Animals OneTouch Ping'de İnsülin Pompası Hack Riskine Neden Olan?

Haber, Animas OneTouch Ping insülin pompasının kesmek için risk altındadır ve üreticinin hastalara siber güvenlik riskini azaltma ile ilgili ipuçları içeren rahatlatıcı bir yazı gönderdiği yönündeki yeni açıklamalarda dolaşıyor.

4 Ekim Salı günü, JnJ'ye ait olan Animas, 2008'den beri mevcut olan ve uzaktan bolusing için bir glikoz sayaçıyla iletişim kuran OneTouch Ping kullanıcılarına yönelik bir siber güvenlik uyarısı yayınladı.

JNJ, T1D ile yaşayan ve birkaç yıl önce Medtronic pompalarındaki korsanlık risklerini ortaya çıkararak kendisi adına bir isim alan tanınmış bir siber güvenlik uzmanı Jay Radcliffe'den bir ipucuna dayanan bir kusur keşfetti. Birisi için potansiyel olarak şifrelenmemiş radyo frekansı iletişim sistemi yoluyla pompaya yetkisiz erişim sağlayacak bir yol keşfettiğini söylemek için Nisan ayında şirketle temasa geçti.

FDA ve Vatan Güvenliği Departmanını bilgilendirdiklerinden topluca konunun araştırıldığını ve şimdi altı ay sonra, konunun bu konuyla nasıl mücadele edileceği ile ilgili ayrıntılarıyla kamuya açıklamaya hazır olduğunu söylediler.

Tabii ki, ana akım medya öyküye çabucak yaklaştı, ancak geçmişte gördüğümüz çılgınlık seviyesine değil. Tıbbi cihaz hackleme her zaman sulu haberlere yol açar ve birkaç yıl önce Kara Liste gibi popüler TV şovlarında yer alır.

Bu durumda, Animas, riskinin son derece düşük olduğunu ve aslında cihaza giren herhangi birinin kanıt bulunmadığını söylüyor. Bunun yerine, bu, şirketin şeffaflığın güvenlik açığı için potansiyel riskini ortaya koyması ve düzeltmeler yapması gereken bir "sıfır gün" olayıdır.

Açıkça görülmek gerekirse, ' Maden ' ta bu maddenin özellikle tehditkar olduğunu düşünmüyoruz. Dürüst olmak gerekirse, yakınlarda patlayan bir Samsung Not 7 telefonu pili gördüğümüzde, birisinin zarar vermek için insülin pompasına girdiği görülüyor.

Bununla birlikte, cihazlarımızın güvenliği ciddiye alınmalıdır; FDA'nın, biz konuşurken bile üreticilere yönelik nihai rehberlik etmeyi düşünmekte olduğu önemli bir konudur (taslak rehberlikte bu yılın başında bir genel yorum döneminin ardından).

Şimdi, Animas pompası potansiyel tehlikeler hakkında kırmızı bayrakları yükseltmek için en son cihaz haline geldi …

Animas Sayıyı Açıkladı

Bu haftanın başında JnJ, az sayıdaki diyabet medyasıyla konferans çağrısı yaptı ve şunları savunuyor: bu konuyu tartışın. Bu çağrı üzerine JnJ Baş Tıbbi Sorumlusu Dr. Brian Levy ve Bilgi Güvenliği Sorumlusu Marene Allison vardı.

JNJ'nin hastalar için muhtemel siber güvenlik endişeleri ile ilgili olarak FDA yönergelerine bağlı bir web sitesi oluşturduğunu ve üretici ile FDA'nın Cybersecurity Bölümü ve Departmanı arasında 18 aylık bir tartışma sonrasında geldiğini açıkladılar.Vatan Güvenliği.

Bu siteyi kurduktan hemen sonra, Animas Ping'deki bu güvenlik kusuru hakkında Radcliffe'den bir kelime aldılar - özellikle, pompa ve sayaç arasında uzaktan iletişim kurmak için kullanılan şifrelenmemiş radyo frekansı potansiyel olarak kurcalandı, insanın 25 metre uzaktaki insülin vermesini sağlayın (Radcliffe, bu Rapid7 bilgi güvenliği web sitesinde teknik ayrıntıları yayınladı).

