Cybersicherheitsbedenken scheinen uns heutzutage in einer Endlosschleife anzusprechen. Bei einer Flut von Berichten über Datenschutzverletzungen, Datenschutzverletzungen und Cyberangriffe im privaten und öffentlichen Sektor kann es schwierig sein, festzustellen, was wirklich sicher ist.
Und nach ein paar Insulinpumpen-Hacking-Ängsten vor ein paar Jahren können wir uns nur fragen: Wo stehen wir in Bezug auf die Sicherheit unserer Diabetes-Geräte (und die darin enthaltenen Informationen) im Jahr 2019?
Das Risiko besteht darin, dass es manchmal real ist und manchmal wahrgenommen wird. Die Bewältigung des realen Risikos führt zur Sicherheit. Während die Besessenheit über das wahrgenommene Risiko zu Angst führt. Was ist hier also real? Und was genau wird unternommen, um Bedenken hinsichtlich der Cybersicherheit von Diabetes-Technologien auszuräumen?
Fortschritte bei den medizinischen Cybersicherheitsstandards
Im Oktober 2018 gab die US-amerikanische Food and Drug Administration (FDA) vor dem Inverkehrbringen Leitlinien für alle Medizinprodukte heraus, die Cyber-Risiken enthalten. Später im Herbst veröffentlichte Health Canada auch ein Leitliniendokument mit Empfehlungen zur Cybersicherheit, die von Medizintechnikunternehmen während ihrer Entwicklungs- und Testphase verwendet werden sollten. Die Idee ist natürlich, dass Anbieter durch Befolgen der Richtlinien bereits sichere Geräte auf den Markt bringen, anstatt Geräte zu sehen, deren Schwachstellen nach der Markteinführung durch die Verwendung durch Patienten entdeckt werden.
Laut einer Pressemitteilung von Health Canada gehören zu den Empfehlungen für die Cybersicherheit von Medizinprodukten in ihrem Richtlinienentwurf: 1) Einbeziehung von Cybersicherheitsmaßnahmen in Risikomanagementprozesse für alle Geräte mit einer Softwarekomponente, 2) Festlegung von Rahmenbedingungen für das Management von Cybersicherheitsrisiken auf Unternehmensebene; und 3) Überprüfung und Validierung aller Prozesse zur Kontrolle des Cybersicherheitsrisikos. Sie empfehlen insbesondere Maßnahmen wie die Implementierung des Cybersicherheitsstandards UL 2900, um Risiken und Schwachstellen zu minimieren.
Ken Pilgrim, Senior Consultatory Affairs & Qualitätssicherungsberater bei der Emergo Group in Vancouver, sagte, die neuen Leitlinien sollten sich für Hersteller von Medizinprodukten nicht nur in Kanada, sondern auch in anderen Ländern, die ähnliche Anforderungen an die Cybersicherheit entwickeln, als wertvoll erweisen.
In den USA werden derzeit Maßnahmen zur gezielten Bekämpfung der Cybersicherheit von Diabetes-Geräten vorangetrieben.
Ende Oktober gab die Diabetes Technology Society (DTS) bekannt, dass der OmniPod DASH die erste von der FDA zugelassene Insulinpumpe ist, die eine Zertifizierung nach dem DTS-Standard und -Programm zur Gewährleistung der Sicherheit von drahtlosen Diabetesgeräten (DTSec) erhalten hat.
DTS wurde 2001 von Dr. David Klonoff mit dem Ziel gegründet, den Einsatz und die Entwicklung der Diabetes-Technologie zu fördern. DTSec ist im Wesentlichen der erste organisierte Sicherheitsstandard für Diabetes-Technologie. Stellen Sie sich das als eine Art Sicherheitssiegel vor, ähnlich wie wir eine https-Webadresse sehen. Der Standard wurde 2016 nach Recherchen und Beiträgen von Wissenschaft, Industrie, Regierung und klinischen Zentren festgelegt. Wie die meisten Standards ist es eine freiwillige Anleitung für Hersteller, über eine Übernahme und Befolgung nachzudenken.
