Insulin Pump Hacking Risk sa Animas OneTouch Ping?

Insulin Pump Hacking Risk sa Animas OneTouch Ping?
Insulin Pump Hacking Risk sa Animas OneTouch Ping?

OneEW Heathrow Newsletter February 2016

OneEW Heathrow Newsletter February 2016

Talaan ng mga Nilalaman:

Anonim

Ang balita ay naglulunsad ng mga sariwang revelations na ang panganib ng insulin ng Animas OneTouch Ping ay nasa peligro para sa pag-hack, kasama ang tagagawa na nagbigay ng isang pasalig na sulat sa mga pasyente na kasama ang mga tip tungkol sa pagbawas ng panganib sa cybersecurity.

Noong Martes Oktubre 4, ang Animn na pag-aari ng JnJ ay nagbigay ng isang cybersecurity alert sa mga gumagamit ng OneTouch Ping, na magagamit mula pa noong 2008 at nakikipag-usap sa isang glucose meter para sa remote bolusing.

Sinabi ni JnJ na natuklasan nito ang isang potensyal na depekto batay sa isang tip mula sa kilalang cybersecurity expert na si Jay Radcliffe, na nakatira sa T1D at gumawa ng isang pangalan para sa kanyang sarili sa paglalantad ng mga panganib sa pag-hack sa Medtronic pump maraming taon na ang nakalilipas. Nakipag-ugnayan siya sa kumpanya noong Abril upang sabihin na natuklasan niya ang isang paraan para sa isang tao na potensyal na makakuha ng di-awtorisadong pag-access sa pump sa pamamagitan ng hindi naka-encrypt na radio frequency system na komunikasyon nito.

Kasama nila ang pagtuklas ng isyu mula noong, alamin ang FDA at Kagawaran ng Homeland Security, at ngayon anim na buwan mamaya, ay handa na ihayag ang isyu sa publiko sa mga detalye kung paano labanan ito.

Siyempre, mabilis na napuna ang mainstream na media sa kuwento, bagaman hindi pa sa antas ng siklab ng galit na nakita natin sa nakaraan. Ang pag-hack ng medikal na kagamitan ay laging gumagawa ng makatas na balita, at naging linya ng balangkas sa mga sikat na palabas sa TV tulad ng The Blacklist ilang taon na ang nakalilipas.

Sa kasong ito, sinasabi ng Animas na ang peligro ay napakababa at walang katibayan na umiiral sa sinumang aktwal na pag-hack sa device. Sa halip, ito ay isang "zero day" na kaganapan kung saan ang kumpanya ay napilitang ilantad ang kahinaan para sa transparency sa potensyal na panganib, at nag-aalok ng mga pag-aayos.

Upang maging malinaw, kami sa ' Mine ay hindi nag-iisip na ito ay partikular na nanganganib. Sa totoo lang, mas malamang na makita namin ang isang baterya ng telepono ng Samsung Note 7 na sumabog sa kalapit kaysa makita ang isang taong sumisilip sa isang pump ng insulin upang gumawa ng pinsala. Ngunit gayunpaman, ang seguridad ng aming mga aparato ay dapat na seryoso; ito ay isang mahalagang paksa kung saan ang FDA ay kasalukuyang isinasaalang-alang ang pangwakas na patnubay para sa mga tagagawa kahit na nagsasalita kami (sumusunod sa isang pampublikong komentong panahon na mas maaga sa taong ito sa gabay na draft).

Ngayon, ang Animas pump ay nagiging pinakabagong aparato upang itaas ang mga pulang bandila tungkol sa mga potensyal na panganib … Animas Ipinapaliwanag ang Isyu

Maagang bahagi ng linggong ito, ang JnJ ay nag-organisa ng isang conference call na may maliit na bilang ng media sa diyabetis at tagapagtaguyod talakayin ang isyung ito. Sa tawag na iyon ay Chief Medical Officer ng JnJ Dr. Brian Levy at VP ng Impormasyon sa Seguridad na si Marene Allison.

Ipinaliwanag nila na ang JnJ ay nag-set up ng isang website noong Abril para sa mga pasyente tungkol sa mga potensyal na cybersecurity concerns, na nakatali sa gabay ng FDA at dumating pagkatapos ng 18 buwan ng diskusyon sa pagitan ng tagagawa, ang Cybersecurity Division ng FDA at ang Dept.ng Homeland Security.

J & J Animas ay nagbibigay diin na walang sinumang naka-hack sa OneTouch Ping. Sa halip, ginawa ni Radcliffe ang kanyang pagsusuri sa isang "kinokontrol na kapaligiran" upang patunayan na siya ay maaaring

sumira sa device at sa paggawa nito, nakalantad ang potensyal na panganib.

