อินซูลินปั๊มความเสี่ยงในการแฮ็กใน Animas OneTouch Ping?

ข่าวมีการเปิดเผยเกี่ยวกับการเปิดเผยใหม่ว่าปั๊มอินซูลิน Animas OneTouch Ping มีความเสี่ยงสำหรับการแฮ็กโดยผู้ผลิตได้ออกจดหมายรับรองแก่ผู้ป่วยที่มีคำแนะนำในการลดความเสี่ยงด้านความปลอดภัยในโลกไซเบอร์

เมื่อวันอังคารที่ 4 ตุลาคม JNJ-owned Animas ได้แจ้งเตือนเกี่ยวกับระบบรักษาความปลอดภัยแก่ผู้ใช้ OneTouch Ping ซึ่งได้ให้บริการมาตั้งแต่ปีพศ. 2551 และสื่อสารกับเครื่องวัดระดับน้ำตาลในเลือด

พวกเขาได้ร่วมกันสำรวจปัญหานี้ตั้งแต่ได้แจ้ง FDA และ Department of Homeland Security และตอนนี้หกเดือนต่อมาพร้อมที่จะเปิดเผยประเด็นปัญหานี้ต่อสาธารณชนโดยเฉพาะเกี่ยวกับการต่อสู้กับปัญหานี้

แน่นอนว่าสื่อกระแสหลักเลือกเรื่องนี้ได้อย่างรวดเร็วแม้ว่าจะไม่ค่อยไปถึงระดับความตื่นเต้นที่เราได้เห็นในอดีตก็ตาม การแฮ็กอุปกรณ์การแพทย์ทำให้ข่าวฉ่ำเสมอและเป็นแนววางแผนในรายการทีวียอดนิยมเช่น The Blacklist เมื่อไม่กี่ปีก่อน

อาจเกิดขึ้น

และเสนอข้อแก้ไข เห็นได้ชัดว่าเราที่ ' เหมือง

ไม่คิดว่าเรื่องนี้เป็นภัยคุกคามโดยเฉพาะอย่างยิ่ง สุจริตเรามีแนวโน้มที่จะเห็นแบตเตอรี่โทรศัพท์ซัมซุงโน้ต 7 ระเบิดใกล้เคียงกว่าเห็นคนสับเข้าไปในปั๊มอินซูลินทำอันตราย อย่างไรก็ตามความปลอดภัยของอุปกรณ์ของเราต้องได้รับการพิจารณาอย่างจริงจัง เป็นหัวข้อสำคัญที่องค์การอาหารและยากำลังพิจารณาแนวทางขั้นสุดท้ายสำหรับผู้ผลิตแม้ว่าเราจะพูด (ตามช่วงเวลาแสดงความคิดเห็นของสาธารณชนเมื่อต้นปีที่ผ่านมาเกี่ยวกับคำแนะนำฉบับร่าง) ตอนนี้เครื่อง Animas กลายเป็นอุปกรณ์ล่าสุดที่จะยกธงสีแดงเกี่ยวกับอันตรายที่อาจเกิดขึ้น

Animas อธิบายถึงปัญหา

เมื่อต้นสัปดาห์นี้ JnJ ได้จัดประชุมทางโทรศัพท์กับสื่อเบาหวานจำนวนเล็กน้อยและสนับสนุนให้ หารือเรื่องนี้ ในการโทรนั้นเป็นหัวหน้าเจ้าหน้าที่ทางการแพทย์ของ JnJ Dr. Brian Levy และรองประธานฝ่ายความมั่นคงสารสนเทศ Marene Allison พวกเขาอธิบายว่า JnJ ได้สร้างเว็บไซต์ขึ้นเมื่อเดือนเมษายนที่ผ่านมาสำหรับผู้ป่วยเกี่ยวกับความห่วงใยด้านความปลอดภัยในโลกไซเบอร์ซึ่งได้รับการเชื่อมโยงกับคำแนะนำขององค์การอาหารและยาและหลังจาก 18 เดือนของการอภิปรายระหว่างผู้ผลิตฝ่าย Cyber ​​security ของ FDA และแผนกแห่งความมั่นคงแห่งมาตุภูมิ

J & J Animas เน้นว่าไม่มีใครแฮ็ก Ping OneTouch "การควบคุมสภาพแวดล้อม" เพียงเพื่อพิสูจน์ว่าเขา

