikoen ved ikke at have avancerede diabetesværktøjer.