Kyberturvallisuuskysymykset näyttävät kasvattavan meitä loputtomasti nykyään. Yksityisen ja julkisen sektorin tietorikkomuksista, tietosuojasopimusten vastaisista sopimuksista ja tietoverkkohyökkäyksistä tehtyjen ilmoitusten tulvien joukossa voi olla vaikea määrittää, mikä on todella turvallista.
Ja kun pari insuliinipumpun hakkerointia pelottaa muutama vuosi sitten, emme voi olla ihmettelemättä: Missä suhtaudumme diabeteslaitteidemme (ja niiden sisältämien tietojen) turvallisuuteen vuonna 2019?
Riskillä on, että se on joskus todellista ja toisinaan havaittua. Todellisten riskien torjuminen johtaa turvallisuuteen. Vaikka pakkomielle havaitusta riskistä johtaa pelkoon. Joten mikä on totta täällä? Ja mitä tarkalleen tehdään diabetekseen liittyvien kyberturvallisuusongelmien ratkaisemiseksi?
Lääketieteellisen kyberturvallisuuden standardien edistyminen
Lokakuussa 2018 Yhdysvaltain elintarvike- ja lääkevirasto (FDA) antoi markkinoille saattamista edeltävät ohjeet kaikille lääketieteellisille laitteille, jotka sisältävät kyberriskejä. Myöhemmin syksyllä Health Canada julkaisi myös ohjeasiakirjan, joka sisältää kyberturvallisuussuosituksia, joita med-tech-yritykset käyttävät kehitys- ja testausvaiheissaan. Ajatuksena on tietysti, että noudattamalla ohjeita myyjät tuovat markkinoille laitteita, jotka ovat jo turvallisia, verrattuna näkemiseen laitteisiin, joiden haavoittuvuudet havaitaan markkinoille tulon jälkeen potilaan käytön kautta.
Health Canada -julkaisutiedotteen mukaan ohjeluonnoksensa lääketieteellisten laitteiden kyberturvallisuussuositukset ovat: 1) kyberturvallisuustoimenpiteiden sisällyttäminen kaikkien ohjelmistokomponentteja sisältävien laitteiden riskinhallintaprosesseihin, 2) puitteiden luominen kyberturvallisuusriskien hallitsemiseksi yritystasolla, ja 3) kaikkien kyberturvallisuusriskien valvontaprosessien todentaminen ja validointi. He suosittelevat erityisesti toimenpiteitä, kuten UL 2900 -verkkoturvallisuusstandardin käyttöönottoa riskien ja haavoittuvuuksien lieventämiseksi.
Ken Pilgrim, vanhempi sääntelyasioiden ja laadunvarmistuksen konsultti Emergo Groupilta Vancouverissa, sanoi, että uuden ohjeen pitäisi osoittautua arvokkaaksi lääkinnällisten laitteiden valmistajille paitsi Kanadassa myös muilla lainkäyttöalueilla, jotka kehittävät vastaavia kyberturvallisuusvaatimuksia.
Samaan aikaan toimenpiteet erityisesti diabeteksen laitteiden kyberturvallisuuden torjumiseksi etenevät Yhdysvalloissa.
Lokakuun lopulla Diabetes Technology Society (DTS) ilmoitti, että OmniPod DASH: sta oli tullut ensimmäinen FDA: n puhdistama insuliinipumppu, joka sai sertifikaatin DTS: n ”Standard for Wireless Diabetes Device Security” kyberturvallisuuden varmistusstandardin ja -ohjelman, joka tunnetaan nimellä DTSec.
DTS perustettiin vuonna 2001 tohtori David Klonoffin tarkoituksena edistää diabetekseen liittyvän tekniikan käyttöä ja kehittämistä. DTSec on pohjimmiltaan ensimmäinen organisoitu tietoturvastandardi diabeteknologialle. Ajattele sitä eräänlaisena turvallisuuden sinetinä, samanlainen kuin näemme https-verkko-osoitteen. Standardi perustettiin vuonna 2016 tutkimuksen ja tiedekunnan, teollisuuden, hallituksen ja kliinisten keskusten antaman tutkimuksen jälkeen. Kuten useimmat standardit, se on valmistajien vapaaehtoinen ohje harkita käyttöönottoa ja noudattamista.