J & J Animas, OneTouch Ping'e kimsenin saldırı bulunmadığını vurgular. Daha ziyade, Radcliffe testlerini, sadece 'un cihaza girip kanıtlayamayacağını ispatlamak için "kontrollü bir ortamda" yaptı ve bu şekilde potansiyel riski ortaya çıkardı. Şirketin sözcüler, çok düşük risk nedeniyle uzaktan kumanda aleti için güncelleme yapmamaya karar verdiklerini ve riskin hafif basamaklarla hafifletilebileceğini söyledi. Kullanılan radyo frekansı göz önüne alındığında, mevcut sistemleri kullanılamaz hale getireceğinden "düzeltme düzeltmesi" görünmemektedir.

Şirketin 114 ve 000 Ping hastasına ve ABD ve Kanada'daki doktorlarına gönderdiği mektubun ilgili kişilere şu önerileri sundu:

Titreşimli Uyarıları Ayarla:

Titreşim özelliğini açma insülin pompası için, bir kullanıcıya metre uzaktan tarafından bolus dozunun başlatıldığını bildirir. Bu, kullanıcıya istenmeyen bolus'u iptal etme seçeneği sunar ve tabii ki sadece temel bolus ve bazal ayarları pompanın kendisinden değiştirmek mümkündür. İzlemek İnsülin Tarihi:

Animas, Ping kullanıcıları pompanın içindeki insülin geçmişi kayıtlarını takip etmeye çağırıyor. Metre veya pompa tarafından tetiklenip tetiklenmediğine bakılmaksızın, her insülin verme miktarı bu tarihe kaydedilir ve endişeler için gözden geçirilebilir. Metre Uzaktan Özelliğini Kapat:

Bu, Elbette One Touch Ping ölçer ve insülin pompası arasındaki radyo frekansı iletişimini durduracak; bu, kullanıcıların kan şekeri sonuçlarını pompalarında göremeyecek veya bolus dozajlamayı kontrol etmek için metredir. Bunun yerine, kullanıcılar pompa üzerindeki BG'leri manuel olarak tuşlamak ve bu cihazdan bolus yapmak zorunda kalacaklardı. Sınır Bolus Miktarı:

Metreyi uzaktan bolusing için kullanmaya devam etmek isteyenler için, pompa ayarlarını kullanarak maksimum bolus miktarını, ilk iki saat içinde verilen miktarı ve toplam günlük dozu sınırlayabilirsiniz insülin. Bu ayarları aşmaya veya geçersiz kılmaya yönelik herhangi bir girişim pompa alarmı tetikler ve bolus insülin vermeyi önler. Animas'ın korkuları sakinleştirmek için tedbirler aldığını ve endişe duyacak kişilere sesli öneriler sunmaktan dolayı teşekkür ediyoruz. Benzer bir sorunun rakip bir pompayla 2011 yılında geri geldiği göz önüne alındığında, Ping sistemindeki bu zayıflığın keşfedilmesi beş yıl sürdü.

Animas, Dexcom CGM ile iletişim kuran şu anki Animas Vibe sistemi için bu sorunun olmadığını söylüyor çünkü bu, ölçüm cihazının ve pompanın birbirleriyle konuşmasına izin veren aynı RF özellikli özelliği içermiyor. Ancak elbette şirket, ürün hattıyla ilerledikçe "gelecekteki cihazlara siber güvenlik oluşturmayı" planladığını açıkladı.

Cybersecurity Hacker Says …

Daha önce Jay Radcliffe'in adını duymamış olanların, birkaç yıldır siber güvenlik cephesinde öne çıktı. T1D ile 22 yaşındayken teşhis edilen Adam, 2011'de bir Medtronic pompasını keserken ve muhtemel kusurları - uzaktan toparlanma özelliğini de içeren - hakkındaki bulguları önde gelen bir korsan konferansta serbest bırakırken başlıklar yaptı.

Sonra olayların ilginç bir dönümünde, medikal siber güvenlik konularında danışmanlık yapmak üzere FDA ile bir araya geldi. Ve şimdi şu anda cybersecurity şirketi Rapid7 için 2014'ün başından beri çalışıyor.

Animas'ın en yeni cybersecurity keşfi hakkında kendisine ulaştık.