Seitdem hat die Organisation die Cybersicherheitsforschung und Risikobewertung weiter vorangetrieben, Konferenzen veranstaltet und tiefgreifendere Schutzmaßnahmen entwickelt.
Im Juni letzten Jahres, einige Monate vor der Ankündigung von OmniPod nach DTSec, veröffentlichte die Gruppe eine neue Sicherheitsrichtlinie namens DTMoSt, kurz für „Verwendung mobiler Geräte in Diabetes-Kontrollkontexten“.
Laut Klonoff, Ärztlicher Direktor des Diabetes-Forschungsinstituts am Mills-Peninsula Medical Center in San Mateo, Kalifornien, bauen die DTMoSt-Richtlinien auf DTSec auf und werden zum ersten Standard mit Leistungsanforderungen und Sicherheitsanforderungen für Hersteller angeschlossener medizinischer Geräte, die von a kontrolliert werden mobile Plattform.
DTMoSt identifiziert Bedrohungen wie böswillige Remote- und App-basierte Angriffe und „Ressourcenmangel“ für den sicheren Betrieb mobillösungsfähiger Lösungen und bietet Entwicklern, Aufsichtsbehörden und anderen Interessengruppen Anleitungen zur Bewältigung dieser Risiken.
Sicherheitsmaßnahmen sollten die Verwendung nicht behindern
Heutzutage sind das Glukometer, das CGM und die Diabetes-Smartphone-App möglicherweise alle mit dem Internet verbunden und daher einem gewissen Risiko ausgesetzt.
Trotz der anhaltenden Diskussion über die Gefahren des Internet der Dinge warnen Experten, dass das tatsächliche Risiko für die Öffentlichkeit recht gering ist. Wenn es um Sicherheit geht, sind schlechte Menschen einfach nicht so interessiert an den Blutzuckerdaten von jemandem (im Vergleich zu ihrem Bankkontopasswort).
Investitionen in die Cybersicherheit sind jedoch als vorbeugende Maßnahmen gegen Bedrohungen und zur Gewährleistung der grundlegenden Sicherheit von Benutzern und Kunden erforderlich.
Der Nachteil ist jedoch, dass die Implementierung von Cybersicherheitsmaßnahmen manchmal bedeuten kann, dass ein System sehr schwer oder unmöglich für den Datenaustausch in der beabsichtigten Weise verwendet werden kann. Der Trick in der Gleichung besteht nicht darin, die Bedienbarkeit und den Zugang für beabsichtigte Personen einzuschränken.
Und was ist mit Privatsphäre? Immer wieder stellen wir fest, dass Menschen, obwohl sie sagen, dass sie der Privatsphäre Priorität einräumen, widersprüchlich zu handeln scheinen, indem sie zustimmen, scrollen, initialisieren, signieren und Zugang zu Informationen und Daten gewähren, ohne wirklich darüber nachzudenken oder Bedenken zu haben. Die Wahrheit ist, dass wir Verbraucher die Datenschutzrichtlinien normalerweise nicht sehr sorgfältig lesen, wenn überhaupt. Wir klicken einfach auf die Schaltfläche "Weiter".
Angst und Besorgnis ausgleichen
Viele in der Branche warnen vor der negativen Seite der Cybersicherheit: Ein Fokus auf Angst, die an Besessenheit grenzt, die Forschung behindert und letztendlich Leben kosten könnte. Dies sind Menschen, die erkennen, dass die Cyberwelt und unsere Diabetes-Geräte einem Risiko ausgesetzt sind, aber der Meinung sind, dass Überreaktionen potenziell gefährlicher sind.
