Cybersäkerhetsproblem verkar ge oss en oändlig slinga nuförtiden. Bland en översvämning av rapporter om dataintrång, överträdda sekretessavtal och cyberattacker i den privata och offentliga sektorn kan det vara svårt att avgöra vad som verkligen är säkert.
Och efter ett par hack av insulinpumpar för några år tillbaka kan vi inte låta bli att undra: var står vi när det gäller säkerheten för våra diabetesenheter (och informationen de innehåller) under 2019?
Saken med risk är att det ibland är verkligt och ibland uppfattas. Att hantera verklig risk leder till säkerhet. Medan besatt över upplevd risk leder till rädsla. Så vad är riktigt här? Och vad görs exakt för att hantera cybersäkerhetsproblem med diabetesteknik?
Framsteg med medicinska cybersäkerhetsstandarder
I oktober 2018 utfärdade den amerikanska livsmedels- och läkemedelsmyndigheten (FDA) vägledning före marknaden för alla medicintekniska produkter som innehåller cyberrisker. Senare på hösten släppte Health Canada också ett vägledningsdokument som innehåller cybersäkerhetsrekommendationer som ska användas av medicintekniska företag under deras utvecklings- och testfaser. Tanken är naturligtvis att genom att följa riktlinjerna kommer leverantörer att föra enheter till marknaden som redan är säkra, jämfört med att se enheter vars sårbarheter upptäcks efter marknadsföringen genom patientanvändning.
Enligt en pressmeddelande från Health Canada är bland de cybersäkerhetsrekommendationerna i deras utkast till vägledning: 1) införlivande av cybersäkerhetsåtgärder i riskhanteringsprocesser för alla enheter med programvarukomponent, 2) fastställande av ramar för hantering av cybersäkerhetsrisker på företagsnivå och 3) verifiering och validering av alla cybersäkerhetsprocesser. De rekommenderar särskilt åtgärder som implementering av cybersäkerhetsstandarden UL 2900 för att mildra risker och sårbarheter.
Ken Pilgrim, Senior Regulatory Affairs & Quality Assurance-konsult på Emergo Group i Vancouver, sa att den nya vägledningen bör visa sig vara värdefull för tillverkare av medicintekniska produkter, inte bara i Kanada utan även andra jurisdiktioner som utvecklar liknande cybersäkerhetskrav.
Samtidigt rullar åtgärder för att hantera cybersäkerhet av diabetesenheter specifikt framåt i USA.
I slutet av oktober tillkännagav Diabetes Technology Society (DTS) att OmniPod DASH hade blivit den första FDA-godkända insulinpumpen som fick certifiering enligt DTS: s "Standard för Wireless Diabetes Device Security" cybersäkerhetsstandard och program, känd som DTSec.
DTS grundades 2001 av Dr. David Klonoff i syfte att främja användning och utveckling av diabetesteknik. DTSec är i huvudsak den första organiserade säkerhetsstandarden för diabetesteknik. Tänk på det som en typ av säkerhet, liknande hur vi ser en https-webbadress. Standarden etablerades 2016 efter forskning och input från den akademiska världen, industrin, myndigheter och kliniska centra. Som de flesta standarder är det en frivillig vägledning för tillverkare att överväga att anta och följa.
Sedan dess har organisationen fortsatt att driva cybersäkerhetsforskning och riskbedömning, vara värd för konferenser och utveckla mer djupgående skydd.
I juni förra året, några månader innan tillkännagivandet gällande OmniPod efter DTSec, släppte gruppen en ny säkerhetsanvisning som heter DTMoSt, förkortning för "Användning av mobila enheter i Diabetes Control-sammanhang."
Enligt Klonoff, medicinsk chef för Diabetes Research Institute vid Mills-Peninsula Medical Center, San Mateo, CA, bygger DTMoSt-riktlinjerna på DTSec genom att bli den första standarden med både prestandakrav och säkerhetskrav för tillverkare av anslutna medicintekniska produkter som styrs av en mobil plattform.
DTMoSt identifierar hot, såsom skadliga fjärr- och appbaserade attacker och "resurs svält", för säker drift av mobila enhetsaktiverade lösningar och erbjuder vägledning till utvecklare, tillsynsmyndigheter och andra intressenter för att hantera dessa risker.
Säkerhetsåtgärder bör inte hindra användning
Idag kan ens glukometer-, CGM- och diabetes-smartphone-app alla vara anslutna till Internet och därför öppna för någon risknivå.
Trots det fortsatta samtalet om farorna med sakernas internet varnar experter för att den faktiska risken för allmänheten är ganska låg. När det gäller säkerhet är dåliga människor inte så intresserade av någons blodsockerdata (jämfört med deras bankkontolösenord).
