Οι ανησυχίες για την ασφάλεια στον κυβερνοχώρο φαίνεται να μας φιλοξενούν σε έναν ατελείωτο βρόχο αυτές τις μέρες. Μεταξύ κατακλυσμού αναφορών παραβιάσεων δεδομένων, παραβιάσεων συμφωνιών απορρήτου και επιθέσεων στον κυβερνοχώρο στον ιδιωτικό και δημόσιο τομέα, μπορεί να είναι δύσκολο να προσδιοριστεί τι είναι πραγματικά ασφαλές.
Και αφού φοβούνται μερικά χάκετ αντλιών ινσουλίνης πριν από λίγα χρόνια, δεν μπορούμε παρά να αναρωτηθούμε: ακριβώς πού βρισκόμαστε σχετικά με την ασφάλεια των συσκευών διαβήτη μας (και των πληροφοριών που περιέχουν) το 2019;
Το θέμα με κίνδυνο είναι ότι είναι μερικές φορές πραγματικό και μερικές φορές αντιληπτό. Η αντιμετώπιση του πραγματικού κινδύνου οδηγεί σε ασφάλεια. Ενώ η εμμονή στον αντιληπτό κίνδυνο οδηγεί σε φόβο. Τι είναι λοιπόν πραγματικό εδώ; Και τι ακριβώς γίνεται για να αντιμετωπιστούν οι ανησυχίες σχετικά με την ασφάλεια στον κυβερνοχώρο του διαβήτη;
Πρόοδος στα ιατρικά πρότυπα ασφάλειας στον κυβερνοχώρο
Τον Οκτώβριο του 2018, η Υπηρεσία Τροφίμων και Φαρμάκων των ΗΠΑ (FDA) εξέδωσε οδηγίες πριν από την αγορά για όλες τις ιατρικές συσκευές που περιέχουν κινδύνους στον κυβερνοχώρο. Αργότερα το φθινόπωρο, η Health Canada κυκλοφόρησε επίσης ένα έγγραφο καθοδήγησης που περιέχει συστάσεις για την ασφάλεια στον κυβερνοχώρο που θα χρησιμοποιηθούν από εταιρείες ιατρικής τεχνολογίας κατά τη διάρκεια των σταδίων ανάπτυξης και δοκιμών. Η ιδέα φυσικά είναι ότι ακολουθώντας τις οδηγίες, οι προμηθευτές θα φέρουν συσκευές που είναι ήδη ασφαλείς, έναντι των συσκευών των οποίων οι ευπάθειες ανακαλύπτονται μετά την κυκλοφορία μέσω της χρήσης των ασθενών.
Σύμφωνα με ένα δελτίο ειδήσεων Health Canada, μεταξύ των συστάσεων της συσκευής cybersecurity στο σχέδιο καθοδήγησής τους είναι: 1) η ενσωμάτωση μέτρων ασφάλειας στον κυβερνοχώρο σε διαδικασίες διαχείρισης κινδύνου για όλες τις συσκευές με ένα στοιχείο λογισμικού, 2) τη δημιουργία πλαισίων για τη διαχείριση κινδύνων στον κυβερνοασφάλεια σε εταιρικό επίπεδο, και 3) επαλήθευση και επικύρωση όλων των διαδικασιών ελέγχου κινδύνου ασφάλειας στον κυβερνοχώρο. Συνιστούν συγκεκριμένα μέτρα όπως η εφαρμογή του προτύπου ασφάλειας κυβερνοασφάλειας UL 2900 για τον μετριασμό των κινδύνων και των τρωτών σημείων.
Ο Ken Pilgrim, ανώτερος σύμβουλος Ρυθμιστικών Υποθέσεων και Διασφάλισης Ποιότητας στο Emergo Group στο Βανκούβερ, δήλωσε ότι η νέα καθοδήγηση πρέπει να αποδειχθεί πολύτιμη για τους κατασκευαστές ιατρικών συσκευών όχι μόνο στον Καναδά, αλλά και σε άλλες δικαιοδοσίες που αναπτύσσουν παρόμοιες απαιτήσεις ασφάλειας στον κυβερνοχώρο.
