Insulin Pump Hacking Risiko di Animas OneTouch Ping?

Insulin Pump Hacking Risiko di Animas OneTouch Ping?
Insulin Pump Hacking Risiko di Animas OneTouch Ping?

SEHAT ITU MURAH | Liong Pit Lin

SEHAT ITU MURAH | Liong Pit Lin

Isi kandungan:

Anonim

Berita berputar atas pendedahan baru bahawa pam insulin Animas OneTouch Ping berisiko untuk penggodaman, dengan pengeluar mengeluarkan surat yang memberi jaminan kepada pesakit yang termasuk tip mengenai mengurangkan risiko keselamatan siber.

Pada hari Selasa 4 Oktober, Animas milik JnJ mengeluarkan amaran keselamatan siber kepada pengguna OneTouch Ping, yang telah tersedia sejak tahun 2008 dan berkomunikasi dengan meter glukosa untuk pengalih jarak jauh.

JnJ berkata ia mendapati kecacatan yang berpotensi berdasarkan tip dari pakar cybersecurity terkenal Jay Radcliffe, yang tinggal dengan T1D dan membuat nama untuk dirinya sendiri dengan mendedahkan risiko penggodaman di pam Medtron beberapa tahun yang lalu. Beliau menghubungi syarikat itu pada bulan April untuk menyatakan bahawa dia telah menemui jalan bagi seseorang untuk berpotensi mendapatkan akses yang tidak dibenarkan ke pam melalui sistem komunikasi frekuensi radio yang tidak diseret.

Mereka secara kolektif telah meneroka isu itu sejak itu, telah memberitahu FDA dan Jabatan Keselamatan Dalam Negeri, dan kini enam bulan kemudian, bersedia untuk mendedahkan isu ini secara terbuka dengan spesifik tentang cara memeranginya.

Sudah tentu, media arus perdana mengangkat cerita dengan cepat, walaupun tidak cukup dengan tahap kegilaan yang kita lihat pada masa lalu. Peretasan peranti perubatan sentiasa membuat berita berair, dan telah menjadi garisan plot dalam rancangan TV popular seperti The Blacklist beberapa tahun yang lalu.

Dalam kes ini, Animas mengatakan risiko sangat rendah dan tiada bukti yang wujud dari sesiapa yang sebenarnya meretas ke dalam peranti itu. Sebaliknya, ini adalah peristiwa "sifar hari" di mana syarikat dipaksa mendedahkan kelemahan untuk ketelusan pada potensi potensi , dan menawarkan perbaikan.

Untuk menjadi jelas, kami di ' Mine tidak fikir ini amat mengancam. Secara jujur, kami lebih cenderung melihat bateri telefon Samsung Note 7 meletup berdekatan daripada melihat seseorang memasuki sebuah pam insulin untuk melakukan bahaya.

Namun, keselamatan peranti kami perlu diambil serius; ini merupakan topik penting yang FDA kini sedang mempertimbangkan panduan akhir untuk pengeluar walaupun kita bercakap (berikutan tempoh komen awam awal tahun ini mengenai panduan draf).

Sekarang, pam Animas menjadi peranti terkini untuk menaikkan bendera merah mengenai potensi bahaya …

Animas Menjelaskan Isu

Awal minggu ini, JnJ menganjurkan satu panggilan persidangan dengan sebilangan kecil media diabetes dan pendukung membincangkan isu ini. Pada panggilan itu Ketua Pegawai Perubatan JnJ Dr Brian Levy dan VP Keselamatan Maklumat Marene Allison.

Mereka menjelaskan bahawa JnJ telah menubuhkan sebuah laman web pada bulan April untuk para pesakit mengenai kebimbangan keselamatan cybersecurity, yang terikat dengan panduan FDA dan datang selepas 18 bulan perbincangan antara pengilang, Bahagian Keselamatan Siber FDA dan Jabatan.Keselamatan Dalam Negeri.

Tidak lama selepas menubuhkan laman web tersebut, mereka menerima perkataan dari Radcliffe mengenai cacat keselamatan tertentu di Animas Ping - khususnya bahawa frekuensi radio yang tidak disenarai yang digunakan untuk membolehkan komunikasi jauh antara pam dan meter berpotensi disalahgunakan, membenarkan seseorang menyampaikan insulin dari jarak sejauh 25 kaki (Radcliffe telah menerbitkan butiran teknikal di laman web keselamatan info Rapid7 ini).