Ipinaliwanag ng mga spokespeople ng kumpanya na nagpasya silang huwag mag-isyu ng isang update para sa meter remote sa malaking bahagi dahil sa napakababang panganib, at ang katunayan na ang panganib ay maaaring maiwasan sa ilang mga madaling hakbang. Ang isang "patch fix" ay tila hindi posible na ibinigay ang dalas ng radyo na ginamit, dahil ito ay magre-render sa mga kasalukuyang system na hindi magamit.

Ang sulat na ipinadala sa 114,000 Ping pasyente at ang kanilang mga doktor sa US at Canada ay nag-aalok ng payo na ito sa mga nababahala: Itakda ang Mga Vibrating Alert:

I-on ang tampok na panginginig ng boses para sa insulin pump, na magpapaalam sa isang gumagamit na ang isang bolus dosis ay sinimulan ng meter remote. Nagbibigay ito sa user ng pagpipilian upang kanselahin ang anumang hindi nais na bolus, at siyempre posible lamang na baguhin ang mga pangunahing bolus at saligan na mga setting mula sa pump mismo.

Panoorin ang Insulin History:

Inihahandog ng Animas ang mga gumagamit ng Ping upang panatilihin ang mga tab sa mga talaan ng kasaysayan ng insulin sa loob ng pump. Ang bawat halaga ng paghahatid ng insulin, kung ito ay na-trigger ng metro o ng bomba, ay naitala sa kasaysayan na ito at maaaring masuri para sa anumang mga alalahanin.

I-off ang Meter Remote Feature: Ito ay tiyak na itigil ang komunikasyon sa dalas ng radyo sa pagitan ng One Touch Ping meter at ang insulin pump, ibig sabihin ang mga gumagamit ay hindi makakakita ng mga resulta ng asukal sa dugo sa kanilang pump o gamitin ang metro upang kontrolin ang bolus dosing. Sa halip, ang mga gumagamit ay kailangang manu-manong mag-key sa BGs sa pump at bolus mula sa device na iyon.

Hangganan ng Bolus na Halaga: Para sa mga nais magpatuloy sa paggamit ng meter para sa remote bolusing, maaari mong gamitin ang mga setting ng bomba upang limitahan ang halaga ng max bolus, ang halaga na inihatid sa loob ng unang dalawang oras, at ang kabuuang pang-araw-araw na dosis ng insulin. Ang anumang pagtatangka na lumampas o ma-override ang mga setting na iyon ay magpapalit ng alarma ng bomba at maiwasan ang paghahatid ng bolus insulin.

Pinahahalagahan namin ang Animas na gumawa ng mga hakbang upang kalmado ang mga takot at mag-alok ng mga tip sa tunog sa mga maaaring mag-alala. Gayunpaman, ito ay kakaiba na kinailangan ng limang taon upang matuklasan ang kahinaan na ito sa sistema ng Ping na ibinigay na ang katulad na isyu ay dumating pabalik noong 2011 na may karibal na bomba. Animas sabi ni na ito ay hindi isang isyu para sa kanyang kasalukuyang sistema ng Animas Vibe na nakikipag-ugnayan sa Dexcom CGM, dahil hindi kasama ang parehong tampok na pinagana ng RF na nagpapahintulot sa meter at pump upang makipag-usap sa isa't isa. Ngunit siyempre ang kumpanya ay nagsasabi na ito ay plano na "bumuo ng cybersecurity sa mga hinaharap na aparato" bilang ito gumagalaw pasulong sa kanyang produkto pipeline.

Cybersecurity Hacker Says … Para sa mga hindi nakarinig ng pangalan ni Jay Radcliffe noon, siya ay naging prominente sa cybersecurity front sa loob ng ilang taon na ngayon. Nakarating sa T1D sa edad na 22, siya unang gumawa ng mga headline noong 2011 kapag ang pag-hack ng isang Medtronic pump at ilalabas ang kanyang mga natuklasan tungkol sa mga potensyal na mga flaws - na kinasasangkutan rin ang remote na bolusing tampok - sa isang nangungunang kumperitor ng hacker.

Pagkatapos sa isang kagiliw-giliw na turn ng mga kaganapan, siya sumali pwersa sa FDA upang maging isang consultant sa medikal na mga isyu sa cybersecurity. At ngayon siya ay nagtatrabaho para sa cybersecurity firm Rapid7 mula noong unang bahagi ng 2014.

Naabot namin sa kanya ang tungkol sa pinakabagong pagtuklas ng cybersecurity ng Animas.

