Preocupările privind securitatea cibernetică par să ne abordeze într-o buclă nesfârșită în aceste zile. Printre numeroasele rapoarte privind încălcarea datelor, încălcarea acordurilor de confidențialitate și atacuri cibernetice în sectoarele privat și public, poate fi dificil să se determine ce este cu adevărat sigur.
Și după ce câteva pirate de piratare a insulinei sperie cu câțiva ani în urmă, nu ne putem abține să nu ne întrebăm: doar unde ne situăm în ceea ce privește siguranța dispozitivelor noastre pentru diabet (și informațiile pe care le conțin) în 2019?
Problema cu riscul este că este uneori reală și uneori percepută. Abordarea riscului real duce la siguranță. În timp ce obsedarea riscului perceput duce la frică. Deci, ce este real aici? Și ce anume se face pentru a soluționa problemele de securitate cibernetică în domeniul tehnologiei diabetului?
Progrese în ceea ce privește standardele de securitate cibernetică medicală
În octombrie 2018, Administrația SUA pentru Alimente și Medicamente (FDA) a emis orientări înainte de punerea pe piață pentru toate dispozitivele medicale care conțin riscuri cibernetice. Mai târziu, în toamnă, Health Canada a lansat, de asemenea, un document de orientare care conține recomandări de securitate cibernetică pentru a fi utilizate de companiile med-tech în timpul etapelor de dezvoltare și testare. Bineînțeles, ideea este că, urmând liniile directoare, furnizorii vor aduce pe piață dispozitive care sunt deja sigure, comparativ cu dispozitivele ale căror vulnerabilități sunt descoperite după lansarea pe piață prin utilizarea pacienților.
Potrivit unui comunicat de presă Health Canada, printre recomandările de securitate cibernetică ale dispozitivelor medice în proiectul lor de orientare se numără: 1) încorporarea măsurilor de securitate cibernetică în procesele de gestionare a riscurilor pentru toate dispozitivele cu o componentă software, 2) stabilirea cadrelor pentru gestionarea riscurilor de securitate cibernetică la nivel de întreprindere și 3) verificarea și validarea tuturor proceselor de control al riscului de securitate cibernetică. Aceștia recomandă în mod specific măsuri precum implementarea standardului de securitate cibernetică UL 2900 pentru a atenua riscurile și vulnerabilitățile.
Ken Pilgrim, consultant senior în domeniul reglementării și asigurării calității la Emergo Group din Vancouver, a declarat că noile orientări ar trebui să se dovedească valoroase pentru producătorii de dispozitive medicale nu numai în Canada, ci și în alte jurisdicții care dezvoltă cerințe similare de securitate cibernetică.
Între timp, măsurile de combatere a securității cibernetice a dispozitivelor pentru diabet în mod specific se desfășoară în SUA.
La sfârșitul lunii octombrie, Diabetes Technology Society (DTS) a anunțat că OmniPod DASH a devenit prima pompă de insulină autorizată de FDA care a primit certificarea conform standardului și programului de asigurare a securității cibernetice „Standard for Wireless Diabetes Device Security” al DTS, cunoscut sub numele de DTSec.
DTS a fost fondată în 2001 de Dr. David Klonoff cu scopul de a promova utilizarea și dezvoltarea tehnologiei diabetului zaharat. DTSec este în esență primul standard de securitate organizat pentru tehnologia diabetului. Gândiți-vă la acesta ca la un fel de sigiliu de siguranță, similar cu modul în care vedem o adresă web https. Standardul a fost stabilit în 2016 după cercetări și contribuții din mediul academic, industrie, guvern și centre clinice. La fel ca majoritatea standardelor, este un ghid voluntar pentru producători să ia în considerare adoptarea și urmarea.
De atunci, organizația a continuat să promoveze cercetarea în domeniul securității cibernetice și evaluarea riscurilor, găzduind conferințe și dezvoltând protecții mai aprofundate.
În iunie anul trecut, cu câteva luni înainte de anunțul cu privire la OmniPod după DTSec, grupul a lansat noi ghiduri de securitate denumite DTMoSt, prescurtarea „Utilizarea dispozitivelor mobile în contextele de control al diabetului”.
Potrivit Klonoff, director medical al Institutului de Cercetare Diabet la Centrul Medical Mills-Peninsula, San Mateo, CA, liniile directoare DTMoSt se bazează pe DTSec devenind primul standard atât cu cerințe de performanță, cât și cu cerințe de asigurare pentru producătorii de dispozitive medicale conectate controlate de un platformă mobilă.
DTMoSt identifică amenințări, cum ar fi atacurile rău intenționate de la distanță și bazate pe aplicații și „foametea resurselor”, pentru operarea în siguranță a soluțiilor compatibile cu dispozitivele mobile și oferă îndrumări dezvoltatorilor, autorităților de reglementare și altor părți interesate pentru a ajuta la gestionarea acestor riscuri.
Măsurile de securitate nu ar trebui să împiedice utilizarea
Astăzi, aplicația pentru glucometru, CGM și diabet pentru smartphone poate fi conectată la internet și, prin urmare, este deschisă la un anumit nivel de risc.