"Das gesamte Thema" Cybersicherheit in Geräten "erhält weitaus mehr Aufmerksamkeit, als es verdient", sagt Adam Brown, leitender Redakteur bei Schmährede und Autor von Helle Flecken und Landminen: Der Diabetes-Leitfaden Ich wünschte, jemand hätte mir übergeben. „Wir brauchen Unternehmen, die sich schneller bewegen als sie sind, und Cybersicherheit kann unnötige Angst hervorrufen. In der Zwischenzeit sind die Leute da draußen, ohne Daten, ohne Konnektivität, ohne Automatisierung und ohne Unterstützung. “
Howard Look, CEO von Tidepool, D-Dad und eine Schlüsselkraft hinter der # WeAreNotWaiting-Bewegung, sieht beide Seiten des Problems, stimmt jedoch Brown und anderen Branchenexperten zu, die befürchten, die Geschwindigkeit des medizinischen Fortschritts zu überprüfen.
"Natürlich müssen Gerätehersteller (einschließlich Software als Unternehmen für medizinische Geräte wie Tidepool) die Cybersicherheit sehr, sehr ernst nehmen", sagt Look. „Wir wollen mit Sicherheit keine Situation schaffen, in der das Risiko eines Massenangriffs auf Geräte oder Apps besteht, die Menschen Schaden zufügen könnten. Aber Bilder von "Hackern in Kapuzenpullis" mit Totenkopf auf Computerbildschirmen machen nur Leuten Angst, die nicht wirklich verstehen, worum es geht. Dies führt dazu, dass Gerätehersteller langsamer werden, weil sie Angst haben. Es hilft ihnen nicht, das Richtige zu verstehen. “ Look bezog sich auf Powerpoint-Folien, die auf medizinischen Diabetes-Konferenzen mit unheimlichen Bildern gezeigt wurden, die Cyber-Gefahren darstellen.
Die populären OpenAPS- und Loop-Do-it-yourself-Systeme mit geschlossenem Regelkreis basieren technisch auf einer „Sicherheitslücke“ in älteren Medtronic-Pumpen, die eine drahtlose Fernsteuerung dieser Pumpen ermöglicht. Um die Pumpen zu hacken, müssen Sie die Seriennummer kennen und 20 Sekunden lang in der Nähe der Pumpe sein. "Es gibt viel einfachere Möglichkeiten, jemanden zu töten, wenn Sie dies möchten", sagt Look.
Viele argumentieren, dass diese vorgeschlagene „Sicherheitslücke“ in der Sicherheit, so beängstigend sie auch theoretisch sein mag, ein großer Vorteil ist, da Tausende von Menschen OpenAPS und Loop ausführen konnten, um Leben zu retten und die Lebensqualität und die öffentliche Gesundheit für die Benutzer zu verbessern Sie.
Ein gemessener Ansatz für Risiken
Organisationen wie DTS leisten wichtige Arbeit. Gerätesicherheit ist wichtig. Forschungs- und Konferenzpräsentationen zu diesem Thema sind Konstanten der Branche - Diabetes-Technologie und Cybersicherheit werden im Mittelpunkt mehrerer Elemente der 12. Internationalen Konferenz über fortschrittliche Technologien und Behandlungen für Diabetes (ATTD 2019) stehen, die Ende dieses Monats in Berlin stattfindet. Aber diese Wahrheiten existieren weiterhin neben der Realität, dass Menschen bessere Werkzeuge brauchen, die billiger sind, und wir brauchen sie schnell.
"Das Markenzeichen großartiger Geräte ist die kontinuierliche Verbesserung, nicht die Perfektion", sagt Brown. "Das erfordert Konnektivität, Interoperabilität und Aktualisierung der Remote-Software."
Während Geräte Risiken ausgesetzt sind, scheinen Experten der Meinung zu sein, dass sie im Allgemeinen recht sicher sind. Für das Jahr 2019 und darüber hinaus scheint der Konsens zu bestehen, dass das Risiko im Auge zu behalten zwar wichtig ist, das Risiko jedoch häufig überbewertet wird und möglicherweise gegen die Gesundheitsrisiken verblasst, wenn keine fortschrittlichen Diabetes-Tools vorhanden sind.