อาจ

สับเข้าไปในอุปกรณ์และในการทำเช่นนั้นเปิดเผยความเสี่ยงที่อาจเกิดขึ้น

โฆษกของ บริษัท ได้ชี้แจงว่าพวกเขาได้ตัดสินใจที่จะไม่ทำการอัพเดทรีโมทมิเตอร์ในส่วนใหญ่เพราะความเสี่ยงต่ำมากและความจริงที่ว่าความเสี่ยงนี้สามารถลดขั้นตอนง่ายๆได้บ้าง "แก้ไขแพทช์" เห็นได้ชัดว่าเป็นไปไม่ได้ที่จะใช้ความถี่วิทยุเนื่องจากจะทำให้ระบบปัจจุบันไม่สามารถใช้งานได้

จดหมายที่ทาง บริษัท ได้ส่งให้กับผู้ป่วยปิงปิงจำนวน 114,000 รายและแพทย์ของพวกเขาในสหรัฐฯและแคนาดาเสนอคำแนะนำนี้แก่ผู้ที่เกี่ยวข้อง: ตั้งค่าการเตือนแบบสั่นสะเทือน: เปิดคุณลักษณะการสั่นสะเทือน สำหรับปั๊มอินซูลินซึ่งจะแจ้งให้ผู้ใช้ทราบว่ามีการเริ่มใช้งานขนาดของลูกกลิ้งด้วยรีโมทคอนโทรล นี้จะช่วยให้ผู้ใช้เลือกที่จะยกเลิก bolus ที่ไม่พึงประสงค์ใด ๆ และแน่นอนมันเป็นไปได้เท่านั้นที่จะเปลี่ยนการตั้งค่า bolus พื้นฐานและพื้นฐานจากปั๊มตัวเอง

ดูประวัติอินซูลิน:

Animas เรียกร้องให้ผู้ใช้ Ping เก็บบันทึกประวัติอินซูลินไว้ภายในปั๊ม ปริมาณการส่งมอบอินซูลินทุกชนิดไม่ว่าจะเป็นเครื่องวัดโดยมิเตอร์หรือเครื่องสูบน้ำจะถูกบันทึกไว้ในประวัตินี้และสามารถตรวจสอบข้อกังวลใด ๆ ได้

ปิดเครื่องวัดระยะไกล:

การหยุดการสื่อสารทางความถี่วิทยุระหว่างเครื่องวัด One Touch Ping กับเครื่องปั๊มอินซูลินทำให้ผู้ใช้ไม่สามารถมองเห็นผลของน้ำตาลในเลือดได้หรือใช้ เมตรเพื่อควบคุมการใช้ยาเม็ดขนาดใหญ่ ผู้ใช้จะต้องแบกรับ BGs บนปั๊มและลูกกลิ้งจากอุปกรณ์นั้นด้วยตนเอง Limit Bolus Amounts:

สำหรับผู้ที่ต้องการใช้เครื่องวัดระยะไกลต่อเนื่องคุณสามารถใช้การตั้งค่าของเครื่องสูบเพื่อ จำกัด ปริมาณ bolus สูงสุดปริมาณที่จัดส่งภายในสองชั่วโมงแรกและปริมาณรายวันทั้งหมด ของอินซูลิน ความพยายามที่จะเกินหรือลบล้างการตั้งค่าเหล่านั้นจะทำให้เกิดการเตือนภัยของปั๊มและป้องกันการส่งมอบอินซูลินของ bolus เราขอขอบคุณ Animas ที่ใช้มาตรการในการสงบความกลัวและเสนอเคล็ดลับเสียงแก่ผู้ที่อาจกังวล ยังคงเป็นเรื่องแปลกที่ต้องใช้เวลาห้าปีในการค้นพบจุดอ่อนนี้ในระบบปิงเนื่องจากปัญหาดังกล่าวเกิดขึ้นในปี 2011 พร้อมกับปั๊มคู่ต่อสู้ Animas กล่าวว่านี่ไม่ใช่ปัญหาสำหรับระบบ Animas Vibe ในปัจจุบันที่สื่อสารกับ Dexcom CGM เนื่องจากไม่ได้รวมคุณสมบัติ RF ที่เหมือนกันซึ่งทำให้มิเตอร์และปั๊มสามารถพูดคุยกันได้ แต่แน่นอน บริษัท กล่าวว่ามีแผนจะ "สร้างระบบรักษาความปลอดภัยในโลกไซเบอร์ให้เป็นอุปกรณ์ในอนาคต" ขณะที่มันเคลื่อนไปข้างหน้าพร้อมกับท่อส่งผลิตภัณฑ์

