FDA: Medtronicove starejše insulinske črpalke niso kibernetsko varne

Če upoštevate obvestila o varnosti izdelkov ali najnovejše zdravstvene naslove, ste morda že slišali, da starejše insulinske črpalke Medtronic imenujejo nevarne in ranljive za kibernetske napade.

Ja, FDA in Medtronic sta izdala terenska varnostna obvestila o starejših črpalkah iz serij Revel in Paradigm, napravah, ki so v nekaterih primerih stare od desetletja do skoraj 20 let. Tukaj je obvestilo FDA in potrpežljivo pismo podjetja Medtronic.

Med prizadete naprave spadajo: Minimed 508 (prvič predstavljen leta 1999), modeli Paradigm (511, 512/712, 515/715, 522/722 in starejše različice 523/723) ter starejša Minimed Paradigma Verzije Veo se prodajajo zunaj ZDA

Brez razloga za paniko

Preden se kdo prestraši glede varnosti insulinske črpalke, bodimo jasni, da tako FDA kot Medtronic potrjujeta, da ni bilo poročil o kakršnem koli poseganju v te črpalke. Torej kljub senzacionaliziranim naslovom strašljiv scenarij, v katerem neki hudobni kiber-heker prekomplicira nekoga s črpalko, da dostavi preveč insulina, ostane krma za televizijske ali filmske zaplete. Čeprav je kaj takega teoretično mogoče, je resnično bolj verjetno, da bo napaka odčitavanja senzorja CGM spodbudila črpalko, da v teh starejših modelih daje preveč ali premalo insulina.

Uradno obvestilo FDA je preprosto, da agencija naloge opozarja ljudi na morebitne nevarnosti, ki bi lahko obstajale. Gre za še en dogodek "ničelnega dne" - na primer opozorilo o insulinskih črpalkah Animas leta 2016 - v katerem je proizvajalec prisiljen izpostaviti ranljivost, ki lahko ustvarijo tveganje.

Še pomembneje pa je, da to ni nov razvoj. Zamisel, da so črpalke Medtronic ranljive, je javna že od leta 2011, ko so glavni mediji poročali, da je hekerju "beli klobuk" Jayu Radcliffeju uspelo vdreti v kodo inzulinske črpalke, večina medijev pa je bila povsod po njej. Celo dva člana Kongresa v tistem času sta se ujela v hipu in v naslednjih letih so ta in s tem povezana vprašanja kibernetske varnosti krožila, ko sta FDA in zvezna vlada oblikovala smernice in protokole za morebitna vprašanja kibernetske varnosti v medicinski tehnologiji.

Ni tradicionalni odpoklic

Medtronic kljub poročanju v običajnih medijih z nami potrjuje, da to ni tradicionalni odpoklic izdelkov. »To je samo varnostno obvestilo. Zaradi tega obvestila ni treba vrniti udarnih črpalk, «pravi Pam Reese, direktorica za komunikacije in trženje podjetij Medtronic Diabetes.

Pove nam, da lahko ljudje, ki uporabljajo te starejše črpalke, še vedno naročajo zaloge pri Medtronic in pri distributerjih.

Kaj bi dejansko morali storiti, če imate eno od udarnih črpalk?

»Priporočamo, da se s svojim zdravnikom pogovorite o vprašanju kibernetske varnosti in korakih, ki jih lahko sprejmete za zaščito. Medtem so posebna navodila, da imate insulinsko črpalko in naprave, ki so povezane s črpalko, ves čas pod nadzorom in da serijske številke črpalke ne delite z nikomer, «pravi Reese.

Zakaj izdati opozorilo zdaj?

To je veliko vprašanje v mnogih mislih v skupnosti bolnikov.

Če se Medtronic in FDA za to ranljivost zavedata že osem let, zdaj pa so vse te starejše generacije inzulinskih črpalk Minimed dejansko ukinjene in niso na trgu za nove kupce v državah, kar je sprožilo opozorilo v tem trenutku ?

Reese iz Medtronica pravi: "Pogovor je bil v teku, ker se zaščita kibernetske varnosti nenehno razvija, saj se tehnologija še naprej hitro izboljšuje in povezane naprave morajo slediti temu tempu ... To smo bili seznanjeni konec leta 2011 in začeli izvajati varnostne nadgradnje na naše takratne črpalke. Od takrat smo izdali novejše modele črpalk, ki komunicirajo na popolnoma različne načine. Zaradi vse večje pozornosti kibernetske varnosti danes v industriji medicinskih pripomočkov se nam je zdelo pomembno, da naše stranke podrobneje razumejo težave in tveganja. «

To se lahko zgodi, toda v zadnjih nekaj letih se je zgodilo tudi rojstvo in eksponentna rast tehnološkega gibanja za sladkorno bolezen #WeAreNotWaiting; danes na tisoče ljudi po vsem svetu ustvarja svoje domače sisteme z zaprto zanko. Mnogi od njih so zgrajeni na podlagi natančnejših starejših modelov črpalk Medtronic, o katerih se je podjetje nenadoma odločilo spregovoriti.

Medtronic pravi, da so že prepoznali 4000 neposrednih kupcev, ki morda uporabljajo te starejše naprave, ki so morda ogrožene, in bodo sodelovali s tretjimi distributerji, da bi prepoznali druge.