Bu kez, Medtronic durumundan farklı, Radcliffe, Animas'la sorunu doğrudan görüşmeden önce sunma şansı bulduğunu söyledi. Bu sefer, halka açıklama, şirketin kendilerini nasıl koruyacağına dair şirketin tüketicilere yaptığı bildirimle bağlantılı olarak zamanlandı.

Büyük bir tıbbi cihaz üreticisinin, bir tüketici ürünündeki olası bilgisayar güvenliği kusurları hakkında proaktif bir şekilde bir uyarı yayınladığı ilk kez bu, önemli bir durumdur - herhangi bir advers olay bildirilmemiş olsa bile müşteriler.

Animas'ın verdiği yanıttan memnun olduğunu söylüyor ve Zavallılar için OneTouch Ping'in ne kadar güvenli ve güvenli olduğundan çok fazla endişe duymuyor.

Diyabet Mayınına

bir e-posta yazdı: "Mükemmel değil, ama hiçbir şey yok" diyerek şöyle devam etti: "Çocuklarımdan herhangi biri diyabetik olursa ve sağlık personeli onlara tavsiyede bulunmayı önerirse bir pompa ile bunları bir OneTouch Ping'e koymaktan çekinmem. " Gelecekte, üreticisi, denetleyicisi ve araştırmacısı, özürlülerin üretkenliğini, düzenleyicisini ve araştırmacısını tamamen keşfederken neyin önemli olduğunun altını çiziyor. Bu son derece karmaşık cihazlar. "Hepimiz en iyi teknolojiyi hemen istiyoruz, ancak pervasız, gelişigüzel bir şekilde yapılır, tüm süreci herkes için geri getirir" dedi.

Açık Kaynak Fallout?

Sohbetin, bu Animas'ın siber güvenlik riski ile ilgili olduğu için diyabet cihazlarının açık kaynaklı yönlerine dönüşmesini izlemek büyüleyici.

Bazıları, bunun Animas tarafından, Nightscout ve #OpenAPS gibi açık kaynaklı projeleri, şifrelenmemiş iletişim temelli riskli çabalar olarak nitelemek için örtülü bir girişim olduğunu belirtti. Diğerleri, görünüşte ellerini kaldırıp "Hey-D-cihaz korsanları ve OpenAPS yaratıcıları-sizler de sadece Medtronic'ten olanları değil de pompalarımızı kullanabilirsiniz" diye Animas'ın daha büyük bir manej olup olmadığını merak ettiler. açık kaynak dünyası, şifrelenmemiş iletişim yoluyla uzaktan toparlanma özelliğini kullanma kabiliyetinin çok az tehlike arzeden, ancak yeni D-tech yenilikleri için her türlü imkana açık olduğu bilinen bir sorundur dikkat çekti.

"Güvenlik açıkları" ile ilgili başlıklar korkunç olabilir, ancak gerçek şu ki, verileri okumak ve pompaları kontrol etmek, inanılmaz bir yenilik ekosistemi oluşturdu "diyor kar amacı gütmeyen Tidepool CEO'su D-Dad Howard Look, diyabet verileri ve uygulamaları için açık bir platform oluşturmak.

"Bununla daha fazlasını yapmanın yollarını aramalıyız ve bu yenilik,

daha fazla

güvenli ve etkili bir hale getirmiştir. Cihaz üreticileri, veri kontrol protokollerini güvenli ve güvenli bir şekilde mevcut hale getirebilirler "Bu, açık kaynak ile ilgili değil, açık veri ve kontrol protokolleri riskini, topluluğun yeniliğine izin vermekle dengelemekle ilgilidir - ya da Belli cihaz üreticilerinin duvarlarının dışından.

Hasta ve açık kaynak topluluğundan bazıları, bu korkunç başlıkların aygıt üreticilerini ve düzenleyicileri cihazları kontrol etmenin tek yolunun kontrol protokollerini kaldırmak olduğunu düşünmesini istemekten endişe duyuyorlar. Ancak durum böyle olmamalı. "Evet, gelecekteki aygıtlarınızda bunları güvence altına alın, ancak açık iletişim protokolleri bile (bunlar gibi kullanmaktan çok zorsa") hiçbir şeyden daha iyidir "Look in:" İnovasyon canlı bir ekosistemi sağlarlar. Katalize olmalı ve teşvik etmeliyiz. " Tıbbi Cihaz Siber Güvenliğini Değerlendirmek

Tabii ki, tıbbi cihazlarda siber güvenlik, birçok uzman ve kuruluş tarafından araştırılmakta olan daha sıcak bir konudur.

