FDA: Medtronics ældre insulinpumper er ikke cybersikker

Hvis du følger produktsikkerhedsmeddelelser eller de seneste medicinske overskrifter, har du muligvis hørt, at ældre Medtronic-insulinpumper kaldes usikre og sårbare over for cyberangreb.

Yep, FDA og Medtronic har begge udsendt feltsikkerhedsmeddelelser om ældre pumper i Revel og Paradigm-serien, enheder, der i nogle tilfælde er fra et årti op til næsten 20 år nu. Her er FDA-meddelelsen og patientbrevet fra Medtronic selv.

De berørte enheder inkluderer: Minimed 508 (først lanceret i 1999), Paradigm-modellerne (511, 512/712, 515/715, 522/722 og ældre versioner af 523/723) samt den ældre Minimed Paradigm Veo-versioner solgt uden for USA

Ingen grund til panik

Før nogen bliver helt freaked om insulinpumpesikkerhed, skal vi være klar over, at både FDA og Medtronic bekræfter, at der har været NUL rapporter om nogen form for manipulation med disse pumper. Så på trods af de sensationelle overskrifter forbliver et skræmmende scenarie, hvor en eller anden uhyggelig cyberhacker omprogrammerer en persons pumpe til at levere for meget insulin, foder til tv- eller filmplotter. Mens sådan noget teoretisk kan være muligt, er den reelle risiko meget mere sandsynligt, at der er en defekt CGM-sensoraflæsning, der får pumpen til at levere for meget eller for lidt insulin i disse ældre modeller.

Den officielle meddelelse fra FDA er simpelthen agenturet, der gør sit job med at advare folk om potentielle farer, der kan eksistere. Det er endnu en begivenhed med "nul dag" - som advarslen om Animas insulinpumper tilbage i 2016 - hvor producenten er tvunget til at afsløre sårbarhed, der kunne skabe risiko.

Endnu vigtigere er dette ikke en ny udvikling. Forestillingen om, at Medtronic-pumper er sårbare, har været offentlig siden 2011, hvor almindelige medier rapporterede, at "hvid hat" -hacker Jay Radcliffe havde formået at bryde ind i koden for en insulinpumpe, og almindelige medier var overalt. Selv to kongresmedlemmer på det tidspunkt blev fanget i hypen, og i de følgende år har de relaterede cybersikkerhedsproblemer cirkuleret, da FDA og den føderale regering udarbejdede retningslinjer og protokoller for mulige cybersikkerhedsproblemer inden for medicinsk teknologi.

Ikke en traditionel tilbagekaldelse

På trods af rapportering i almindelige medier bekræfter Medtronic også med os, at dette ikke er en traditionel produktindkaldelse. ”Dette er kun en sikkerhedsmeddelelse. Påvirkede pumper skal ikke returneres på grund af denne meddelelse, ”siger Pam Reese, Medtronic Diabetes 'direktør for global kommunikation og virksomhedsmarkedsføring.

Hun fortæller os, at folk, der bruger disse ældre pumper, stadig kan bestille forsyninger fra Medtronic og fra distributører.

Hvad skal du faktisk gøre, hvis du har en af ​​de berørte pumper?

”Vi anbefaler, at du taler med din sundhedsudbyder for at diskutere cybersikkerhedsproblemet og de trin, du kan tage for at beskytte dig selv. I mellemtiden er specifikke instruktioner altid at holde din insulinpumpe og de enheder, der er tilsluttet din pumpe, inden for din kontrol og ikke at dele pumpens serienummer med nogen, ”siger Reese.

Hvorfor udstede en advarsel nu?

Dette er det store spørgsmål i mange sind i patientmiljøet.

Hvis Medtronic og FDA har været opmærksomme på denne sårbarhed i otte fulde år, og nu er alle disse ældre generationers Minimed-insulinpumper faktisk afbrudt og ikke-markedsført for nye kunder i USA, hvad der fik en alarm på dette øjeblik i tiden ?

Medtronic's Reese siger: ”Det har været en løbende samtale, fordi cybersikkerhedsbeskyttelse konstant udvikler sig, da teknologien fortsætter med at forbedre sig hurtigt, og tilsluttede enheder skal følge med i dette tempo ... Vi blev opmærksomme på dette i slutningen af ​​2011, og vi begyndte at implementere sikkerhedsopgraderinger til vores pumper på det tidspunkt. Siden da har vi frigivet nyere pumpemodeller, der kommunikerer på helt forskellige måder. Med den voksende opmærksomhed omkring cybersikkerhed i den medicinske udstyrsindustri i dag følte vi, at det var vigtigt for vores kunder at forstå problemerne og risiciene mere detaljeret. ”

Det kan være, men hvad der også er sket i løbet af de sidste par år er fødslen og den eksponentielle vækst i #WeAreNotWaiting DIY diabetes teknologi bevægelse; i dag skaber tusinder af mennesker over hele verden deres egne hjemmelavede lukkede systemer. Mange af disse bygges på baggrund af disse nøjagtigt ældre modeller af Medtronic-pumper, som virksomheden pludselig har besluttet at tale ud om.

