В наши дни проблемы кибербезопасности, кажется, беспокоят нас. Среди множества сообщений об утечках данных, нарушенных соглашениях о конфиденциальности и кибератаках в частном и государственном секторах бывает сложно определить, что действительно безопасно.
И после пары случаев взлома инсулиновой помпы несколько лет назад мы не можем не задаться вопросом: каково же наше положение в отношении безопасности наших диабетических устройств (и информации, которую они содержат) в 2019 году?
Проблема с риском в том, что он иногда реален, а иногда и воспринимается. Устранение реального риска ведет к безопасности. В то время как зацикленность на предполагаемом риске приводит к страху. Так что здесь настоящего? И что именно делается для решения проблем, связанных с кибербезопасностью диабета?
Прогресс в области стандартов медицинской кибербезопасности
В октябре 2018 года Управление по санитарному надзору за качеством пищевых продуктов и медикаментов США (FDA) выпустило предпродажное руководство для всех медицинских устройств, содержащих киберриски. Позже осенью Министерство здравоохранения Канады также выпустило руководящий документ, содержащий рекомендации по кибербезопасности, которые будут использоваться компаниями, занимающимися медицинскими технологиями, на этапах их разработки и тестирования. Идея, конечно же, заключается в том, что, следуя руководящим принципам, поставщики выводят на рынок устройства, которые уже являются безопасными, вместо того, чтобы видеть устройства, уязвимости которых обнаруживаются после выпуска на рынок через использование пациентами.
Согласно пресс-релизу Министерства здравоохранения Канады, среди рекомендаций по кибербезопасности медицинских устройств в проекте руководства являются: 1) включение мер кибербезопасности в процессы управления рисками для всех устройств с программным компонентом, 2) создание рамок для управления рисками кибербезопасности на уровне предприятия, и 3) верификация и валидация всех процессов управления рисками кибербезопасности. Они специально рекомендуют такие меры, как внедрение стандарта кибербезопасности UL 2900 для снижения рисков и уязвимостей.
Кен Пилигрим, старший консультант по нормативным вопросам и обеспечению качества в Emergo Group в Ванкувере, сказал, что новое руководство должно оказаться полезным для производителей медицинского оборудования не только в Канаде, но и в других юрисдикциях, разрабатывающих аналогичные требования к кибербезопасности.
Между тем, меры по обеспечению кибербезопасности устройств для лечения диабета, в частности, продвигаются в Соединенных Штатах.
В конце октября Общество диабетических технологий (DTS) объявило, что OmniPod DASH стал первой инсулиновой помпой, одобренной FDA, получившей сертификат DTS «Стандарт безопасности беспроводных диабетических устройств» и программу обеспечения кибербезопасности, известную как DTSec.
DTS была основана в 2001 году доктором Дэвидом Клоноффом с целью содействия использованию и развитию диабетических технологий. DTSec, по сути, является первым организованным стандартом безопасности для диабетических технологий. Думайте об этом как о знаке безопасности, похожем на то, как мы видим веб-адрес https. Стандарт был установлен в 2016 году после исследований и предложений научных кругов, промышленности, правительства и клинических центров. Как и большинство стандартов, это добровольное руководство, которое производители должны принять и следовать.
С тех пор организация продолжает продвигать исследования в области кибербезопасности и оценку рисков, проводить конференции и разрабатывать более глубокие средства защиты.
В июне прошлого года, за несколько месяцев до объявления об OmniPod вслед за DTSec, группа выпустила новое руководство по безопасности под названием DTMoSt, сокращенно от «Использование мобильных устройств в контексте контроля диабета».
По словам Клоноффа, медицинского директора Исследовательского института диабета в Медицинском центре Миллс-Пенинсула, Сан-Матео, Калифорния, рекомендации DTMoSt основаны на DTSec, став первым стандартом с требованиями к производительности и гарантиями для производителей подключенных медицинских устройств, контролируемых мобильная платформа.
DTMoSt выявляет угрозы, такие как злонамеренные удаленные атаки и атаки на основе приложений и «нехватка ресурсов», для безопасной работы решений на базе мобильных устройств и предлагает разработчикам, регулирующим органам и другим заинтересованным сторонам рекомендации по управлению этими рисками.
Меры безопасности не должны препятствовать использованию
Сегодня глюкометр, CGM и приложение для смартфона для диабетиков могут быть подключены к Интернету и, следовательно, подвержены определенному уровню риска.
Тем не менее, несмотря на постоянные разговоры об опасностях Интернета вещей, эксперты предупреждают, что реальный риск для населения довольно низок. Когда дело доходит до безопасности, плохих людей просто не так интересуют чьи-то данные об уровне глюкозы в крови (по сравнению с паролем их банковского счета).
