Загрижеността за киберсигурността изглежда ни свързва безкрайно много в наши дни. Сред потока от съобщения за нарушения на данни, нарушени споразумения за поверителност и кибератаки в частния и публичния сектор може да бъде трудно да се определи какво наистина е безопасно.
И след няколко хакерски инсулинови помпи, плашещи преди няколко години, няма как да не се запитаме: точно къде стоим по отношение на безопасността на нашите устройства за диабет (и информацията, която те съдържат) през 2019 г.?
Работата с риск е, че понякога е реална, а понякога се възприема. Справянето с реалния риск води до безопасност. Докато обсебването на възприемания риск води до страх. И така, какво е реалното тук? И какво точно се прави за справяне с проблемите на киберсигурността на диабета?
Напредък по стандартите за медицинска киберсигурност
През октомври 2018 г. Американската администрация по храните и лекарствата (FDA) издаде предпускови насоки за всички медицински изделия, съдържащи кибер рискове. По-късно през есента Health Canada също публикува документ с насоки, съдържащ препоръки за киберсигурност, които да се използват от медико-технологичните компании по време на техните етапи на разработка и тестване. Идеята, разбира се, е, че следвайки насоките, доставчиците ще представят на пазара устройства, които вече са сигурни, в сравнение с устройства, чиито уязвимости са открити след пускането на пазара чрез употреба от пациента.
Според съобщение за новини на Health Canada, сред препоръките за киберсигурност на устройствата med в техните проекти на насоки са: 1) включване на мерките за киберсигурност в процесите за управление на риска за всички устройства със софтуерен компонент, 2) установяване на рамки за управление на рисковете от киберсигурност на ниво предприятие, и 3) проверка и валидиране на всички процеси за контрол на риска в киберсигурността. Те специално препоръчват мерки като прилагане на стандарта за киберсигурност UL 2900 за намаляване на рисковете и уязвимостите.
Кен Пилгрим, старши консултант по регулаторни въпроси и осигуряване на качеството в Emergo Group във Ванкувър, заяви, че новите насоки трябва да се окажат ценни за производителите на медицински изделия не само в Канада, но и в други юрисдикции, развиващи подобни изисквания за киберсигурност.
Междувременно в Съединените щати се търсят мерки за справяне с киберсигурността на устройствата за диабет.
В края на октомври Обществото за технология на диабета (DTS) обяви, че OmniPod DASH се превърна в първата изчистена от FDA инсулинова помпа, получила сертификат по стандарта и програма за осигуряване на киберсигурността на DTS „Стандарт за безжична диабетна защита“, известна като DTSec.
DTS е основана през 2001 г. от д-р Дейвид Клонов с цел насърчаване на използването и развитието на технологията за диабет. DTSec е по същество първият организиран стандарт за сигурност за диабетните технологии. Помислете за това като за печат за безопасност, подобно на начина, по който виждаме https уеб адрес. Стандартът е създаден през 2016 г. след изследвания и принос от академичните среди, индустрията, правителството и клиничните центрове. Както повечето стандарти, това е доброволно ръководство за производителите да обмислят приемането и спазването.
Оттогава организацията продължава да прокарва изследвания в областта на киберсигурността и оценка на риска, да организира конференции и да разработва по-задълбочени защити.
Миналия юни, няколко месеца преди да бъде съобщено за OmniPod след DTSec, групата пусна нови насоки за сигурност, наречени DTMoSt, съкратено от „Използване на мобилни устройства в контекста за контрол на диабета“.
Според Klonoff, медицински директор на Института за изследване на диабета в Медицинския център Mills-Peninsula, Сан Матео, Калифорния, насоките на DTMoSt се основават на DTSec, като се превръщат в първия стандарт както с изисквания за производителност, така и с изисквания за сигурност за производителите на свързани медицински устройства, контролирани от мобилна платформа.
DTMoSt идентифицира заплахи, като злонамерени отдалечени и базирани на приложения атаки и „гладуване на ресурси“, за безопасното функциониране на решения с активирани мобилни устройства и предлага насоки за разработчици, регулатори и други заинтересовани страни, за да помогне за управлението на тези рискове.
Мерките за сигурност не трябва да възпрепятстват използването
Днес едно приложение за глюкомер, CGM и диабет за смартфони може да е свързано с интернет и следователно отворено за някакво ниво на риск.
И все пак въпреки продължаващите разговори за опасностите от Интернет на нещата, експертите предупреждават, че действителният риск за обществеността е доста нисък. Що се отнася до сигурността, лошите хора просто не се интересуват толкова от нечии данни за кръвната захар (в сравнение с паролата за тяхната банкова сметка).