Oras na ito ay naiiba mula sa sitwasyon ng Medtronic, Sinasabi sa amin ni Radcliffe, dahil mayroon siyang pagkakataon na magtrabaho sa Animas nang direkta bago ihayag ang isyu sa publiko. Sa oras na ito, ang pampublikong pagpapalaya ay nag-time sa kasabay ng paunawa ng kumpanya sa mga konsyumer kung paano protektahan ang kanilang sarili.

Sabi niya ito ay makabuluhan na ito ang unang pagkakataon na ang isang pangunahing tagagawa ng medikal na aparato ay may proactively na nagbigay ng isang babala tungkol sa mga potensyal na mga kakulangan sa seguridad ng computer sa isang produkto ng mamimili - kahit na walang nauugnay na mga salungat na kaganapan na iniulat ng mga customer.

Nasiyahan siya sa tugon ng Animas, sabi niya, at hindi talaga nag-aalala kung gaano kaligtas at secure ang OneTouch Ping para sa mga PWD.

"Ito ay hindi perpekto, ngunit wala," ang sulat ni Radcliffe sa isang email sa

DiabetesMine

. "Kung ang alinman sa aking mga anak ay naging diabetic at inirekomenda ng mga medikal na kawani ang paglagay nila isang bomba, hindi ako mag-alinlangan na ilagay ang mga ito sa isang OneTouch Ping. "

Sa hinaharap, umaasa siya na ang kanyang pagkatuklas at kinahihinatnan na gawain sa vendor ay nagha-highlight kung bakit mahalaga ang mga PWD na maging matiisin habang ang mga tagagawa, regulator at mananaliksik ay ganap na nagsaliksik ang mga lubhang kumplikadong mga aparato.

"Gusto namin ang lahat ng mga pinakamahusay na teknolohiya kaagad, ngunit ginawa sa isang walang ingat, walang kapararakan paraan ilagay ang buong proseso pabalik para sa lahat," sinabi niya sa amin. Open-Source Fallout? Ito ay kamangha-manghang upang panoorin ang pag-uusap turn sa bukas-pinagmulan ng mga aspeto ng mga aparatong diyabetis na may kaugnayan sa ito Animas cybersecurity panganib.

Ang ilang mga opined na ito ay isang veiled pagtatangka sa pamamagitan ng Animas upang siraan ang mga proyekto open-source tulad ng Nightscout at #OpenAPS bilang mapanganib na mga pagsusumikap batay sa unencrypted komunikasyon. Ang iba naman ay nagtataka kung ito ay higit na ploy sa pamamagitan ng Animas upang tila itapon ang kanyang mga kamay at sabihin, "Hey, D-device hacker at Creator ng OpenAPS - maaari mong gamitin ang aming mga sapatos na pangbabae at hindi lamang ang mga mula sa Medtronic!"

Ang iba pa ang bukas na pinagmulan ng mundo ay nagpapahiwatig na ang kakayahan nitong gamitin ang tampok na remote bolusing sa pamamagitan ng hindi naka-encrypt na komunikasyon ay isang kilalang isyu na nagbubunyag ng kaunting panganib, ngunit sa katunayan ay binubuksan ang lahat ng uri ng mga posibilidad para sa mga bagong makabagong D-tech.

"Mga pamagat tungkol sa 'mga kahinaan' ay maaaring maging nakakatakot, ngunit ang katotohanan ay na ang pagiging ma-basahin ang data at control sapatos na pangbabae ay fostered isang napakalaking ecosystem ng pagbabago," sabi ni D-Dad Howard Look, CEO ng hindi kumikita Tidepool na paglikha ng isang bukas na plataporma para sa data ng diyabetis at mga app.

"Dapat tayong maghanap ng mga paraan upang makagawa ng higit pa sa ito at ang makabagong ideya na ito ay gumawa ng therapy

higit pa

na ligtas at epektibo. Ang mga gumagawa ng device ay maaaring gumawa ng kanilang mga protocol ng data control na magagamit sa ligtas, ang mga hindi eksklusibong layunin. "

Look sabi na ito ay hindi tungkol sa bukas na pinagmulan, kundi tungkol sa pagbabalanse ng panganib ng bukas na data at mga protocol ng control na may pakinabang sa pagpapahintulot ng pagbabago mula sa komunidad - o mula sa labas ng mga pader ng mga tukoy na device-maker.