J & J Animas menekankan bahawa tiada siapa yang telah menggodam Ping OneTouch. Sebaliknya, Radcliffe melakukan ujiannya dalam "persekitaran terkawal" hanya untuk membuktikan bahawa dia boleh menggodam peranti itu dan dalam melakukannya, terdedah risiko yang berpotensi. Jurucakap syarikat menjelaskan bahawa mereka telah memutuskan untuk tidak mengeluarkan kemas kini untuk meter jauh di sebahagian besar kerana risiko yang sangat rendah, dan hakikat bahawa risiko dapat dikurangkan dengan beberapa langkah mudah. "Pembaikan patch" nampaknya tidak mungkin kerana frekuensi radio yang digunakan, kerana ia akan menyebabkan sistem semasa tidak dapat digunakan.

Surat syarikat yang dihantar kepada 114,000 Pesakit ping dan doktor mereka di Amerika Syarikat dan Kanada menawarkan nasihat ini kepada mereka yang berkenaan:

Tetapkan Isyarat Bergetar:

Menghidupkan ciri getaran untuk pam insulin, yang akan memberitahu pengguna bahawa dos bolus dimulakan oleh jarak jauh meter. Ini memberi pengguna pilihan untuk membatalkan mana-mana bolus yang tidak diingini, dan sudah tentu ia hanya mungkin untuk menukar tetapan asas bolus dan basal dari pam itu sendiri. Watch Sejarah Insulin:

Animas menggesa pengguna Ping untuk menyimpan tab pada rekod sejarah insulin di dalam pam. Setiap jumlah penghantaran insulin, sama ada ia dicetuskan oleh meter atau pam, dicatatkan dalam sejarah ini dan boleh dikaji semula untuk sebarang kebimbangan. Matikan ciri Jauh Meter:

Ini tentu akan menghentikan komunikasi frekuensi radio di antara meter One Touch Ping dan pam insulin, yang bermaksud pengguna tidak dapat melihat hasil gula darah pada pam mereka atau menggunakan meter untuk mengawal dos bolus. Sebaliknya, pengguna perlu mengetik secara manual dalam BGs pada pam dan bolus dari peranti itu. Batas Bilangan Bolus:

Bagi mereka yang ingin terus menggunakan meter untuk bolos jauh, anda boleh menggunakan tetapan pam untuk menghadkan jumlah bolus max, jumlah yang dihantar dalam tempoh dua jam pertama, dan jumlah dos harian daripada insulin. Sebarang percubaan untuk melampaui atau mengatasi tetapan itu akan mencetuskan penggera pam dan mencegah penghantaran insulin bolus. Kami menghargai Animas mengambil langkah untuk menenangkan ketakutan dan menawarkan petua yang baik kepada mereka yang mungkin bimbang. Namun, ia adalah ganjil yang mengambil masa lima tahun untuk menemui kelemahan ini dalam sistem Ping memandangkan isu yang sama muncul pada tahun 2011 dengan pam saingan.

Animas mengatakan ini bukan masalah untuk sistem Animas Vibe semasa yang berkomunikasi dengan Dexcom CGM, kerana itu tidak termasuk ciri RF yang sama membolehkan meter dan pam untuk bercakap antara satu sama lain. Tetapi sudah tentu syarikat itu mengatakan ia merancang untuk "membina keselamatan siber ke peranti masa depan" kerana ia bergerak ke depan dengan saluran paip produknya.

Hacker Cybersecurity Says …

Bagi mereka yang tidak pernah mendengar nama Jay Radcliffe sebelum ini, dia terkenal di depan keselamatan siber selama beberapa tahun sekarang. Diagnosa dengan T1D pada umur 22 tahun, dia mula menjadi tajuk utama pada tahun 2011 apabila menggodam pam Medtronic dan melepaskan penemuannya tentang potensi kecacatan - juga melibatkan ciri penggera jauh - pada persidangan penggodam terkemuka.

Kemudian dalam satu peristiwa yang menarik, beliau bergabung dengan FDA untuk menjadi perunding mengenai isu keselamatan siber perubatan. Dan dia kini bekerja untuk firma keselamatan siber Rapid7 sejak awal tahun 2014.

Kami menjangkau kepadanya tentang penemuan keselamatan Cyber ​​Cyber ​​terbaru ini.