При этом инвестиции в кибербезопасность необходимы в качестве мер предотвращения угроз и обеспечения базовой безопасности пользователей и клиентов.
Но обратная сторона заключается в том, что реализация мер кибербезопасности может иногда означать, что систему очень сложно или невозможно использовать для обмена данными в соответствии с назначением. Уловка в уравнении не в ограничении возможностей работы и доступа для предполагаемых людей.
А как насчет конфиденциальности? Снова и снова мы видим, что, хотя люди говорят, что они отдают предпочтение конфиденциальности, они, похоже, действуют противоречиво, давая согласие, прокручивая, инициализируя, подписывая и предоставляя доступ к информации и данным, практически не задумываясь или беспокоясь. По правде говоря, мы, потребители, обычно не очень внимательно читаем политику конфиденциальности, если вообще читаем. Мы просто нажимаем кнопку «Далее».
Противодействие страху и тревогам
Многие в отрасли предупреждают о негативной стороне кибербезопасности: сосредоточении внимания на страхе, граничащем с навязчивой идеей, блокирующем исследования и в конечном итоге способном стоить жизни. Это люди, которые осознают, что кибермир и наши устройства для лечения диабета подвержены риску, но чувствуют, что чрезмерная реакция потенциально более опасна.
«Вопрос о« кибербезопасности устройств »привлекает гораздо больше внимания, чем он того заслуживает, - говорит Адам Браун, старший редактор журнала diaTribe и автор Яркие пятна и наземные мины: Путеводитель по диабету, который мне бы хотелось, чтобы кто-нибудь дал мне. «Нам нужно, чтобы компании двигались быстрее, чем они есть, а кибербезопасность может вызывать ненужные опасения. Между тем, люди там без данных, без подключения, без автоматизации и без поддержки ».
Ховард Лук, генеральный директор Tidepool, D-Dad и ключевая сила, стоящая за движением #WeAreNotWaiting, видит обе стороны проблемы, но соглашается с Брауном и другими отраслевыми экспертами, которые опасаются проверок темпов развития медицины.
«Конечно, производители устройств (в том числе производители программного обеспечения и медицинских устройств, такие как Tidepool) должны очень и очень серьезно относиться к кибербезопасности», - говорит Лук. «Мы, конечно, не хотим создавать ситуацию, когда существует риск массовой атаки на устройства или приложения, которые могут нанести вред людям. Но изображения «хакеров в толстовках» с черепом и скрещенными костями на экранах компьютеров просто пугают людей, которые действительно не понимают, что поставлено на карту. Это заставляет компании-производители устройств замедляться, потому что они напуганы. Это не помогает им понять, что нужно делать ». Look имел в виду слайды Powerpoint, показанные на конференциях по диабету с жуткими изображениями, подразумевающими кибер-опасности.
Самостоятельные замкнутые системы OpenAPS и Loop, ставшие популярными, технически основаны на «уязвимости» в старых насосах Medtronic, которая позволяет осуществлять беспроводное дистанционное управление этими насосами. Чтобы взломать помпы, нужно знать серийный номер, и нужно находиться рядом с помпой 20 секунд. «Есть более простые способы убить кого-то, если вы этого хотите», - говорит Лук.
Многие утверждают, что предлагаемая «уязвимость» в системе безопасности, сколь бы пугающей она ни казалась в теории, является огромным преимуществом, поскольку она позволила тысячам людей запускать OpenAPS и Loop, спасая жизни и улучшая качество жизни и здоровье людей, использующих их.
Измеренный подход к рискам
Такие организации, как DTS, делают важную работу. Безопасность устройства имеет значение. И исследования и презентации на конференциях по этой теме являются постоянными в отрасли - диабетические технологии и кибербезопасность будут в центре внимания нескольких элементов 12-й Международной конференции по передовым технологиям и лечению диабета (ATTD 2019), которая состоится в конце этого месяца в Берлине. Но эти истины продолжают существовать вместе с реальностью, что людям нужны более качественные и менее дорогие инструменты, а они нужны нам быстро.
«Отличительной чертой отличных устройств является постоянное совершенствование, а не совершенство», - говорит Браун. «Это требует подключения, взаимодействия и удаленного обновления программного обеспечения».
Хотя устройства подвержены риску, эксперты, похоже, сходятся во мнении, что в целом они достаточно безопасны и надежны. Забегая вперед в течение 2019 года и далее, похоже, что консенсус заключается в том, что, хотя важно следить за киберрисками, этот риск часто переоценивается и потенциально меркнет по сравнению с рисками для здоровья из-за отсутствия передовых средств борьбы с диабетом.