Sumljivi umovi si zdaj lahko omislijo dva možna razloga za nenadno opozorilo:

• FDA to opozorilo o "potencialnem tveganju" uporablja kot sredstvo za zatiranje naraščajoče uporabe tehnologije DIY, ki ni urejena ali odobrena za komercialno prodajo.

• In / ali Medtronic naredi tukaj tekmovalni šah, ki podpira opozorilo o kibernetski varnosti, da bi ljudi prestrašilo uporabe starejših naprav, ki niso v garanciji, in namesto tega potisnilo stranke, da nadgradijo novejše, "varnejše" naprave, kot sta 630G in 670G Hibridni sistem z zaprto zanko.

Pred tedni na našem dogodku D-Data ExChange 7. junija je bilo objavljeno veliko obvestilo, da bo Medtronic začel sodelovati z odprtokodnim neprofitnim podjetjem Tidepool, da bi ustvaril novo različico svoje insulinske črpalke, ki bo interoperabilna z drugimi izdelki in prihodnja aplikacija Tidepool Loop, ki se razvija za Apple Store. Možno je, da Medtronic upa, da bo postavil temelje, da se bodo mojstri sami držali izdelkov Medtronic, ne pa tudi starejših različic, za katere ne želijo več biti odgovorni.

Ne ciljate na sisteme DIY?

Ne pozabite, da je FDA maja 2019 izdala opozorilo o tehnologiji DIY in sistemih, ki so »zunaj etikete«, tudi če v sistemskih komponentah uporabljajo naprave, ki jih je odobrila FDA. Toda agencija pravi, da ti dve opozorili nista povezani.

"To je ločeno vprašanje od opozorila o DIY tehnologiji," pojasnjuje Alison Hunt iz urada za medije FDA. "FDA je bila seznanjena z dodatnimi ranljivostmi, povezanimi s temi črpalkami, zaradi katerih smo ob upoštevanju tistih, razkritih leta 2011, privedli do tega varnostnega sporočila, Medtronic pa do zadnjega opozorila."

Poudarja, da to najnovejše sporočilo o varnosti "posebej obravnava ranljivost kibernetske varnosti, pri kateri bi se nepooblaščena oseba lahko brezžično povezala z bližnjo inzulinsko črpalko MiniMed in spremenila nastavitve črpalke tako, da prekomerno dovaja inzulin bolniku, kar vodi do nizkega krvnega sladkorja (hipoglikemija ) ali ustavi dajanje insulina, kar vodi do visokega krvnega sladkorja in diabetične ketoacidoze. "

Hunt pravi, da se FDA nenehno pogovarja s proizvajalci in ko se pojavijo pomisleki, "hitro razvijamo akcijski načrt, vključno s tem, kako ublažiti vse ranljivosti kibernetske varnosti in kako čim hitreje učinkovito komunicirati z javnostjo."

V redu, ampak nič od tega ne pojasnjuje natančno, zakaj so v tem primeru trajala leta, da smo rešili znano vprašanje kibernetske varnosti ...?

Kot je bilo omenjeno zgoraj, mnogi v skupnosti D vidijo to kot poskus ciljanja na tehnologijo DIY in privabljanje novih kupcev do najnovejše tehnologije Medtronic. V skupnosti #WeAreNotWaiting so mnogi kritizirali nedavne ukrepe FDA - opozorila o tehnologiji DIY in tej starejši tehnološki kibernetski varnosti - kot kratkovidne, zlasti glede na razširjenost netočnih odčitkov CGM in resničnih težav s komercialno urejenimi napravami za diabetes. tam zunaj. En član #WeAreNotWaiting je celo poiskal novo poročilo o škodljivih dogodkih FDA, ki je bilo objavljeno junija 2019 in je preučevalo pretekli dve desetletji neželenih dogodkov, in ugotovilo, da so bile samo v letu 2018 insulinske črpalke Medtronic odgovorne za 11,5% vseh dogodkov.

Joj! Naredite matematiko in jasno je, da imajo komercialne naprave, ki jih je odobrila FDA, težave same.

Vsekakor je možno, da je to res tisto, kar se zdi navidezno: uradno priznanje napake kibernetske varnosti za staro tehnologijo, ki je bila pred obdobjem izmenjave podatkov in oddaljenega nadzora Bluetooth. Toda zakaj je trajalo skoraj desetletje, da se je uresničilo?

Medtem ko je odgovor na vprašanje "Zakaj zdaj?" glede tega ostaja nejasno, vemo pa, da je bila FDA v zadnjih letih prijatelj skupnosti #WeAreNotWaiting. Dovzetni so bili za odprto komunikacijo s skupnostjo bolnikov. Vemo tudi, da tehnologija DIY resnično skrbi glede odgovornosti in varnosti ter da je bila FDA pri obravnavanju teh potencialnih tveganj zelo izmerjena. Upajmo, da se bo ta trend nadaljeval.

Medtem smo še vedno povsem prepričani, da nihče ne vdira črpalk, da bi ljudi ubil. Spodbujanje strahu nikomur ne pomaga - niti skupnosti DIY niti farmacevtskim podjetjem samim.