Kali ini berbeza dengan keadaan Medtronic, Radcliffe memberitahu kami, kerana dia mempunyai peluang untuk bekerja dengan Animas secara langsung sebelum mendedahkan masalah itu secara terbuka. Kali ini, siaran awam telah ditetapkan tepat pada waktunya dengan notis syarikat kepada pengguna mengenai bagaimana untuk melindungi diri mereka.

Dia mengatakan penting bahawa ini adalah kali pertama pengeluar peranti perubatan utama secara proaktif mengeluarkan amaran tentang potensi kecacatan keselamatan komputer dalam produk pengguna - walaupun tiada kesan buruk yang berkaitan telah dilaporkan oleh pelanggan.

Dia gembira dengan respons Animas, katanya, dan tidak terlalu khawatir tentang bagaimana selamat dan selamat Ping OneTouch adalah untuk PWD.

"Ia tidak sempurna, tetapi tidak ada apa-apa," tulis Radcliffe dalam e-mel kepada

DiabetesMine . "Jika mana-mana kanak-kanak saya menjadi diabetes dan kakitangan perubatan mencadangkan meletakkannya satu pam, saya tidak akan teragak-agak untuk meletakkannya di Ping OneTouch. " Untuk masa depan, beliau berharap penemuan dan hasilnya yang bersesuaian dengan vendor menyoroti mengapa penting bagi PWD untuk bersabar sementara pengeluar, pengawal selia dan penyelidik sepenuhnya meneroka alat yang sangat kompleks ini.

"Kita semua mahukan teknologi terbaik segera, tetapi dilakukan dengan cara yang tidak senonoh, meletakkan semua proses kembali untuk semua orang," katanya kepada kami.

Open-Source Fallout?

Memang menarik untuk menyaksikan perbualan beralih kepada aspek sumber terbuka alat-alat diabetes kerana ia berkaitan dengan risiko keselamatan Cybersecurity ini.

Ada yang berpendapat bahawa ini adalah percubaan tersembunyi oleh Animas untuk mendiskriminasikan projek sumber terbuka seperti Nightscout dan #OpenAPS sebagai usaha berisiko berdasarkan komunikasi yang tidak diskriptif. Orang lain tertanya-tanya sama ada ia lebih banyak oleh Animas untuk meletakkan tangannya dan berkata, "Hei, peretas D-peranti dan pencipta OpenAPS - anda boleh menggunakan pam kami dan bukan hanya dari Medtronic!"

Masih yang lain dunia sumber terbuka menunjukkan bahawa keupayaan untuk menggunakan ciri penggera jauh melalui komunikasi yang tidak disulitkan adalah satu isu yang terkenal yang memperlihatkan sedikit bahaya, tetapi sebenarnya membuka semua jenis kemungkinan untuk inovasi teknologi D baru.

"Tajuk tentang 'kelemahan' boleh menjadi menakutkan, tetapi kenyataannya adalah bahawa dapat membaca data dan kawalan pam telah memupuk ekosistem inovasi yang luar biasa," kata D-Dad Howard Look, Ketua Pegawai Eksekutif Tidepool yang bukan keuntungan itu. mewujudkan platform terbuka untuk data dan aplikasi diabetes.

"Kita perlu mencari cara untuk melakukan lebih banyak lagi ini dan inovasi ini telah menjadikan terapi

lebih selamat dan berkesan. Pembuat peranti boleh membuat protokol kawalan data mereka tersedia dengan cara yang selamat dan selamat tidak menimbulkan inovasi.Ini bukan matlamat yang saling eksklusif. " Lihat mengatakan ini bukan mengenai sumber terbuka, melainkan tentang mengimbangi risiko data terbuka dan protokol kawalan dengan manfaat membenarkan inovasi dari masyarakat - atau dari luar dinding pembuat peranti tertentu.

Sesetengah di komuniti pesakit dan sumber terbuka khawatir bahawa tajuk utama yang menakutkan ini boleh mendorong pembuat peranti dan pengawal selia untuk berfikir satu-satunya cara untuk mengamankan peranti adalah dengan mengambil protokol kawalan jauh. Tetapi itu tidak sepatutnya berlaku.

