Κίνδυνος Hacking αντλίας ινσουλίνης σε Animas OneTouch Ping;

Οι ειδήσεις στροβιλίζονται σε νέες αποκαλύψεις ότι η αντλία ινσουλίνης Animas OneTouch Ping κινδυνεύει να χάσει, με τον κατασκευαστή να δίνει μια καθησυχαστική επιστολή στους ασθενείς, η οποία περιλαμβάνει συμβουλές για τη μείωση του κινδύνου ασφάλειας στον κυβερνοχώρο.

Την Τρίτη 4 Οκτωβρίου, η Animas, που ανήκει στην JnJ, εξέδωσε ειδοποίηση για την ασφάλεια του κυβερνοχώρου στους χρήστες του OneTouch Ping, ο οποίος είναι διαθέσιμος από το 2008 και επικοινωνεί με ένα μετρητή γλυκόζης για απομακρυσμένους ασθενείς.

JNJ λέει ότι ανακάλυψαν μια πιθανή ρωγμή που βασίζεται σε μια άκρη από την γνωστός εμπειρογνώμονας στον κυβερνοχώρο Jay Radcliffe, ο οποίος ζει με T1D και έκανε ένα όνομα για τον εαυτό του, εκθέτοντας hacking κινδύνους Medtronic αντλίες πριν από αρκετά χρόνια. Σε επαφή με την εταιρεία τον Απρίλιο, για να πει ότι ανακάλυψε έναν τρόπο να αποκτήσει κάποιος δυνητικά μη εξουσιοδοτημένη πρόσβαση στην αντλία μέσω του μη κρυπτογραφημένου συστήματος επικοινωνιών ραδιοσυχνοτήτων.

Έχουν εξερευνήσει συλλογικά το ζήτημα αφού έχουν ειδοποιήσει το FDA και το Υπουργείο Εσωτερικής Ασφάλειας και τώρα έξι μήνες αργότερα είναι έτοιμοι να αποκαλύψουν δημοσίως το θέμα με συγκεκριμένα στοιχεία για τον τρόπο καταπολέμησής του.

Φυσικά, τα μεγάλα μέσα μαζικής ενημέρωσης πήραν γρήγορα το ιστορικό, αν και όχι στο επίπεδο της φρενίτιδας που έχουμε δει στο παρελθόν. Η ιατρική συσκευή hacking κάνει πάντα για ζουμερές ειδήσεις, και υπήρξε μια γραμμή οικόπεδο σε δημοφιλείς τηλεοπτικές εκπομπές όπως η μαύρη λίστα πριν από λίγα χρόνια.

δυναμικού και να προσφέρει διορθώσεις. Για να είμαστε σαφείς, εμείς στο

Ορυχείο δεν νομίζουμε ότι αυτό είναι ιδιαίτερα απειλητικό. Ειλικρινά, είμαστε πιο πιθανό να δούμε μια μπαταρία Samsung Note 7 να εκραγεί σε κοντινή απόσταση από το να δούμε κάποιον να χτυπήσει σε μια αντλία ινσουλίνης για να κάνει κακό. Ωστόσο, η ασφάλεια των συσκευών μας πρέπει να ληφθεί σοβαρά υπόψη. είναι ένα σημαντικό θέμα στο οποίο η FDA εξετάζει τώρα την τελική καθοδήγηση για τους κατασκευαστές ακόμη και όταν μιλάμε (μετά από μια δημόσια περίοδο σχολιασμού νωρίτερα φέτος σχετικά με το σχέδιο καθοδήγησης).

Τώρα, η αντλία Animas γίνεται η πιο πρόσφατη συσκευή για την αύξηση κόκκινες σημαίες για τους πιθανούς κινδύνους …

Animas Εξηγεί το θέμα

Νωρίτερα αυτή την εβδομάδα, JNJ οργάνωσε μια κλήση συνδιάσκεψης με ένα μικρό αριθμό των μέσων μαζικής ενημέρωσης διαβήτη και υποστηρικτές σε συζητήστε αυτό το ζήτημα. Σε αυτή την έκκληση ήταν ο επικεφαλής ιατρικός διευθυντής του JnJ, Δρ. Brian Levy, και ο αντιπρόεδρος της ασφάλειας πληροφοριών, Marene Allison.