Cu toate acestea, în ciuda discuțiilor continue despre pericolele internetului obiectelor, experții avertizează că riscul real pentru public este destul de redus. Când vine vorba de securitate, persoanele rele nu sunt atât de interesate de datele cu privire la glicemie ale cuiva (în comparație cu parola contului lor bancar).
Acestea fiind spuse, investițiile în securitatea cibernetică sunt necesare ca măsuri preventive împotriva amenințărilor și asigurând securitatea de bază a utilizatorilor și a clienților.
Dar dezavantajul este că punerea în aplicare a măsurilor de securitate cibernetică poate însemna uneori ca un sistem să fie foarte greu sau imposibil de utilizat pentru partajarea datelor în modul dorit. Trucul din ecuație nu limitează capacitatea de funcționare și acces de către persoanele intenționate.
Și ce zici de confidențialitate? Din nou și din nou vedem că, deși oamenii spun că acordă prioritate vieții private, aceștia par să acționeze într-un mod contradictoriu, consimțind, derulând, parafând, semnând și oferind acces la informații și date cu foarte puține gânduri sau preocupări reale. Adevărul este că, de obicei, noi consumatorii nu citim foarte atent politicile de confidențialitate. Am apăsat butonul „următor”.
Compensarea fricii și îngrozirii
Mulți din industrie avertizează partea adversă a securității cibernetice: concentrarea asupra fricii care limitează obsesia, cercetează obstacole și, în cele din urmă, ar putea costa vieți. Aceștia sunt oameni care recunosc că lumea cibernetică și dispozitivele noastre pentru diabet sunt expuse riscului, dar consideră că reacțiile exagerate sunt potențial mai periculoase.
„Întreaga problemă a„ securității cibernetice în dispozitive ”capătă mult mai multă atenție decât merită”, spune Adam Brown, editor senior la diatribă și autor al Spoturi strălucitoare și mine terestre: Ghidul pentru diabet Aș dori ca cineva să mă fi predat. „Avem nevoie ca companiile să se deplaseze mai repede decât sunt, iar securitatea cibernetică poate determina frici inutile. Între timp, oamenii sunt afară acolo, fără date, fără conectivitate, fără automatizare și fără suport. ”
Howard Look, CEO al Tidepool, D-Dad, și o forță cheie din spatele mișcării #WeAreNotWaiting, vede ambele părți ale problemei, dar este de acord cu Brown și alți experți din industrie, care se tem de verificarea ratei de avansare medicală.
„Cu siguranță, companiile de dispozitive (inclusiv software ca companii de dispozitive medicale, precum Tidepool) trebuie să ia foarte, foarte în serios securitatea cibernetică”, spune Look. „Cu siguranță nu vrem să creăm o situație în care există riscul unui atac în masă pe dispozitive sau aplicații care ar putea dăuna oamenilor. Dar imaginile cu „hackeri în hanorace” cu craniu și oase încrucișate pe ecranele computerelor doar îi sperie pe oameni care nu înțeleg cu adevărat ceea ce este în joc. Aceasta face ca companiile de dispozitive să încetinească, deoarece sunt speriate. Nu îi ajută să înțeleagă ce trebuie să facă. ” Look se referea la diapozitivele Powerpoint prezentate în conferințele medicale pentru diabet, cu imagini ciudate care pretindeau pericole cibernetice.
Sistemele de buclă închisă OpenAPS și Loop, care au devenit populare, se bazează tehnic pe o „vulnerabilitate” în pompele Medtronic mai vechi, care permite controlul de la distanță fără fir al acestor pompe. Pentru a sparge pompele, trebuie să cunoașteți numărul de serie și trebuie să fiți aproape de pompă timp de 20 de secunde. „Există modalități mult mai ușoare de a ucide pe cineva dacă asta vrei să faci”, spune Look.
Mulți susțin că această „vulnerabilitate” propusă în materie de securitate, oricât de înfricoșătoare ar fi în teorie, este un beneficiu imens, deoarece a permis mii de oameni să ruleze OpenAPS și Loop, salvând vieți și îmbunătățind calitatea vieții și sănătatea publică pentru cei care utilizează lor.
O abordare măsurată a riscurilor
Organizații precum DTS fac o muncă importantă. Securitatea dispozitivului contează. Și prezentările de cercetare și conferințe pe această temă sunt constante ale industriei - tehnologia diabetului și securitatea cibernetică vor fi un element central al mai multor elemente ale celei de-a 12-a Conferințe internaționale privind tehnologii avansate și tratamente pentru diabet (ATTD 2019) care se va desfășura la Berlin în cursul acestei luni. Dar aceste adevăruri continuă să existe alături de realitatea că oamenii au nevoie de instrumente mai bune, care sunt mai puțin costisitoare, iar noi avem nevoie de ele rapid.
„Semnul distinctiv al dispozitivelor grozave este îmbunătățirea continuă, nu perfecțiunea”, spune Brown. „Acest lucru necesită conectivitate, interoperabilitate și actualizarea software-ului la distanță.”
În timp ce dispozitivele sunt expuse riscurilor, experții par să fie de acord că sunt, în general, destul de siguri și sigure. În viitor, în 2019 și dincolo, consensul pare să fie că, deși este important să păstrăm un ochi asupra riscului cibernetic, acest risc este adesea supraevaluat și potențial se opune riscurilor pentru sănătate de a nu avea instrumente avansate pentru diabet.