FDA: По-старите инсулинови помпи на Medtronic не са киберсигурни

Ако следвате известията за безопасност на продуктите или най-новите медицински заглавия, може би сте чували, че по-старите инсулинови помпи Medtronic са наречени опасни и уязвими за кибер атаки.

Да, FDA и Medtronic са издали известия за безопасност на място за по-стари помпи от серията Revel и Paradigm, устройства, които в някои случаи са от десетилетие до почти 20 години. Ето известието на FDA и писмото на пациента от самия Medtronic.

Засегнатите устройства включват: Minimed 508 (за първи път пуснат през 1999 г.), моделите Paradigm (511, 512/712, 515/715, 522/722 и по-стари версии на 523/723), както и по-старата Minimed Paradigm Veo версии, продавани извън САЩ

Няма причина за паника

Преди някой да се изплаши за безопасността на инсулиновата помпа, нека бъде ясно, че както FDA, така и Medtronic потвърждават, че има НУЛИ съобщения за всякакъв вид подправяне на тези помпи. Така че въпреки сензационните заглавия, страшен сценарий, при който някой гнусен киберхакер препрограмира нечия помпа, за да достави твърде много инсулин, остава фураж за телевизионни или филмови сюжети. Макар че нещо подобно теоретично може да е възможно, реалният риск е много по-вероятно да е дефектен показател на CGM сензор, подтикващ помпата да доставя твърде много или твърде малко инсулин при тези по-стари модели.

Официалното известие от FDA е просто агенцията да си върши работата по предупреждение на хората за потенциални опасности, които биха могли да съществуват. Това е поредното събитие от „нулев ден“ - като предупреждението, издадено на инсулиновите помпи Animas през 2016 г., в което производителят е принуден да изложи уязвимост, която бих могъл създават риск.

По-важното е, че това не е ново развитие. Идеята, че помпите Medtronic са уязвими, е публична от 2011 г., когато масовите медии съобщиха, че хакерът с „бялата шапка“ Джей Радклиф е успял да проникне в кода на инсулиновата помпа и основните медии са били навсякъде. Дори двама членове на Конгреса по онова време бяха уловени в ажиотажа и през следващите години този и свързаните с него въпроси, свързани с киберсигурността, се разпространяваха, когато FDA и федералното правителство изготвиха насоки и протоколи за възможни проблеми с киберсигурността в медицинските технологии.

Не е традиционно изземване

Освен това, въпреки докладването в масовите медии, Medtronic потвърждава заедно с нас, че това не е традиционно изземване на продукти. „Това е само уведомление за безопасност. Засегнатите помпи не трябва да бъдат връщани поради това известие “, казва Пам Рийз, директор на глобалните комуникации и корпоративен маркетинг на Medtronic Diabetes.

Тя ни казва, че хората, използващи тези по-стари помпи, все още могат да поръчват доставки от Medtronic и от дистрибутори.

Какво всъщност трябва да направите, ако имате една от помпените помпи?

„Препоръчваме ви да говорите с вашия доставчик на здравни услуги, за да обсъдите проблема с киберсигурността и стъпките, които можете да предприемете, за да се защитите. Междувременно конкретните инструкции са да поддържате инсулиновата си помпа и устройствата, свързани към нея, по всяко време във вашия контрол и да не споделяте серийния номер на помпата си с никого “, казва Рийз.

Защо да издадете предупреждение сега?

Това е големият въпрос за много умове в пациентската общност.

Ако Medtronic и FDA са били наясно с тази уязвимост в продължение на осем пълни години и сега всички тези инсулинови помпи с минимално поколение от по-старо поколение всъщност са прекратени и не са на пазара за нови клиенти в Щатите, което предизвика сигнал в този момент във времето ?

Reese от Medtronic казва: „Това е постоянен разговор, защото защитата на киберсигурността непрекъснато се развива, тъй като технологиите продължават бързо да се усъвършенстват и свързаните устройства трябва да са в крак с този темп ... Ние бяхме наясно с това в края на 2011 г. и започнахме да прилагаме подобрения в сигурността към нашите помпи по това време. Оттогава пуснахме по-нови модели помпи, които комуникират по напълно различни начини. С нарастващото внимание към киберсигурността в индустрията на медицински изделия днес, ние почувствахме, че е важно нашите клиенти да разберат проблемите и рисковете по-подробно. “

Това може да е, но това, което също се е случило през последните няколко години, е раждането и експоненциалният растеж на движението за технология за диабет #WeAreNotWaiting; днес хиляди хора по света създават свои собствени домашни системи със затворен цикъл. Много от тях се изграждат въз основа на точно тези по-стари модели помпи Medtronic, за които компанията внезапно е решила да говори.