Medtronic siger, at de allerede har identificeret 4.000 direkte kunder, der muligvis bruger disse ældre enheder, der muligvis er i fare, og vil arbejde sammen med tredjepartsdistributører for at identificere andre.

Mistænkelige sind kan tænke på to mulige årsager til en pludselig advarsel nu:

• FDA bruger denne “potentielle risiko” advarsel som et middel til at nedbringe den voksende brug af DIY-teknologi, der ikke er reguleret eller godkendt til kommercielt salg.

• Og / eller Medtronic laver en konkurrencedygtig skakbevægelse her og understøtter en cybersikkerhedsalarm for at skræmme folk fra at bruge ældre enheder uden for garantien og i stedet skubbe kunder til at opgradere til nyere, "mere sikre" enheder som 630G og 670G Hybrid lukket sløjfesystem.

For få uger siden på vores D-Data ExChange-begivenhed den 7. juni blev den store meddelelse offentliggjort, at Medtronic ville begynde at arbejde med open source non-profit Tidepool for at skabe en ny version af sin insulinpumpe, der vil være interoperabel med andre produkter og med den fremtidige Tidepool Loop-app udvikles til Apple Store. Det er muligt, at Medtronic håber at lægge grunden til, at gør-det-selv gør det med Medtronic-produkter, bare ikke de ældre versioner, de ikke længere ønsker at være ansvarlige for.

Målretter ikke DIY-systemer?

Glem ikke, at FDA i maj 2019 udsendte en advarsel om DIY-teknologi og systemer, der er "off-label", selvom de bruger FDA-godkendte enheder i systemkomponenterne. Men agenturet siger, at disse to alarmer ikke er relateret.

”Dette er et separat problem fra advarslen om DIY-teknologi,” forklarer Alison Hunt i FDA's Media Affairs Office. "FDA blev gjort opmærksom på yderligere sårbarheder forbundet med disse pumper, der, når de blev overvejet med dem, der blev beskrevet i 2011, førte os til at udsende denne sikkerhedskommunikation og Medtronic til at udsende denne seneste alarm."

Hun påpeger, at denne seneste sikkerhedskommunikation "specifikt diskuterer cybersikkerhedssårbarheden, hvor en uautoriseret person potentielt kunne oprette trådløs forbindelse til en nærliggende MiniMed-insulinpumpe og ændre pumpens indstillinger for enten at overlevere insulin til en patient, hvilket fører til lavt blodsukker (hypoglykæmi) ) eller stoppe insulinafgivelsen, hvilket fører til forhøjet blodsukker og diabetisk ketoacidose. ”

Hunt siger, at FDA har løbende diskussioner med producenterne, og når der opstår bekymringer, "arbejder vi hurtigt med at udvikle en handlingsplan, herunder hvordan man kan mindske eventuelle sårbarheder inden for cybersikkerhed, og hvordan man effektivt kommunikerer med offentligheden så hurtigt som muligt."

OK, men intet af dette forklarer nøjagtigt, hvorfor det i dette tilfælde tog år at løse et kendt cybersikkerhedsproblem ...?

Som nævnt ovenfor ser mange i D-Community dette som et forsøg på at målrette DIY-teknologi såvel som at bringe nye kunder til den nyeste Medtronic-teknologi. Inden for #WeAreNotWaiting-samfundet har mange kritiseret de nylige FDA-aktioner - advarslerne om DIY-teknologi og denne ældre tekniske cybersikkerhed - for at være kortsynede, især i betragtning af forekomsten af ​​unøjagtige CGM-aflæsninger og virkelige problemer med kommercielt regulerede diabetesenheder. der ude. Et #WeAreNotWaiting-medlem gravede endda ind i en ny FDA-bivirkningsrapport, der blev udgivet i juni 2019, hvor man kiggede på de sidste to årtier af uønskede hændelser, og fandt ud af, at Medtronic-insulinpumper i 2018 alene var ansvarlige for 11,5% af alle hændelser.

Whoa! Gør matematikken, og det er klart, at kommercielle, FDA-godkendte enheder har problemer alene.

Det er bestemt muligt, at dette netop er, hvad det ser ud til at være pålydende: officiel anerkendelse af en cybersikkerhedsfejl for gammel teknologi, der går forud for Bluetooth-æraen med datadeling og fjernovervågning. Men hvorfor tog det næsten et årti at realisere sig til faktisk handling?

Mens svaret på "Hvorfor nu?" på dette forbliver uklart, ved vi, at FDA har været en ven til #WeAreNotWaiting-samfundet gennem årene. De har været modtagelige for åben kommunikation med patientsamfundet. Vi ved også, at der er reelle problemer med ansvar og sikkerhed i forbindelse med DIY-teknologi, og at FDA er blevet meget målt i håndteringen af ​​disse potentielle risici. Lad os håbe, at tendensen fortsætter.

I mellemtiden forbliver vi ret sikre på, at ingen hacker pumper for at dræbe folk. Fear-mongering hjælper ikke nogen - hverken DIY-samfundet eller Pharma-virksomhederne selv.