Med detta sagt är investeringar i cybersäkerhet nödvändiga som förebyggande åtgärder mot hot och garanterar grundläggande säkerhet för användare och kunder.
Men nackdelen är att implementering av cybersäkerhetsåtgärder ibland kan innebära att ett system blir mycket svårt eller omöjligt att använda för datadelning på det sätt som är avsett. Tricket i ekvationen begränsar inte förmågan att använda och få tillgång till avsedda personer.
Och hur är det med integritet? Om och om igen ser vi att medan människor säger att de prioriterar integritet verkar de agera på ett motstridigt sätt genom att samtycka, bläddra, parafera, signera och ge tillgång till information och data med väldigt lite verklig tanke eller oro. Sanningen är att vi konsumenter brukar inte läsa sekretesspolicyerna mycket noggrant, om alls. Vi trycker bara på "nästa" -knappen.
Motverkar rädsla och oro
Många i branschen varnar den negativa sidan av cybersäkerhet: fokus på rädsla som gränsar till besatthet, försvårar forskning och i slutändan kan kosta liv. Det här är människor som inser att cyberworld och våra diabetesenheter är öppna för risker, men känner att överreaktion är potentiellt farligare.
"Hela frågan om" cybersäkerhet i enheter "får mycket mer uppmärksamhet än den förtjänar, säger Adam Brown, seniorredaktör på diaTribe och författare till Bright Spots & Landmines: Diabetes Guide Jag önskar att någon hade lämnat mig. ”Vi behöver företag att gå snabbare än de är, och cybersäkerhet kan leda till onödig rädsla. Under tiden är människor där ute och vingar det utan data, ingen anslutning, ingen automatisering och inget stöd. ”
Howard Look, VD för Tidepool, D-Dad, och en nyckelkraft bakom # WeAreNotWaiting-rörelsen, ser båda sidor av frågan, men håller med Brown och andra branschexperter som fruktar kontroller av den medicinska utvecklingen.
"Visst måste enhetsföretag (inklusive programvara som medicintekniska företag, som Tidepool) ta cybersäkerhet väldigt, väldigt seriöst", säger Look. ”Vi vill verkligen inte skapa en situation där det finns en risk för massattack på enheter eller appar som kan skada människor. Men bilder av ”hackare i huvtröjor” med skalle och korsben på datorskärmar skrämmer bara människor som inte riktigt förstår vad som står på spel. Det gör att enhetsföretagen saktar ner eftersom de är rädda. Det hjälper dem inte att förstå rätt sak att göra. ” Look hänvisade till Powerpoint-bilder som visades vid diabetesmedicinska konferenser med kusliga bilder som påstod cyberfaror.
OpenAPS och Loop gör-det-själv-system med slutna slingor som blivit populära är tekniskt baserade på en "sårbarhet" i äldre Medtronic-pumpar som möjliggör trådlös fjärrkontroll av dessa pumpar. För att hacka pumparna måste du veta serienumret och du måste vara nära pumpen i 20 sekunder. "Det finns mycket enklare sätt att döda någon om det är vad du vill göra", säger Look.
Många hävdar att denna föreslagna "sårbarhet" i säkerhet, så skrämmande som det kan vara i teorin, är en enorm fördel eftersom det har gjort det möjligt för tusentals människor att köra OpenAPS och Loop, rädda liv och förbättra livskvaliteten och folkhälsan för dem som använder dem.
Ett uppmätt tillvägagångssätt för risker
Organisationer som DTS gör ett viktigt arbete. Enhetssäkerhet är viktigt. Och forsknings- och konferenspresentationer om ämnet är konstanter i branschen - diabetesteknik och cybersäkerhet kommer att vara ett fokus för flera delar av den 12: e internationella konferensen om avancerade teknologier och behandlingar för diabetes (ATTD 2019) som hålls senare denna månad i Berlin. Men dessa sanningar fortsätter att existera vid sidan av verkligheten att människor behöver bättre verktyg som är billigare, och vi behöver dem snabbt.
"Kännetecknet för bra enheter är kontinuerlig förbättring, inte perfektion", säger Brown. "Det kräver anslutning, interoperabilitet och uppdatering av fjärrprogramvara."
Medan enheter är öppna för risker verkar experter vara överens om att de i allmänhet är ganska säkra och säkra. Framöver under hela 2019 och framåt verkar konsensus vara att även om det är viktigt att hålla koll på cyberrisk är risken ofta överskattad och potentiellt bleknar mot hälsoriskerna med att inte ha avancerade diabetesverktyg.