แฮกเกอร์ Cybersecurity กล่าว … สำหรับผู้ที่ไม่เคยได้ยินชื่อของ Jay Radcliffe มาก่อนเขาเป็นคนที่โดดเด่นในด้านความปลอดภัยทางอินเทอร์เน็ตเป็นเวลาหลายปีแล้ว ได้รับการวินิจฉัยว่าเป็นโรค T1D เมื่ออายุ 22 ปีเขาทำข่าวพาดหัวเมื่อปี 2011 เมื่อเจาะเครื่องปั๊มเมดเมตริกซ์และเปิดเผยผลการค้นพบของเขาเกี่ยวกับข้อบกพร่องที่อาจเกิดขึ้นซึ่งเกี่ยวข้องกับคุณลักษณะการลูบไล้จากระยะไกลในการประชุมแฮ็กเกอร์ชั้นนำด้วย

จากนั้นในช่วงเหตุการณ์ที่น่าสนใจเขาได้เข้าร่วมกับ FDA เพื่อเป็นที่ปรึกษาในประเด็นเกี่ยวกับความปลอดภัยในโลกไซเบอร์ทางการแพทย์ และตอนนี้เขากำลังทำงานให้กับ Rapid7 ตั้งแต่ต้นปี 2014

เราได้ติดต่อเขาเกี่ยวกับการค้นพบ Animas cybersecurity ล่าสุดนี้

เวลานี้แตกต่างจากสถานการณ์ของ Medtronic Radcliffe เล่าให้เราฟังว่าเขามีโอกาสที่จะได้ทำงานกับ Animas โดยตรงก่อนที่จะเปิดเผยเรื่องนี้ต่อสาธารณชน ในเวลานี้การปล่อยตัวสาธารณชนได้รับการกำหนดเวลาร่วมกับการแจ้งให้ บริษัท ทราบถึงวิธีการป้องกันตัวเอง

เขามีความสุขกับการตอบสนองของ Animas เขากล่าวและไม่ค่อยกังวลอย่างมากเกี่ยวกับความปลอดภัยของ OneTouch Ping สำหรับ PWDs

DiabetesMine

" ถ้าเด็กคนหนึ่งของฉันกลายเป็นเบาหวานและเจ้าหน้าที่ทางการแพทย์แนะนำให้ใส่ข้อมูลดังกล่าว ปั๊มฉันไม่ลังเลที่จะนำพวกเขาลงบน OneTouch Ping "

ในอนาคตเขาหวังว่าการค้นพบและผลงานที่เป็นประโยชน์ของเขากับผู้ขายจะเน้นว่าทำไม PWD จึงควรให้ความใส่ใจในขณะที่ผู้ผลิตผู้ควบคุมและนักวิจัยสำรวจอย่างเต็มที่ อุปกรณ์เหล่านี้มีความซับซ้อนสูง

"เราทุกคนต้องการเทคโนโลยีที่ดีที่สุดในทันที แต่ทำในลักษณะเสี่ยงโดยประมาททำให้กระบวนการทั้งหมดกลับมาสำหรับทุกคน" เขาบอกกับเรา

Fallout โอเพนซอร์ส?

การชมบทสนทนานั้นหันไปทางด้านโอเพนซอร์สของอุปกรณ์เบาหวานเนื่องจากเกี่ยวข้องกับความเสี่ยงด้านความปลอดภัยในโลกไซเบอร์นี้ของ Animas

บางคนให้ความเห็นว่านี่เป็นความพยายามที่ถูกปกคลุมโดย Animas เพื่อลบล้างโครงการโอเพ่นซอร์สอย่าง Nightscout และ #OpenAPS เป็นความพยายามที่มีความเสี่ยงจากการสื่อสารที่ไม่มีการเข้ารหัส คนอื่น ๆ สงสัยว่ามันเป็นวิธีการของ Animas ที่ดูเหมือนจะโยนขึ้นมือของมันและพูดว่า "Hey, แฮกเกอร์ D- อุปกรณ์และผู้สร้าง OpenAPS - คุณสามารถใช้เครื่องสูบน้ำของเราและไม่เพียง แต่จาก Medtronic!"