Mayıs 2016'da Kaliforniya merkezli Diyabet Teknolojisi Topluluğu, FDA, NIH, Vatan Güvenliği Bölümü, NASA, ABD Hava Kuvvetleri Komutanlığı ve ABD Hava Kuvvetleri Komutanlığı'nın desteği ile yaratılan DTSec'i (Bağlı Diyabet Cihazları için DTS Siber Güvenlik Standardı) duyurdu. Ulusal Standartlar ve Teknoloji Enstitüsü! Bu işlerde yaklaşık bir yıldır vardı ve şu anda devam ediyor.

Kaliforniya endokrinolog ve Mills-Peninsula Health Services tesisindeki Diyabet Araştırma Enstitüsü Tıbbi Direktörü Dr. David Klonoff, organizasyonun şimdi cihaz üreticilerini yeni DTSec standardını kullanarak benimsemeleri ve ürünlerini değerlendirmeleri için işe almalarını söylüyor. . Grubun "birkaç endüstri oyuncusu" ile görüşmelerde olduğunu ve üreticilerin çok yakında imzalamasını beklediğini söyledi.

Animas şimdiye kadar, yeni DTS siber güvenlik standardını destekleme konusundaki herhangi bir ilgiyi kabul etmedi. Bunun yerine, şirket kendi meselesini FDA ile birlikte dahili olarak almayı tercih etti.

Ancak yeni standartın arkasında bulunan FDA denetleyicileri, şirketlerin uymaları gereken yalnızca zaman meselesi gibi görünüyor.

Klonoff üç temel faktöre dayanılarak olacağını düşünüyor:

DTS, gerçek düzenleyici güvenilirliğini kazandıran DTSec standardı oluşturma konusunda FDA ile birlikte çalıştı

Şirketler, iyi bir siber güvenlik derecesine sahip olduklarını göstermek için rekabet avantajı olduğunu düşünecek . Bu onlara şu belgeleri belgelemelerine izin verir …

Suçlanan şirketler, yasal cezalar veya kendilerine karşı bir siber güvenlik vakası olursa potansiyel bir dava için muhtemelen sorumlu tutulabilirler; Bu DTSec standardını izlemiyorlarsa, yanlış bir şey yapmadıklarını iddia etmek daha zor olabilir.

"Kozmetikte yakalanmasını bekliyoruz ve birkaç ABD aygıt üreticisi ile konuşurken, aynı zamanda bu uluslararası hale getirmeye çalışıyoruz", diyor Klonoff.

2. Animas'ın siber güvenlik konusuna gelince, Klonoff, bu potansiyel sorunların her taraftan nasıl ele alınması gerektiğine ilişkin bir vaka incelemesine inandığını belirtti. J & J'ye, FDA ve Radcliffe ile birlikte çalışarak ve konuyu ele alacak çözümler sunarak "bunu sorumlu bir şekilde ele almak" için övdü.
3. "Klonoff, hasta topluluğu için herhangi bir düzeltme yapılmaksızın korku yaratmak yerine orantısız hale getirmek yerine bunun nasıl yapılması gerektiğini" belirtti. "FDA bu siber güvenlik sorununun nasıl işlenmesini istiyor böyle. Herkes burada doğru raporlama ve analiz yaptı ve siber güvenlik için bir umut olduğunu gösteriyor. Bu, oldukça iyi bir bitiş olan bir sihirbazlık hikayesidir. “

Kesinlikle öyle umuyoruz.

Sorumluluk Reddi

: Diyabet Mayınları ekibi tarafından yaratılan içerik. Daha fazla ayrıntı için buraya tıklayın.

Sorumluluk Reddi

Bu içerik, şeker hastalığı topluluğuna odaklanan bir tüketici sağlık blogu olan Diyabet Mayın için hazırlanmıştır. İçerik tıbbi olarak incelenmedi ve Healthline'ın editöryal yönergelerine uymuyor. Healthline'ın Diyabetli Madenlerle olan ortaklığı hakkında daha fazla bilgi için, lütfen burayı tıklayın.