Ang ilan sa mga pasyente at open-source na komunidad ay nababahala na ang mga nakakatakot na mga headline ay maaaring itulak ang mga gumagawa ng aparato at mga regulator upang isipin na ang tanging paraan upang secure ang mga aparato ay ang kontrolin ang mga protocol. Ngunit hindi iyan ang kaso. "Oo, gawing secure ang mga ito sa iyong mga hinaharap na mga aparato, ngunit kahit na bukas na mga protocol ng komunikasyon (na napakahirap upang samantalahin, tulad ng mga ito) ay mas mahusay kaysa wala," sabi ni Look. "Pinahihintulutan nila ang isang makulay na ecosystem ng pagbabago na kami dapat na mag-catalyze at hikayatin. " Suriin ang Medikal na Device Cybersecurity

Siyempre, ang cybersecurity sa mga aparatong pang-medikal ay isang napakainit na paksa na ginalugad ng maraming mga eksperto at organisasyon. Sa Mayo 2016, inihayag ng Diabetes Technology Society na nakabase sa California ang DTSec (DTS Cybersecurity Standard para sa koneksyong Diyabika na Devices Project), na nilikha gamit ang suporta ng FDA, NIH, Dept. of Homeland Security, NASA, US Air Force at Pambansang Institute of Standards and Technology! Iyon ay nasa mga gawa para sa mga isang taon, at ngayon ay isinasagawa.

Ang pinuno ng DTS na si Dr. David Klonoff, isang Endocrinologist ng California at Direktor ng Medikal ng Diyabetis na Pananaliksik ng Instituto sa pasilidad ng Mills-Peninsula Health Services, ay nagsasabing ngayon ang organisasyon ay nagrerekrut ng mga tagagawa ng aparato upang magamit at ang kanilang mga produkto ay sinusuri gamit ang bagong pamantayan ng DTSec . Sinabi niya ang mga grupo sa mga talakayan na may "ilang mga manlalaro sa industriya," at inaasahan nilang makita ang mga tagagawa na pumirma sa lalong madaling panahon.

Sa ngayon, hindi kinikilala ng Animas ang anumang interes sa pagsuporta sa bagong pamantayan ng cybersecurity ng DTS. Sa halip, ang kumpanya ay nagpasyang sumali sa isyu sa loob ng kasabay ng FDA.

Ngunit sa mga regulator ng FDA sa likod ng bagong pamantayan, ito ay tila lamang isang bagay ng oras bago ang mga kumpanya ay mapilit na sumunod.

Sa palagay ni Klonoff, batay sa tatlong pangunahing mga kadahilanan:

DTS ay nagtrabaho sa FDA sa paglikha ng pamantayan ng DTSec, nagbibigay ito ng tunay na regulatory credibility

Ang mga kumpanya ay pakiramdam na ito ay isang mapagkumpetensyang kalamangan upang ipakita na mayroon silang magandang cybersecurity . Ito ay nagbibigay-daan sa mga ito upang idokumento ang …

Ang mga kompanya na nagtatagal ay maaaring maging posibleng mananagot sa alinman sa mga regulasyon na multa o potensyal na paglilitis kung mayroong isang kaso ng cybersecurity laban sa kanila; kung hindi nila sinusunod ang pamantayan ng DTSec na ito, maaaring mas mahirap gawin ang isang claim na hindi sila gumawa ng anumang mali.

"Inaasahan ko ito upang mahuli, at habang nakikipag-usap kami sa maraming U. S. device makers, nagtatrabaho rin kami upang gawing internasyonal na ito," sabi ni Klonoff.

  1. Tulad ng partikular na isyu ng cybersecurity ng Animas, sabi ni Klonoff naniniwala siya na ito ay isang pag-aaral sa kaso kung paano dapat dalhin ang mga potensyal na problema mula sa bawat panig. Pinuri niya ang J & J para sa "paghawak ng responsable" na ito sa pamamagitan ng pagtatrabaho sa FDA at Radcliffe, at sa pamamagitan ng pagbibigay ng mga remedyo na maaaring tugunan ang isyu.
  2. "Ito ang dapat gawin, sa halip na lumikha ng takot nang walang anumang pag-aayos para sa komunidad ng pasyente o pagbubuhos ng proporsiyon," sabi ni Klonoff. "Ito ay kung paano nais ng FDA ang mga problema sa cybersecurity na mapangasiwaan. Ang bawat isa ay gumawa ng tamang pag-uulat at pag-aaral dito, at ipinakikita nito na may pag-asa para sa cybersecurity. Ito ay isang cybersecurity story na may magandang magandang pagtatapos. "

Tiyak na umaasa kami.

Pagtatatuwa

: Nilalaman na ginawa ng koponan ng Diabetes Mine. Para sa higit pang mga detalye, mag-click dito.

Pagtatatuwa

Nilalaman na ito ay nilikha para sa Diabetes Mine, isang blog ng health consumer na nakatuon sa komunidad ng diabetes. Ang nilalaman ay hindi sinuri ng medikal at hindi sumusunod sa mga patnubay sa editoryal ng Healthline. Para sa karagdagang impormasyon tungkol sa pakikipagtulungan ng Healthline sa Diabetes Mine, mangyaring mag-click dito.