คนอื่น ๆ ยังคงอยู่ใน โลกโอเพนซอร์สชี้ให้เห็นว่าความสามารถในการใช้คุณลักษณะการบีบอัดข้อมูลจากระยะไกลผ่านการสื่อสารที่ไม่ได้เข้ารหัสเป็นปัญหาที่รู้จักกันดีซึ่งจะทำให้เกิดอันตรายน้อยมาก แต่ในความเป็นจริงจะเปิดโอกาสใหม่ ๆ สำหรับนวัตกรรมใหม่ ๆ ของ D-tech แต่ความเป็นจริงก็คือการสามารถอ่านข้อมูลและควบคุมเครื่องสูบน้ำได้สร้างความเชื่อมั่นให้กับระบบนิเวศน์อันน่าทึ่ง "D-Dad Howard Look ซีอีโอของ Tidepool ที่ไม่หวังผลกำไรกล่าวว่า" ข่าวลือเกี่ยวกับ "ช่องโหว่" อาจเป็นเรื่องที่น่ากลัว สร้างแพลตฟอร์มแบบเปิดสำหรับข้อมูลและแอปป็นเบาหวาน

ปลอดภัยและมีประสิทธิภาพผู้ผลิตอุปกรณ์สามารถทำโปรโตคอลการควบคุมข้อมูลของตนได้ในรูปแบบที่ปลอดภัยและปลอดภัย ไม่ใช่การยับยั้งนวัตกรรมเหล่านี้ไม่ใช่เป้าหมายที่ไม่เหมือนใคร "

Look กล่าวว่านี่ไม่ใช่เรื่องเกี่ยวกับโอเพ่นซอร์ส แต่เป็นการสร้างความสมดุลระหว่างความเสี่ยงของข้อมูลแบบเปิดและโปรโตคอลควบคุมด้วยประโยชน์ที่จะทำให้เกิดนวัตกรรมจากชุมชนหรือ จากด้านนอกกำแพงของผู้ผลิตอุปกรณ์เฉพาะ

บางคนในชุมชนผู้ป่วยและชุมชนโอเพ่นซอร์สกังวลว่าหัวข้อข่าวที่น่ากลัวเหล่านี้อาจผลักดันผู้ผลิตอุปกรณ์และหน่วยงานกำกับดูแลให้คิดว่าวิธีเดียวที่จะรักษาความปลอดภัยของอุปกรณ์คือการใช้โปรโตคอลการควบคุมออกไป แต่นั่นไม่ควรเป็นเช่นนั้น

"ใช่ทำให้อุปกรณ์เหล่านี้มีความปลอดภัยในอุปกรณ์ในอนาคตของคุณ แต่แม้โปรโตคอลการสื่อสารที่เปิดกว้าง (ซึ่งยากที่จะใช้ประโยชน์เช่นนี้ก็คือ) ดีกว่าไม่มีเลย" Look กล่าว "พวกเขาช่วยให้ระบบนิเวศที่มีชีวิตชีวาของนวัตกรรมที่เรา ควรจะกระตุ้นและสนับสนุน "

การประเมินอุปกรณ์ทางการแพทย์ cybersecurity

แน่นอนว่าความปลอดภัยในโลกไซเบอร์ในอุปกรณ์ทางการแพทย์เป็นหัวข้อที่ร้อนแรงขึ้นซึ่งได้รับการสำรวจโดยผู้เชี่ยวชาญและองค์กรหลายแห่ง

ในเดือนพฤษภาคมปีพ. ศ. 2516 สมาคมเทคโนโลยีเบาหวานแห่งรัฐแคลิฟอร์เนียได้ประกาศโครงการ DTSec (DTS Cybersecurity Standard for Connected Diabetes Devices) ซึ่งสร้างขึ้นโดยได้รับการสนับสนุนจาก FDA, NIH, Department of Homeland Security, NASA, US Air Force และ สถาบันมาตรฐานและเทคโนโลยี! ที่ได้รับในการทำงานเป็นเวลาประมาณหนึ่งปีและขณะนี้กำลังอยู่ระหว่างการ ผู้นำด้าน DTS ดร. เดวิดคลีนคอฟฟ์ผู้อำนวยการด้านการต่อมไร้ท่อและผู้อำนวยการด้านการแพทย์ของสถาบันวิจัยโรคเบาหวานแห่งรัฐแคลิฟอร์เนียกล่าวว่าองค์กรกำลังสรรหาผู้ผลิตอุปกรณ์เพื่อนำมาใช้และมีการประเมินผลิตภัณฑ์ของตนโดยใช้มาตรฐาน DTSec ฉบับใหม่ . เขากล่าวว่ากลุ่มกำลังคุยกับ "ผู้เล่นในอุตสาหกรรมหลาย ๆ คน" และพวกเขาคาดหวังว่าจะเห็นผู้ผลิตลงนามในเร็ว ๆ นี้