Като се има предвид това, инвестициите в киберсигурността са необходими като превантивни мерки за заплахи и осигуряване на основна сигурност на потребителите и клиентите.
Но недостатъкът е, че прилагането на мерки за киберсигурност понякога може да означава, че системата е много трудна или невъзможна за използване за споделяне на данни по предназначения начин. Номерът в уравнението не ограничава възможността за работа и достъп от предвидените хора.
А какво да кажем за поверителността? Отново и отново виждаме, че докато хората казват, че дават приоритет на неприкосновеността на личния живот, те изглежда действат по противоречив начин, като се съгласяват, превъртат, парафират, подписват и дават достъп до информация и данни с много малко реална мисъл или загриженост. Истината е, че ние, потребителите, обикновено не четем много внимателно политиките за поверителност, ако изобщо ги има. Просто натиснахме бутона „следващ“.
Компенсиращ страх и трепет
Мнозина от бранша предупреждават за неблагоприятната страна на киберсигурността: фокусът върху страха, който граничи с обсебването, изнервя изследванията и в крайна сметка може да струва човешки живот. Това са хора, които осъзнават, че кибер света и нашите устройства за диабет са отворени за риск, но смятат, че свръхреакцията е потенциално по-опасна.
„Целият брой на„ киберсигурността в устройствата “получава много повече внимание, отколкото заслужава“, казва Адам Браун, старши редактор в diaTribe и автор на Ярки петна и наземни мини: Ръководството за диабет, което бих искал някой да ме е предал. „Имаме нужда от компании да се движат по-бързо, отколкото са, а киберсигурността може да предизвика ненужен страх. Междувременно хората са навън, без да разполагат с данни, без връзка, без автоматизация и без поддръжка. "
Хауърд Лук, главен изпълнителен директор на Tidepool, D-Dad, и ключова сила зад движението #WeAreNotWaiting, вижда и двете страни на въпроса, но е съгласен с Браун и други експерти в бранша, които се страхуват от проверки на степента на медицинския напредък.
„Разбира се, компаниите за устройства (включително софтуер като компании за медицински изделия, като Tidepool) трябва да приемат киберсигурността много, много сериозно“, казва Вижте. „Със сигурност не искаме да създаваме ситуация, при която съществува риск от масова атака срещу устройства или приложения, които могат да навредят на хората. Но снимките на „хакери с качулки“ с череп и кости на компютърни екрани просто плашат хората, които всъщност не разбират какво е заложено. Това кара компаниите за устройства да се забавят, защото се страхуват. Това не им помага да разберат правилното нещо. “ Погледнете се отнасяше до слайдове на Powerpoint, показани на медицински конференции за диабет със зловещи изображения, указващи кибер опасности.
Системите със затворен цикъл OpenAPS и Loop, направени сами, които са станали популярни, технически се основават на „уязвимост“ в по-старите помпи на Medtronic, която позволява безжично дистанционно управление на тези помпи. За да хакнете помпите, трябва да знаете серийния номер и трябва да сте близо до помпата за 20 секунди. „Има много по-лесни начини да убиете някого, ако това искате да направите“, казва Вижте.
Мнозина твърдят, че тази предложена „уязвимост“ в сигурността, колкото и страшна да е на теория, е огромна полза, тъй като е позволила на хиляди хора да използват OpenAPS и Loop, спасявайки животи и подобрявайки качеството на живот и общественото здраве за тези, които използват тях.
Измерен подход към рисковете
Организации като DTS вършат важна работа. Защитата на устройството има значение. А презентациите на изследванията и конференциите по темата са постоянни в индустрията - технологиите за диабет и киберсигурността ще бъдат фокус на няколко елемента на 12-тата Международна конференция за модерни технологии и лечение на диабета (ATTD 2019), която се провежда по-късно този месец в Берлин. Но тези истини продължават да съществуват заедно с реалността, че хората се нуждаят от по-добри инструменти, които са по-евтини и ние се нуждаем от тях бързо.
„Отличителният белег на страхотните устройства е непрекъснатото усъвършенстване, а не съвършенството“, казва Браун. „Това изисква свързаност, оперативна съвместимост и дистанционно актуализиране на софтуера.“
Въпреки че устройствата са отворени за рискове, експертите изглежда са съгласни, че те обикновено са доста безопасни и сигурни. Продължавайки през 2019 г. и след това, изглежда, че консенсусът е, че макар да се следи кибер-рискът, е важно, този риск често се надценява и потенциално бледнее срещу здравните рискове от липсата на напреднали инструменти за диабет.