Siitä lähtien organisaatio on jatkanut kyberturvallisuustutkimuksen ja riskien arvioinnin työntämistä, isännöinyt konferensseja ja kehittänyt syvällisempiä suojauksia.
Viime kesäkuussa, muutama kuukausi ennen ilmoitusta OmniPodista DTSecin jälkeen, ryhmä julkaisi uuden turvallisuusohjeet DTMoSt, lyhenteen "Mobiililaitteiden käyttö diabeteksen ohjauskonteksteissa".
San Mateossa, Kaliforniassa sijaitsevan Mills-Peninsula Medical Centerin diabeteksen tutkimuslaitoksen lääketieteellisen johtajan Klonoffin mukaan DTMoSt-ohjeet rakentuvat DTSec: lle, kun niistä tulee ensimmäinen standardi, jolla on sekä suorituskykyvaatimuksia että varmuusvaatimuksia liitettyjen lääkinnällisten laitteiden valmistajille. mobiilialusta.
DTMoSt tunnistaa uhat, kuten haitalliset etä- ja sovelluspohjaiset hyökkäykset ja "resurssien nälkää", mobiililaitteita tukevien ratkaisujen turvalliselle toiminnalle, ja tarjoaa kehittäjille, sääntelyviranomaisille ja muille sidosryhmille ohjeita näiden riskien hallitsemiseksi.
Turvatoimenpiteiden ei pitäisi olla haitallista
Nykyään yhden glukometri-, CGM- ja diabetes-älypuhelinsovellus voivat olla yhteydessä Internetiin ja siten alttiina tietylle riskitasolle.
Silti, vaikka esineiden internetin vaaroista puhutaan jatkuvasti, asiantuntijat varoittavat, että todellinen riski yleisölle on melko pieni. Turvallisuuden suhteen huonot ihmiset eivät vain ole niin kiinnostuneita jonkun verensokeritiedoista (verrattuna heidän pankkitilinsä salasanaan).
Siitä huolimatta investoinnit kyberturvallisuuteen ovat välttämättömiä ennaltaehkäisevinä toimenpiteinä uhkille ja käyttäjien ja asiakkaiden perusturvallisuuden varmistamiseksi.
Mutta haittapuoli on, että kyberturvallisuustoimenpiteiden toteuttaminen voi joskus tarkoittaa järjestelmän tekemistä erittäin vaikeaksi tai mahdottomaksi käyttää tietojen jakamiseen tarkoitetulla tavalla. Yhtälön temppu ei rajoita tarkoitettujen ihmisten toimintakykyä ja pääsyä.
Entä yksityisyys? Uudestaan ja uudestaan näemme, että vaikka ihmiset sanovat asettavansa yksityisyyden etusijalle, he näyttävät toimivan ristiriitaisella tavalla suostumalla, vierittämällä, alustamalla, allekirjoittamalla ja antamalla pääsyn tietoihin hyvin vähän ajatellen tai huolestuttaen. Totuus on, että me kuluttajat emme yleensä lue tietosuojakäytäntöjä kovin huolellisesti, jos ollenkaan. Napsautimme vain Seuraava-painiketta.
Pelon ja pelon korvaaminen
Monet alan toimijat varoittavat kyberturvallisuuden haitallisia puolia: keskittyminen pelkoon, joka rajoittuu pakkomielteeseen, pysäyttää tutkimuksen ja voi viime kädessä maksaa ihmishenkiä. Nämä ovat ihmisiä, jotka tunnustavat, että verkkomaailma ja diabeteslaitteemme ovat alttiita riskeille, mutta kokevat, että ylireagointi on mahdollisesti vaarallisempaa.