Medtronic казва, че вече са идентифицирали 4000 директни клиенти, които може да използват тези по-стари устройства, които са вероятно изложени на риск, и ще работят с дистрибутори на трети страни, за да идентифицират други.

Подозрителните умове могат да измислят две възможни причини за внезапно предупреждение сега:

• FDA използва това предупреждение за „потенциален риск“ като средство за ограничаване на нарастващото използване на технологията „направи си сам“, която не е регулирана или одобрена за търговски продажби.

• И / или Medtronic прави състезателен шах тук, поддържайки сигнал за киберсигурност, за да изплаши хората от използването на по-стари, извън гаранционни устройства и вместо това да подтикне клиентите да надстроят своите до по-нови, „по-сигурни“ устройства като 630G и 670G Хибридна затворена система.

Само преди седмици на нашето събитие D-Data ExChange на 7 юни беше направено голямото съобщение, че Medtronic ще започне да работи с Tidepool с нестопанска цел с отворен код, за да създаде нова версия на инсулиновата си помпа, която ще бъде съвместима с други продукти и с бъдещото приложение Tidepool Loop, разработено за Apple Store. Възможно е Medtronic да се надява да постави основите на „Направи си сам“ да се придържат към продуктите на Medtronic, само не и към по-старите версии, за които вече не желаят да отговарят.

Не насочвате DIY системи?

Не забравяйте, че през май 2019 г. FDA издаде предупреждение за „направи си сам“ технология и системи, които са „извън етикета“, дори ако използват изчистени от FDA устройства в системните компоненти. Но агенцията казва, че тези две сигнали не са свързани.

„Това е отделен въпрос от предупреждението„ Направи си сам “, обяснява Алисън Хънт от Службата за медийни въпроси на FDA. „FDA беше информирана за допълнителни уязвимости, свързани с тези помпи, които, разгледани с разкритите през 2011 г., ни накараха да издадем тази комуникация за безопасност и Medtronic да издадем този последен сигнал.“

Тя посочва, че тази последна комуникация за безопасност „конкретно обсъжда уязвимостта на киберсигурността, при която неоторизиран човек може потенциално да се свърже безжично с близка инсулинова помпа MiniMed и да промени настройките на помпата, или да прекали с инсулина на пациента, което води до ниска кръвна захар (хипогликемия ), или спиране на доставката на инсулин, което води до висока кръвна захар и диабетна кетоацидоза. "

Хънт казва, че FDA провежда непрекъснати дискусии с производителите и когато възникнат опасения, „ние работим бързо, за да разработим план за действие, включително как да смекчим всяка уязвимост на киберсигурността и как да общуваме ефективно с обществеността възможно най-бързо“.

Добре, но нищо от това не обяснява точно защо в този случай са били необходими години за решаване на известен проблем с киберсигурността ...?

Както бе отбелязано по-горе, мнозина в D-общността виждат това като опит за насочване на технологията „направи си сам“, както и за привличане на нови клиенти към най-новата технология Medtronic. В рамките на общността #WeAreNotWaiting мнозина критикуваха неотдавнашните действия на FDA - предупрежденията за технологията „направи си сам“ и тази по-стара технологична киберсигурност - като недалновидни, особено като се има предвид преобладаването на неточни показания на CGM и реални проблеми с търговски регулирани устройства за диабет там Един член #WeAreNotWaiting дори се впусна в нов доклад за нежелани събития на FDA, публикуван през юни 2019 г., разглеждащ последните две десетилетия нежелани събития, и установи, че само през 2018 г. инсулиновите помпи Medtronic са отговорни за 11,5% от всички събития.

Уау! Изчислете математиката и е ясно, че търговските устройства, изчистени от FDA, имат проблеми сами.

Със сигурност е възможно точно това да изглежда по номинал: официално признаване на недостатък в киберсигурността на старата технология, предшестваща ерата на Bluetooth за споделяне на данни и дистанционно наблюдение. Но защо отне почти десетилетие, за да се материализира в действителни действия?

Докато отговорът за „Защо сега?“ по този въпрос остава неясно, знаем, че FDA е приятел на общността #WeAreNotWaiting през годините. Те са възприемчиви към откритата комуникация с пациентската общност. Също така знаем, че технологията „направи си сам“ има реална отговорност и безопасност и че FDA е много премерена при справяне с тези потенциални рискове. Да се ​​надяваме, че тази тенденция ще продължи.

Междувременно оставаме доста уверени, че никой не хаква помпи, за да убие хора. Насърчаването на страха не помага на никого - нито на общността „направи си сам“, нито на самите фармацевтични компании.