Εξήγησαν ότι η JnJ είχε δημιουργήσει έναν δικτυακό τόπο τον Απρίλιο για τους ασθενείς σχετικά με πιθανές ανησυχίες στον τομέα της ασφάλειας στον κυβερνοχώρο, η οποία συνδέθηκε με την καθοδήγηση της FDA και ήρθε ύστερα από 18 μήνες συζήτησης μεταξύ του κατασκευαστή, του τμήματος Cybersecurity του FDA και του τμήματος.της Εσωτερικής Ασφάλειας.

Σύντομα μετά τη δημιουργία αυτού του δικτυακού τόπου, έλαβαν λέξη από την Radcliffe για το συγκεκριμένο ελάττωμα ασφαλείας στο Animas Ping - συγκεκριμένα ότι η μη κρυπτογραφημένη ραδιοσυχνότητα που χρησιμοποιείται για την απομακρυσμένη επικοινωνία μεταξύ της αντλίας και του μετρητή θα μπορούσε δυνητικά να παραβιάζεται, επιτρέποντας σε κάποιον να παραδίδει ινσουλίνη από απόσταση έως και 25 πόδια μακριά (η Radcliffe δημοσίευσε τις τεχνικές λεπτομέρειες σε αυτήν την ιστοσελίδα Rapid7 info security).

Ο J & J Animas τονίζει ότι κανείς δεν έχει χάσει το Ping του OneTouch. Αντίθετα, ο Radcliffe έκανε τις δοκιμές του σε ένα "ελεγχόμενο περιβάλλον" μόνο για να αποδείξει ότι ο

θα μπορούσε να εισέλθει στη συσκευή και με αυτόν τον τρόπο, έδειξε τον πιθανό κίνδυνο. Οι εκπρόσωποι της εταιρείας εξήγησαν ότι αποφάσισαν να μην εκδώσουν σε μεγάλο βαθμό μια ενημέρωση για το τηλεχειριστήριο λόγω του πολύ χαμηλού κινδύνου και το γεγονός ότι ο κίνδυνος μπορεί να μετριαστεί με μερικά απλά βήματα. Ένα "fix patch" δεν είναι προφανές δεδομένης της ραδιοσυχνότητας που χρησιμοποιείται, καθώς θα καθιστούσε τα τρέχοντα συστήματα ακατάλληλα.

Η επιστολή που έστειλε η εταιρεία σε 114, 000 ασθενείς Ping και οι γιατροί τους στις Η.Π.Α. για την αντλία ινσουλίνης, η οποία θα ειδοποιεί τον χρήστη ότι η δόση βλωμού ξεκινάει από το τηλεχειριστήριο του μετρητή. Αυτό δίνει στον χρήστη την επιλογή να ακυρώσει οποιοδήποτε ανεπιθύμητο bolus και φυσικά είναι μόνο δυνατή η αλλαγή των βασικών ρυθμίσεων bolus και basal από την ίδια την αντλία.

Παρακολουθήστε την ιστορία της ινσουλίνης:

Το Animas παροτρύνει τους χρήστες του Ping να κρατούν καρτέλες στα αρχεία ιστορικού ινσουλίνης μέσα στην αντλία. Κάθε ποσότητα απελευθέρωσης ινσουλίνης, είτε αυτή ενεργοποιείται από το μετρητή είτε από την αντλία, καταγράφεται σε αυτό το ιστορικό και μπορεί να αναθεωρηθεί για τυχόν ανησυχίες. Αυτό θα διακόψει φυσικά την επικοινωνία ραδιοσυχνοτήτων μεταξύ του μετρητή Ping και της αντλίας ινσουλίνης, που σημαίνει ότι οι χρήστες δεν θα μπορούν να δουν τα αποτελέσματα σακχάρου στην αντλία τους ή να χρησιμοποιήσουν το μετρητή για τον έλεγχο της δοσολογίας του βλωμού. Αντ 'αυτού, οι χρήστες θα έπρεπε να πληκτρολογούν με μη αυτόματο τρόπο το BG στην αντλία και το bolus από τη συσκευή.

Ποσότητες ορίου δόσης: Για όσους επιθυμούν να συνεχίσουν να χρησιμοποιούν το μετρητή για απομακρυσμένη δόση, μπορείτε να χρησιμοποιήσετε τις ρυθμίσεις της αντλίας για να περιορίσετε τη μέγιστη δόση βλωμού, την ποσότητα που χορηγήθηκε μέσα στις δύο πρώτες ώρες και τη συνολική ημερήσια δόση της ινσουλίνης. Οποιαδήποτε προσπάθεια υπέρβασης ή υπέρβασης αυτών των ρυθμίσεων θα ενεργοποιήσει συναγερμό αντλίας και θα αποτρέψει την παράδοση ινσουλίνης bolus.