"Koko laitteiden kyberturvallisuusnumero saa paljon enemmän huomiota kuin ansaitsee", sanoo vanhempi toimittaja Adam Brown diaTribe ja kirjoittaja Kirkkaat täplät ja maamiinat: Diabetes-opas Toivon, että joku olisi antanut minulle. "Tarvitsemme yritysten liikkuvan nopeammin kuin ne ovat, ja kyberturvallisuus voi aiheuttaa turhaa pelkoa. Sillä välin ihmiset siivittävät sitä ilman tietoja, ei liitettävyyttä, ei automaatiota eikä tukea. "
Howard Look, Tidepoolin toimitusjohtaja, D-Dad ja keskeinen voima #WeAreNotWaiting -liikkeen takana, näkee asian molemmat puolet, mutta on samaa mieltä Brownin ja muiden alan asiantuntijoiden kanssa, jotka pelkäävät lääketieteellisen edistymisen nopeuden tarkistamista.
"Varmasti laiteyhtiöiden (mukaan lukien ohjelmistot lääketieteellisiä laitteita valmistavien yritysten, kuten Tidepool) on otettava kyberturvallisuus erittäin vakavasti", Look näyttää. "Emme todellakaan halua luoda tilannetta, jossa on vaarana joukkotuhoaminen laitteita tai sovelluksia vastaan, jotka voivat vahingoittaa ihmisiä. Mutta kuvat "hakkereista huppareissa", joissa on kallo ja sääret tietokoneen näytöillä, pelottavat vain ihmisiä, jotka eivät oikein ymmärrä, mistä on kyse. Se saa laiteyhtiöt hidastumaan, koska ne ovat peloissaan. Se ei auta heitä ymmärtämään oikein. " Look viittasi diabeteksen lääketieteellisissä konferensseissa näytettyihin Powerpoint-dioihin, joissa oli kammottavia kuvia kybervaaroista.
Suosituiksi tulleet OpenAPS- ja Loop do-it-yourself -silmukkajärjestelmät perustuvat teknisesti vanhempien Medtronic-pumppujen "haavoittuvuuteen", joka mahdollistaa näiden pumppujen langattoman kauko-ohjauksen. Pumppujen hakkeroimiseksi sinun on tiedettävä sarjanumero ja oltava lähellä pumppua 20 sekunnin ajan. "On olemassa paljon helpompia tapoja tappaa joku, jos haluat tehdä niin", Look näyttää.
Monet väittävät, että tämä ehdotettu turvallisuuden "haavoittuvuus", niin pelottava kuin se teoriassa saattaa olla, on valtava etu, koska se on antanut tuhansille ihmisille mahdollisuuden käyttää OpenAPS: ää ja Loopia, mikä on pelastanut ihmishenkiä ja parantanut ihmisten elämänlaatua ja kansanterveyttä niitä.
Mitattu lähestymistapa riskeihin
Tällaiset DTS-organisaatiot tekevät tärkeää työtä. Laiteturvallisuudella on merkitystä. Aiheesta tehdyt tutkimus- ja konferenssiesitykset ovat alan vakioita - diabetekseen liittyvä tekniikka ja kyberturvallisuus ovat keskeisiä tekijöitä myöhemmin tässä kuussa Berliinissä pidettävässä 12. kansainvälisessä diabeteksen kehittyneiden teknologioiden ja hoitojen konferenssissa (ATTD 2019). Mutta totuuksia on edelleen olemassa todellisuuden rinnalla, että ihmiset tarvitsevat parempia, halvempia työkaluja, ja me tarvitsemme niitä nopeasti.
"Suurten laitteiden tunnusmerkki on jatkuva parantaminen, ei täydellisyys", Brown sanoo. "Se edellyttää liitettävyyttä, yhteentoimivuutta ja ohjelmistojen etäpäivityksiä."
Vaikka laitteet ovat alttiita riskeille, asiantuntijat näyttävät olevan yhtä mieltä siitä, että ne ovat yleensä melko turvallisia. Jatkossa läpi vuoden 2019 ja sen jälkeen yhteisymmärrys näyttää olevan, että vaikka kyberriskien seuraaminen on tärkeää, tämä riski on usein yliarvostettu ja mahdollisesti kalvaa terveysriskejä siitä, ettei edistyneitä diabeteksen työkaluja ole.