Εν τω μεταξύ, τα μέτρα για την αντιμετώπιση της ασφάλειας στον κυβερνοχώρο των συσκευών διαβήτη προωθούνται στις Ηνωμένες Πολιτείες.
Στα τέλη Οκτωβρίου, η Εταιρεία Τεχνολογίας Διαβήτη (DTS) ανακοίνωσε ότι το OmniPod DASH είχε γίνει η πρώτη αντλία ινσουλίνης που έχει εκκαθαριστεί από το FDA και έλαβε πιστοποίηση βάσει του προτύπου και του προγράμματος διασφάλισης κυβερνοασφάλειας "Standard for Wireless Diabetes Device Security" της DTS, γνωστό ως DTSec.
Το DTS ιδρύθηκε το 2001 από τον Δρ David Klonoff με σκοπό την προώθηση της χρήσης και της ανάπτυξης της τεχνολογίας του διαβήτη. Το DTSec είναι ουσιαστικά το πρώτο οργανωμένο πρότυπο ασφαλείας για την τεχνολογία διαβήτη. Σκεφτείτε το σαν ένα είδος σφραγίδας ασφαλείας, παρόμοιο με το πώς βλέπουμε μια διεύθυνση ιστού https. Το πρότυπο καθιερώθηκε το 2016 μετά από έρευνα και συνεισφορά από ακαδημαϊκούς, βιομηχανικούς, κυβερνητικούς και κλινικά κέντρα. Όπως τα περισσότερα πρότυπα, είναι μια εθελοντική καθοδήγηση για τους κατασκευαστές να εξετάσουν το ενδεχόμενο να υιοθετήσουν και να ακολουθήσουν.
Έκτοτε, ο οργανισμός συνέχισε να προωθεί την έρευνα στον τομέα της ασφάλειας στον κυβερνοχώρο και την αξιολόγηση κινδύνων, να φιλοξενεί συνέδρια και να αναπτύσσει πιο σε βάθος προστασία.
Τον περασμένο Ιούνιο, λίγους μήνες πριν από την ανακοίνωση σχετικά με το OmniPod μετά το DTSec, η ομάδα κυκλοφόρησε νέα καθοδήγηση ασφαλείας με την ονομασία DTMoSt, συντομογραφία «Χρήση φορητών συσκευών σε περιβάλλοντα ελέγχου του διαβήτη».
Σύμφωνα με τον Klonoff, Ιατρικό Διευθυντή του Ινστιτούτου Ερευνών Διαβήτη στο Ιατρικό Κέντρο Mills-Peninsula, San Mateo, CA, οι οδηγίες του DTMoSt βασίζονται στο DTSec καθιστώντας το πρώτο πρότυπο με απαιτήσεις απόδοσης και απαιτήσεις διασφάλισης για κατασκευαστές συνδεδεμένων ιατρικών συσκευών που ελέγχονται από κινητή πλατφόρμα.
Το DTMoSt εντοπίζει απειλές, όπως κακόβουλες επιθέσεις σε απομακρυσμένη βάση και εφαρμογές και "λιμοκτονία πόρων" στην ασφαλή λειτουργία λύσεων με δυνατότητα κινητής συσκευής και προσφέρει καθοδήγηση σε προγραμματιστές, ρυθμιστές και άλλους ενδιαφερόμενους για να βοηθήσουν στη διαχείριση αυτών των κινδύνων.
Τα μέτρα ασφαλείας δεν πρέπει να εμποδίζουν τη χρήση
Σήμερα, η εφαρμογή γλυκόμετρου, CGM και smartphone διαβήτη μπορεί να είναι συνδεδεμένη στο Διαδίκτυο και επομένως να είναι ανοιχτή σε κάποιο επίπεδο κινδύνου.
Ωστόσο, παρά τη συνεχιζόμενη συζήτηση για τους κινδύνους του Διαδικτύου των πραγμάτων, οι ειδικοί προειδοποιούν ότι ο πραγματικός κίνδυνος για το κοινό είναι αρκετά χαμηλός. Όσον αφορά την ασφάλεια, οι κακοί άνθρωποι δεν ενδιαφέρονται για τα δεδομένα γλυκόζης αίματος κάποιου ατόμου (σε σύγκριση με τον κωδικό πρόσβασης του τραπεζικού λογαριασμού τους).