Εκτιμούμε ότι ο Animas έλαβε μέτρα για να ηρεμήσει τους φόβους και να προσφέρει υγιείς συμβουλές σε όσους μπορεί να ανησυχούν. Ακόμα, είναι περίεργο το γεγονός ότι χρειάστηκαν πέντε χρόνια για να ανακαλυφθεί αυτή η αδυναμία του συστήματος Ping δεδομένου ότι ένα παρόμοιο ζήτημα ήρθε πίσω το 2011 με αντίπαλο αντλία. Το Animas αναφέρει ότι αυτό δεν αποτελεί πρόβλημα για το τρέχον σύστημα του Animas Vibe που επικοινωνεί με το Dexcom CGM, επειδή δεν περιλαμβάνει την ίδια δυνατότητα RF που επιτρέπει στον μετρητή και την αντλία να μιλάνε μεταξύ τους. Ωστόσο, φυσικά, η εταιρεία αναφέρει ότι σχεδιάζει να "οικοδομήσει ασφάλεια στον κυβερνοχώρο σε μελλοντικές συσκευές" καθώς προχωράει με τον αγωγό προϊόντων της.

Ο Hacker Cybersecurity Says … Για όσους δεν έχουν ακούσει το όνομα του Jay Radcliffe πριν, είναι εδώ και πολλά χρόνια εμφανές στο μέτωπο του κυβερνοχώρου. Διαγνώστηκε με το T1D στην ηλικία των 22 ετών, έκανε πρωτοσέλιδα το 2011, όταν χάκεψε μια αντλία Medtronic και απελευθέρωσε τα ευρήματά του σχετικά με ενδεχόμενες ατέλειες -που αφορούσε επίσης το απομακρυσμένο bolusing χαρακτηριστικό- σε ένα κορυφαίο συνέδριο χάκερ.

Σας απευθυνθήκαμε για αυτήν την τελευταία ανακάλυψη του CyberSecurity του Animas.

Αυτή η φορά είναι διαφορετική από την κατάσταση της Medtronic, μας λέει ο Radcliffe, επειδή είχε την ευκαιρία να συνεργαστεί με τον Animas αμέσως πριν αποκαλύψει δημοσίως το ζήτημα. Αυτή τη φορά, η δημόσια αποστολή χρονομετρήθηκε σε συνδυασμό με την ειδοποίηση της εταιρείας προς τους καταναλωτές σχετικά με τον τρόπο προστασίας τους.

Λέει ότι είναι σημαντικό ότι αυτή είναι η πρώτη φορά που ένας μεγάλος κατασκευαστής ιατρικών συσκευών εξέδωσε προειδοποίηση σχετικά με πιθανά ελαττώματα ασφάλειας υπολογιστών σε ένα καταναλωτικό προϊόν - ακόμη και όταν δεν έχουν αναφερθεί σχετικές ανεπιθύμητες ενέργειες από οι πελάτες.

Είναι ευχαριστημένος με την απάντηση του Animas, λέει, και δεν ανησυχεί ιδιαίτερα για το πόσο ασφαλές και ασφαλές είναι το OneTouch Ping για PWD.

DiabetesMine

"Εάν κάποιο από τα παιδιά μου έγινε διαβητικό και το ιατρικό προσωπικό συνέστησε να τα βάλει μια αντλία, δεν θα δίσταζα να τα βάλω σε ένα Ping OneTouch. "

Για το μέλλον, ελπίζει ότι η ανακάλυψή του και η επακόλουθη συνεργασία με τον πωλητή τονίζει γιατί είναι σημαντικό τα PWDs να είναι υπομονετικά ενώ οι κατασκευαστές, αυτές τις πολύπλοκες συσκευές.

"Όλοι θέλουμε την καλύτερη τεχνολογία αμέσως, αλλά με ένα απρόσεκτο, τυχαίο τρόπο βάζει όλη την διαδικασία πίσω για όλους", μας είπε.