"Ya, pastikan mereka selamat di peranti masa depan anda, tetapi juga protokol komunikasi terbuka (yang sangat sukar untuk mengeksploitasi, seperti ini) adalah lebih baik daripada tiada," kata Look. haruslah memangkinkan dan menggalakkan. "

Menilai Keselamatan Peranti Cybersecurity

Sudah tentu, keselamatan siber dalam peranti perubatan adalah topik yang semakin panas yang dieksplorasi oleh banyak pakar dan organisasi.

Pada bulan Mei 2016, Persatuan Teknologi Diabetes yang berpangkalan di California mengumumkan DTSec (DTS Cybersecurity Standard untuk Projek Diabetes Devices yang disambungkan), diwujudkan dengan sokongan FDA, NIH, Jabatan Keselamatan Dalam Negeri, NASA, Tentera Udara Amerika Syarikat dan Institut Piawaian dan Teknologi Kebangsaan! Ia telah bekerja selama kira-kira satu tahun, dan kini sedang dijalankan.

Pemimpin DTS Dr. David Klonoff, seorang endocrinologist California dan Pengarah Perubatan Institut Penyelidikan Diabetes di kemudahan Perkhidmatan Kesihatan Mills-Peninsula, berkata organisasi kini merekrut pengeluar peranti untuk mengadopsi dan menilai produk mereka menggunakan standard DTSec baru . Beliau berkata kumpulan itu dalam perbincangan dengan "beberapa pemain industri," dan mereka berharap dapat melihat pengeluar menandatangani tidak lama lagi.

Setakat ini, Animas tidak mengiktiraf sebarang kepentingan dalam menyokong standard keselamatan siber DTS yang baru. Sebaliknya, syarikat itu memilih untuk mengambil isu itu secara dalaman bersempena dengan FDA.

Tetapi dengan pengawal selia FDA di sebalik piawai baru, ia hanya kelihatan masa sebelum syarikat terpaksa mematuhi.

Klonoff menganggap mereka akan berdasarkan tiga faktor utama:

DTS bekerja dengan FDA untuk mewujudkan piawaian DTSec, memberikan kredibiliti pengawalseliaan yang benar

  1. Syarikat akan merasakan ia adalah kelebihan daya saing untuk menunjukkan mereka mempunyai keamanan siber yang baik . Ini membolehkan mereka mendokumen …
  2. Syarikat-syarikat yang menahan akhirnya mungkin berpotensi bertanggungjawab, sama ada untuk denda pengawalseliaan atau litigasi yang berpotensi jika pernah ada kes siber terhadap mereka; jika mereka tidak mengikuti standard DTSec ini, mungkin lebih sukar untuk membuat tuntutan bahawa mereka tidak melakukan apa-apa yang salah.
  3. "Saya mengharapkan ia dapat ditangkap, dan semasa kita bercakap dengan beberapa pembuat peranti U. S. Kami juga berusaha untuk membuat ini antarabangsa," kata Klonoff.

Mengenai isu cybersecurity Animas yang khusus, Klonoff mengatakan bahawa ia percaya ia merupakan satu kajian kes mengenai bagaimana masalah-masalah yang berpotensi ini harus ditangani dari semua pihak. Dia memuji J & J untuk "mengendalikan ini secara bertanggungjawab" dengan bekerja dengan FDA dan Radcliffe, dan dengan menawarkan rawatan yang dapat menangani masalah itu.

"Ini adalah bagaimana ia perlu dilakukan, bukannya mewujudkan ketakutan tanpa apa-apa pembetulan untuk komuniti pesakit atau meniupnya dari perkadaran," kata Klonoff. "Ini adalah bagaimana FDA mahu menangani masalah keselamatan siber ini. Semua orang melakukan pelaporan dan analisis yang tepat di sini, dan ia menunjukkan terdapat harapan untuk keselamatan siber. Ini adalah cerita cybersecurity yang mempunyai akhir yang baik. "

Kami pasti berharap demikian.

Penafian

: Kandungan yang dicipta oleh pasukan Diabetes Mine. Untuk butiran lanjut klik di sini. Penafian

Kandungan ini dibuat untuk Diabetes Mine, blog kesihatan pengguna yang memberi tumpuan kepada komuniti diabetes. Kandungan tidak disemak secara medis dan tidak mematuhi garis panduan editorial Healthline. Untuk maklumat lanjut mengenai perkongsian Healthline dengan Diabetes Mine, sila klik di sini.