Τούτου λεχθέντος, οι επενδύσεις στην ασφάλεια στον κυβερνοχώρο είναι απαραίτητες ως προληπτικά μέτρα για απειλές και διασφαλίζοντας τη βασική ασφάλεια των χρηστών και των πελατών.
Αλλά το μειονέκτημα είναι ότι η εφαρμογή μέτρων ασφάλειας στον κυβερνοχώρο μπορεί μερικές φορές να σημαίνει ότι καθιστά ένα σύστημα πολύ δύσκολο ή αδύνατο να χρησιμοποιηθεί για κοινή χρήση δεδομένων με τον προβλεπόμενο τρόπο. Το τέχνασμα στην εξίσωση δεν περιορίζει την ικανότητα λειτουργίας και πρόσβασης από τα προοριζόμενα άτομα.
Και τι γίνεται με το απόρρητο; Επαναλαμβανόμενα βλέπουμε ότι ενώ οι άνθρωποι λένε ότι δίνουν προτεραιότητα στην προστασία της ιδιωτικής ζωής, φαίνεται να ενεργούν με αντιφατικό τρόπο, συναινώντας, μετακινηθείτε, αρχικοποιώντας, υπογράφοντας και δίνοντας πρόσβαση σε πληροφορίες και δεδομένα με πολύ λίγη πραγματική σκέψη ή ανησυχία. Η αλήθεια είναι ότι εμείς οι καταναλωτές συνήθως δεν διαβάζουμε τις πολιτικές απορρήτου πολύ προσεκτικά, αν όχι καθόλου. Απλώς πατήσαμε το κουμπί «επόμενο».
Αντιστάθμιση του φόβου και του τρόμου
Πολλοί στη βιομηχανία προειδοποιούν την αντίθετη πλευρά της ασφάλειας στον κυβερνοχώρο: μια εστίαση στον φόβο που συνορεύει με την εμμονή, την εχθρική έρευνα και τελικά θα μπορούσε να κοστίσει ζωές. Αυτοί είναι άνθρωποι που αναγνωρίζουν ότι ο κυβερνοχώρος και οι συσκευές διαβήτη μας, διατρέχουν κίνδυνο, αλλά πιστεύουν ότι η υπερβολική αντίδραση είναι δυνητικά πιο επικίνδυνη.
«Όλο το ζήτημα της« ασφάλειας στον κυβερνοχώρο σε συσκευές »παίρνει πολύ περισσότερη προσοχή από ό, τι του αξίζει», λέει ο Adam Brown, ανώτερος συντάκτης της λίβελλος και συγγραφέας του Φωτεινά σημεία και νάρκες ξηράς: Ο οδηγός του διαβήτη που εύχομαι κάποιος να με παραδώσει. «Χρειαζόμαστε εταιρείες να κινηθούν γρηγορότερα από ό, τι είναι, και η ασφάλεια στον κυβερνοχώρο μπορεί να προκαλέσει άσκοπο φόβο. Εν τω μεταξύ, οι άνθρωποι είναι εκεί έξω με φτερά χωρίς δεδομένα, χωρίς συνδεσιμότητα, χωρίς αυτοματισμό και χωρίς υποστήριξη. "
Ο Howard Look, Διευθύνων Σύμβουλος της Tidepool, D-Dad και βασική δύναμη πίσω από το κίνημα #WeAreNotWaiting, βλέπει και τις δύο πλευρές του ζητήματος, αλλά συμφωνεί με τον Brown και άλλους εμπειρογνώμονες του κλάδου που φοβούνται ότι θα ελέγξουν το ποσοστό της ιατρικής προόδου.