จนถึงตอนนี้ Animas ยังไม่ได้รับการยอมรับว่าสนใจในการสนับสนุนมาตรฐาน DTS cybersecurity ใหม่ อย่างไรก็ตามทาง บริษัท ได้เลือกที่จะดำเนินการร่วมกับองค์การอาหารและยา แต่กับหน่วยงานกำกับดูแลของ FDA ที่อยู่เบื้องหลังมาตรฐานใหม่ก็ดูเหมือนเพียงเรื่องของเวลาก่อนที่ บริษัท จะถูกบังคับให้ปฏิบัติตาม Klonoff คิดว่าพวกเขาจะขึ้นอยู่กับสามปัจจัยสำคัญ:

DTS ทำงานร่วมกับ FDA ในการสร้างมาตรฐาน DTSec ทำให้ความน่าเชื่อถือด้านกฎระเบียบที่แท้จริง

บริษัท จะรู้สึกว่านี่เป็นข้อได้เปรียบในการแข่งขันเพื่อแสดงว่าพวกเขามีระบบรักษาความปลอดภัยแบบไซเบอร์ที่ดี . สิ่งนี้ช่วยให้พวกเขาสามารถจัดทำเอกสารได้ว่า …

บริษัท เหล่านั้นที่ถือครองไว้ในที่สุดอาจต้องรับผิดเช่นค่าปรับตามกฎหมายหรือการฟ้องร้องที่อาจเกิดขึ้นหากมีกรณีความปลอดภัยในโลกไซเบอร์ต่อต้านพวกเขา หากพวกเขาไม่ได้ทำตามมาตรฐาน DTSec นี้อาจเป็นการยากที่จะอ้างว่าพวกเขาไม่ได้ทำอะไรผิด

"ผมคาดหวังว่าจะสามารถจับตาดูได้และในขณะที่เรากำลังพูดคุยกับผู้ผลิตอุปกรณ์ในสหราชอาณาจักรหลายคนเราก็กำลังพยายามทำให้นานาชาตินี้เป็นสากล" Klonoff กล่าว

"นี่เป็นวิธีการที่ควรทำแทนการสร้างความกลัวโดยไม่มีการแก้ไขใด ๆ สำหรับชุมชนผู้ป่วยหรือการเป่าออกจากสัดส่วน" Klonoff กล่าว "นี่เป็นวิธีที่ FDA ต้องการให้ปัญหาด้านความปลอดภัยในโลกไซเบอร์นี้ได้รับการจัดการ ทุกคนได้รายงานและวิเคราะห์อย่างถูกต้องที่นี่และแสดงให้เห็นว่ามีความหวังสำหรับความปลอดภัยในโลกไซเบอร์ นี่เป็นเรื่องราวเกี่ยวกับระบบรักษาความปลอดภัยแบบไซเบอร์ที่มีบทสรุปที่ดีทีเดียว “

เราหวังอย่างนั้น

คำปฏิเสธ

: เนื้อหาที่ทีม Diabetes Mine สร้างขึ้น สำหรับรายละเอียดเพิ่มเติมคลิกที่นี่

1. Disclaimer
2. เนื้อหานี้ถูกสร้างขึ้นสำหรับ Diabetes Mine ซึ่งเป็นบล็อกด้านสุขภาพสำหรับผู้บริโภคที่มุ่งเน้นไปที่ชุมชนโรคเบาหวาน เนื้อหาไม่ได้รับการตรวจสอบทางการแพทย์และไม่เป็นไปตามหลักเกณฑ์ด้านการบรรณาธิการของ Healthline สำหรับข้อมูลเพิ่มเติมเกี่ยวกับการเป็นพันธมิตรกับ Healthline กับ Diabetes Mine กรุณาคลิกที่นี่