Απαγόρευση ανοιχτού κώδικα;

Είναι συναρπαστικό να βλέπετε τη συζήτηση να μετατρέπεται σε πτυχές ανοιχτού κώδικα των συσκευών διαβήτη, καθώς σχετίζεται με αυτόν τον κίνδυνο ασφάλισης στον κυβερνοχώρο Animas. Κάποιοι συμπέραναν ότι αυτή ήταν μια προσπάθεια του Animas να αποκρύψει τα έργα ανοιχτού κώδικα όπως το Nightscout και το #OpenAPS ως επικίνδυνες προσπάθειες βασισμένες σε μη κρυπτογραφημένη επικοινωνία. Άλλοι αναρωτήθηκαν αν ήταν πιο αδέσποτο από τον Animas να ρίξει φανερά τα χέρια του και να πει: "Hey, χάκερ D-συσκευών και δημιουργοί OpenAPS - μπορείτε να χρησιμοποιήσετε τις αντλίες μας και όχι μόνο αυτές της Medtronic!" Άλλοι άλλοι ο κόσμος ανοιχτού κώδικα επεσήμανε ότι αυτή η δυνατότητα να χρησιμοποιεί το απομακρυσμένο χαρακτηριστικό γνώρισμα μέσω της κρυπτογραφημένης επικοινωνίας είναι ένα πολύ γνωστό θέμα που εκθέτει λίγο κίνδυνο, αλλά στην πραγματικότητα ανοίγει κάθε είδους δυνατότητες για νέες καινοτομίες της D-tech.

Οι επικεφαλίδες σχετικά με τις «ευπάθειες» μπορεί να είναι τρομακτικές, αλλά η πραγματικότητα είναι ότι η δυνατότητα ανάγνωσης δεδομένων και αντλιών ελέγχου έχει ενθαρρύνει ένα απίστευτο οικοσύστημα καινοτομίας », λέει ο D-Dad Howard Look, Διευθύνων Σύμβουλος της μη κερδοσκοπικής Tidepool δημιουργώντας μια ανοικτή πλατφόρμα για δεδομένα και εφαρμογές για το διαβήτη.

"Θα πρέπει να αναζητούμε τρόπους για να κάνουμε περισσότερα από αυτό. Και αυτή η καινοτομία έχει κάνει τη θεραπεία

περισσότερο

ασφαλής και αποτελεσματική. να μην καταπνίξουν την καινοτομία.Αυτά δεν είναι αμοιβαία αποκλειστικοί στόχοι. "

Κοιτάξτε λέει ότι δεν πρόκειται για ανοικτού κώδικα, αλλά για εξισορρόπηση του κινδύνου ανοιχτών πρωτοκόλλων δεδομένων και ελέγχου με το όφελος να επιτρέπεται η καινοτομία από την κοινότητα - ή από έξω από τα τείχη συγκεκριμένων κατασκευαστών συσκευών.

Μερικοί από τους ασθενείς και την κοινότητα ανοιχτών πηγών ανησυχούν ότι αυτοί οι τρομακτικοί τίτλοι θα μπορούσαν να ωθήσουν τους κατασκευαστές συσκευών και τους ρυθμιστές να σκέφτονται ότι ο μόνος τρόπος για να ασφαλείς συσκευές είναι να πάρουν τα πρωτόκολλα ελέγχου μακριά. Αλλά αυτό δεν πρέπει να συμβαίνει.

"Ναι, να τους εξασφαλίσετε στις μελλοντικές σας συσκευές, αλλά ακόμη και τα ανοιχτά πρωτόκολλα επικοινωνίας (που είναι πολύ δύσκολο να εκμεταλλευτούν, όπως είναι αυτά) είναι καλύτερα από κανένα", λέει η Look. πρέπει να καταλύουν και να ενθαρρύνουν. "

Αξιολόγηση της ιατρικής συσκευής Ασφάλεια στον κυβερνοχώρο Φυσικά, η ασφάλεια στον κυβερνοχώρο στις ιατρικές συσκευές είναι ένα θερμότερο θέμα που διερευνάται από πολλούς εμπειρογνώμονες και οργανισμούς. Τον Μάιο του 2016, η Εταιρεία Διαβήτη Τεχνολογίας της Καλιφόρνιας ανακοίνωσε το πρότυπο DTSec (DTS Cybersecurity Standard for Connected Diabetes Devices), το οποίο δημιουργήθηκε με την υποστήριξη της FDA, του NIH, του Τμήματος Εσωτερικής Ασφάλειας, της NASA, της Πολεμικής Αεροπορίας των ΗΠΑ Εθνικό Ινστιτούτο Προτύπων και Τεχνολογίας! Αυτό ήταν εδώ και περίπου ένα χρόνο και τώρα βρίσκεται σε εξέλιξη.