«Βεβαίως, οι εταιρείες συσκευών (συμπεριλαμβανομένου του λογισμικού ως εταιρειών ιατρικών συσκευών, όπως το Tidepool) πρέπει να λαμβάνουν πολύ σοβαρά την ασφάλεια στον κυβερνοχώρο», λέει η Look. «Σίγουρα δεν θέλουμε να δημιουργήσουμε μια κατάσταση όπου υπάρχει κίνδυνος μαζικής επίθεσης σε συσκευές ή εφαρμογές που θα μπορούσαν να βλάψουν τους ανθρώπους. Όμως, οι εικόνες «χάκερ με κουκούλα» με κρανίο και σταυρόνημα στις οθόνες υπολογιστών απλώς φοβίζουν ανθρώπους που δεν καταλαβαίνουν πραγματικά τι διακυβεύεται. Αναγκάζει τις εταιρείες συσκευών να επιβραδύνουν, επειδή φοβούνται. Δεν τους βοηθά να καταλάβουν το σωστό να κάνουν. " Ο Look αναφερόταν σε διαφάνειες Powerpoint που παρουσιάζονται σε ιατρικά συνέδρια διαβήτη με τρομακτικές εικόνες που υποδηλώνουν κινδύνους στον κυβερνοχώρο.
Τα συστήματα κλειστού βρόχου OpenAPS και Loop do-it-yourself που έχουν γίνει δημοφιλή βασίζονται τεχνικά σε μια «ευπάθεια» σε παλαιότερες αντλίες Medtronic που επιτρέπει ασύρματο τηλεχειριστήριο αυτών των αντλιών. Για να χαράξετε τις αντλίες, πρέπει να γνωρίζετε τον σειριακό αριθμό και πρέπει να είστε κοντά στην αντλία για 20 δευτερόλεπτα. «Υπάρχουν πολύ ευκολότεροι τρόποι να σκοτώσεις κάποιον αν αυτό είναι αυτό που θέλεις να κάνεις», λέει η Look.
Πολλοί υποστηρίζουν ότι αυτή η προτεινόμενη «ευπάθεια» στην ασφάλεια, τόσο τρομακτική όσο θα μπορούσε θεωρητικά, είναι ένα τεράστιο όφελος, καθώς επέτρεψε σε χιλιάδες ανθρώπους να τρέχουν OpenAPS και Loop, σώζοντας ζωές και βελτιώνοντας την ποιότητα ζωής και τη δημόσια υγεία για όσους χρησιμοποιούν τους.
Μια μετρημένη προσέγγιση για τους κινδύνους
Οργανισμοί όπως το DTS κάνουν σημαντική δουλειά. Η ασφάλεια της συσκευής έχει σημασία. Και οι παρουσιάσεις για έρευνα και συνέδρια στο θέμα είναι σταθερές της βιομηχανίας - η τεχνολογία διαβήτη και η ασφάλεια στον κυβερνοχώρο θα αποτελέσουν το επίκεντρο πολλών στοιχείων του 12ου Διεθνούς Συνεδρίου για τις Προηγμένες Τεχνολογίες & Θεραπείες για τον Διαβήτη (ATTD 2019) που θα πραγματοποιηθεί αργότερα αυτό το μήνα στο Βερολίνο. Αλλά αυτές οι αλήθειες εξακολουθούν να υπάρχουν παράλληλα με την πραγματικότητα ότι οι άνθρωποι χρειάζονται καλύτερα εργαλεία που είναι λιγότερο ακριβά, και τα χρειαζόμαστε γρήγορα.
«Το σήμα κατατεθέν των εξαιρετικών συσκευών είναι η συνεχής βελτίωση, όχι η τελειότητα», λέει ο Μπράουν. "Αυτό απαιτεί συνδεσιμότητα, διαλειτουργικότητα και απομακρυσμένη ενημέρωση λογισμικού."
Ενώ οι συσκευές είναι εκτεθειμένες σε κινδύνους, οι ειδικοί φαίνεται να συμφωνούν ότι είναι γενικά αρκετά ασφαλείς. Προχωρώντας όλο το 2019 και πέρα, η συναίνεση φαίνεται να είναι ότι, ενώ η παρακολούθηση του κινδύνου στον κυβερνοχώρο είναι σημαντική, ο κίνδυνος αυτός συχνά υπερτιμάται, και δυνητικά ελαφρώνει τους κινδύνους για την υγεία από το να μην έχουν προηγμένα εργαλεία διαβήτη.