Ο ηγέτης της DTS, Δρ. David Klonoff, ένας ενδοκρινολόγος της Καλιφόρνιας και ιατρικός διευθυντής του Ινστιτούτου Έρευνας του Διαβήτη στη μονάδα υγειονομικής υπηρεσίας Mills-Peninsula, αναφέρει ότι ο οργανισμός τώρα προσλαμβάνει κατασκευαστές συσκευών για να υιοθετήσουν και να αξιολογήσουν τα προϊόντα τους χρησιμοποιώντας το νέο πρότυπο DTSec . Λέει ότι η ομάδα έχει συζητήσει με "διάφορους φορείς της βιομηχανίας" και αναμένουν να δουν τους κατασκευαστές να συνάπτουν πολύ σύντομα.

Μέχρι στιγμής, ο Animas δεν έχει αναγνωρίσει κανένα ενδιαφέρον για την υποστήριξη του νέου προτύπου ασφάλειας ψηφιακού σήματος DTS. Αντ 'αυτού, η εταιρεία επέλεξε να λάβει το θέμα της εσωτερικά σε συνεργασία με το FDA.

Αλλά με τους ρυθμιστές της FDA πίσω από το νέο πρότυπο, φαίνεται ότι είναι μόνο θέμα χρόνου πριν οι εταιρείες να υποχρεωθούν να συμμορφωθούν.

Η Klonoff πιστεύει ότι θα βασιστούν σε τρεις βασικούς παράγοντες:

Η DTS συνεργάστηκε με τη FDA για τη δημιουργία του προτύπου DTSec δίνοντάς της μια πραγματική ρυθμιστική αξιοπιστία

Οι εταιρείες θα αισθανθούν ότι είναι ένα ανταγωνιστικό πλεονέκτημα για να δείξουν ότι έχουν καλή cybersecurity . Αυτό τους επιτρέπει να τεκμηριώσουν ότι …

Οι εταιρείες που εκκρεμούν θα μπορούσαν ενδεχομένως να είναι υπεύθυνες, είτε για ρυθμιστικά πρόστιμα είτε για ενδεχόμενες διαφορές εάν υπάρχει πάντα μια υπόθεση ηλεκτρονικής ασφάλισης εναντίον τους. εάν δεν ακολουθούν αυτό το πρότυπο DTSec, θα ήταν πιο δύσκολο να ισχυριστεί κανείς ότι δεν έκαναν τίποτα λάθος.

"Περιμένω να το πιάσω, και ενώ μιλάμε με πολλούς κατασκευαστές συσκευών του U. S., εργαζόμαστε επίσης για να κάνουμε αυτό το διεθνές", λέει ο Klonoff.

Όσον αφορά το συγκεκριμένο ζήτημα ασφάλειας του κυβερνοχώρου Animas, ο Klonoff λέει ότι πιστεύει ότι πρόκειται για μελέτη περίπτωσης σχετικά με τον τρόπο χειρισμού αυτών των δυνητικών προβλημάτων από όλες τις πλευρές. Εξαίρεσε τη J & J για "χειρισμό αυτού με υπευθυνότητα", συνεργάζοντας με τους FDA και Radcliffe και προσφέροντας διορθωτικά μέτρα που μπορούν να αντιμετωπίσουν το ζήτημα.

1. "Αυτό πρέπει να γίνει, αντί να δημιουργηθεί φόβος χωρίς να διορθωθούν για την κοινότητα των ασθενών ή να το ανατινάξουμε", ανέφερε ο Klonoff. "Αυτός είναι ο τρόπος με τον οποίο η FDA θέλει να αντιμετωπιστούν αυτά τα προβλήματα ασφάλειας του κυβερνοχώρου. Ο καθένας έκανε τη σωστή αναφορά και ανάλυση εδώ και δείχνει ότι υπάρχει ελπίδα για ασφάλεια στον κυβερνοχώρο. Αυτή είναι μια ιστορία του κυβερνοχώρου που έχει ένα καλό τέλος. "
3. Σίγουρα ελπίζουμε.

Αποποίηση ευθύνης

: Περιεχόμενο που δημιουργήθηκε από την ομάδα του ομίλου Diabetes Mine. Για περισσότερες πληροφορίες κάντε κλικ εδώ.

Αποποίηση ευθυνών

Αυτό το περιεχόμενο δημιουργήθηκε για το Diabetes Mine, ένα blog για την υγεία των καταναλωτών που επικεντρώνεται στην κοινότητα του διαβήτη. Το περιεχόμενο δεν εξετάζεται ιατρικά και δεν συμμορφώνεται με τις εκδοτικές οδηγίες της Healthline. Για περισσότερες πληροφορίες σχετικά με τη συνεργασία της Healthline με το Diabetes Mine, κάντε κλικ εδώ.