Zdá sa, že obavy z kybernetickej bezpečnosti nás v dnešnej dobe oslovujú v nekonečnej slučke. Spomedzi množstva správ o porušeniach údajov, porušených dohodách o ochrane osobných údajov a kybernetických útokoch v súkromnom a verejnom sektore môže byť ťažké určiť, čo je skutočne bezpečné.
A potom, čo pred niekoľkými rokmi vystrašilo pár hackerov inzulínovej pumpy, nestačí sa čudovať: Kam sa postavíme, pokiaľ ide o bezpečnosť našich zariadení na diabetes (a informácie, ktoré obsahujú) v roku 2019?
Rizikom je, že je to niekedy skutočné a niekedy to vnímame. Riešenie skutočného rizika vedie k bezpečnosti. Zatiaľ čo posadnutosť vnímaným rizikom vedie k strachu. Čo je tu teda skutočné? A čo konkrétne sa robí pri riešení problémov kybernetickej bezpečnosti v oblasti cukrovky?
Pokrok v oblasti štandardov lekárskej kybernetickej bezpečnosti
V októbri 2018 vydal americký úrad pre kontrolu potravín a liečiv (FDA) pokyny pred uvedením všetkých zdravotníckych pomôcok obsahujúcich kybernetické riziká na trh. Neskôr na jeseň spoločnosť Health Canada vydala dokument s pokynmi obsahujúcimi odporúčania v oblasti kybernetickej bezpečnosti, ktoré majú spoločnosti využívajúce technológiu medicínskych technológií používať počas vývoja a testovania. Myšlienka samozrejme spočíva v tom, že podľa pokynov budú dodávatelia na trh uvádzať zariadenia, ktoré sú už bezpečné, oproti zariadeniam, ktorých zraniteľnosti sú odhalené po uvedení na trh používaním pacientov.
Podľa tlačovej správy Health Canada medzi mediálne odporúčania v oblasti kybernetickej bezpečnosti v ich návrhu usmernení patria: 1) začlenenie opatrení kybernetickej bezpečnosti do procesov riadenia rizík pre všetky zariadenia so softvérovou súčasťou, 2) zavedenie rámcov pre riadenie rizík kybernetickej bezpečnosti na podnikovej úrovni, a 3) overenie a validácia všetkých procesov kontroly rizika kybernetickej bezpečnosti. Špeciálne odporúčajú opatrenia, ako je implementácia štandardu kybernetickej bezpečnosti UL 2900 na zmiernenie rizík a slabých miest.
Ken Pilgrim, vedúci konzultant pre oblasť regulácie a zabezpečenia kvality v spoločnosti Emergo Group vo Vancouveri, uviedol, že nové pokyny by sa mali ukázať ako cenné pre výrobcov zdravotníckych pomôcok nielen v Kanade, ale aj v iných jurisdikciách vyvíjajúcich podobné požiadavky v oblasti kybernetickej bezpečnosti.
V Spojených štátoch sa medzitým chystajú opatrenia zamerané na riešenie kybernetickej bezpečnosti zariadení s cukrovkou.
Koncom októbra Diabetes Technology Society (DTS) oznámila, že OmniPod DASH sa stala prvou inzulínovou pumpou očistenou FDA, ktorá získala certifikáciu podľa štandardu a programu zabezpečenia kybernetickej bezpečnosti DTS „Standard for Wireless Diabetes Device Security“, známeho ako DTSec.
Spoločnosť DTS bola založená v roku 2001 Dr. Davidom Klonoffom s cieľom propagovať používanie a vývoj technológie cukrovky. DTSec je v podstate prvý organizovaný bezpečnostný štandard pre diabetes. Berte to ako druh pečate bezpečnosti, podobne ako vidíme webovú adresu https. Tento štandard bol stanovený v roku 2016 po výskume a vstupoch z akademickej obce, priemyslu, vlády a klinických centier. Rovnako ako väčšina noriem, aj toto je dobrovoľné usmernenie pre výrobcov, aby zvážili prijatie a dodržiavanie.
Odvtedy organizácia pokračovala v presadzovaní výskumu v oblasti kybernetickej bezpečnosti a hodnotení rizík, organizovaní konferencií a vývoji dôkladnejších ochranných opatrení.
Vlani v júni, niekoľko mesiacov pred oznámením týkajúceho sa OmniPodu nasledujúceho po DTSec, skupina vydala nové bezpečnostné pokyny s názvom DTMoSt, skratka pre „Používanie mobilných zariadení v kontextoch kontroly cukrovky“.
Podľa Klonoffa, medicínskeho riaditeľa Diabetes Research Institute v Mills-Peninsula Medical Center, San Mateo, CA, pokyny DTMoSt vychádzajú z DTSec tým, že sa stávajú prvým štandardom s požiadavkami na výkon aj požiadavkami na zabezpečenie pre výrobcov pripojených zdravotníckych pomôcok riadených mobilná platforma.
DTMoSt identifikuje hrozby, ako sú škodlivé vzdialené útoky a útoky založené na aplikáciách a „nedostatok zdrojov“, pre bezpečnú prevádzku riešení podporovaných mobilnými zariadeniami, a ponúka pokyny vývojárom, regulačným orgánom a ďalším zainteresovaným stranám, ktoré im pomôžu tieto riziká zvládnuť.
Bezpečnostné opatrenia by nemali brániť použitiu
V súčasnosti môžu byť glukometr, CGM a inteligentné telefóny s cukrovkou všetky pripojené k internetu, a preto môžu predstavovať určitú úroveň rizika.
Napriek pokračujúcim rozhovorom o nebezpečenstvách internetu vecí odborníci varujú, že skutočné riziko pre verejnosť je pomerne nízke. Pokiaľ ide o bezpečnosť, zlých ľudí jednoducho nezaujímajú údaje o glykémii niekoho iného (v porovnaní s heslom ich bankového účtu).
Investície do kybernetickej bezpečnosti sú preto potrebné ako preventívne opatrenia pred hrozbami a zaisťujúce základnú bezpečnosť používateľov a zákazníkov.
Nevýhodou však je, že implementácia opatrení v oblasti kybernetickej bezpečnosti môže niekedy znamenať, že je veľmi ťažké alebo nemožné, aby sa systém používal na zdieľanie údajov zamýšľaným spôsobom. Trik v rovnici neobmedzuje schopnosť prevádzky a prístup určených osôb.
A čo súkromie? Znovu a znovu vidíme, že hoci ľudia tvrdia, že uprednostňujú súkromie, zdá sa, že konajú rozporuplne: súhlasom, rolovaním, inicializáciou, podpisom a poskytnutím prístupu k informáciám a údajom s veľmi malými skutočnými myšlienkami alebo obavami. Pravdou je, že my spotrebitelia zvyčajne nečítame zásady ochrany osobných údajov veľmi pozorne, ak vôbec. Práve sme stlačili tlačidlo „ďalšie“.
Vyrovnanie strachu a úzkosti
Mnohí v priemysle varujú pred nepriaznivou stránkou kybernetickej bezpečnosti: zameraním na strach, ktorý hraničí s posadnutosťou, výskumom stymies a nakoniec by mohol stáť život. Sú to ľudia, ktorí si uvedomujú, že kybernetický svet a naše prístroje na diabetes sú vystavené riziku, ale cítia, že nadmerná reakcia je potenciálne nebezpečnejšia.
„Celej problematike„ kybernetickej bezpečnosti v zariadeniach “sa venuje oveľa viac pozornosti, ako by si zaslúžila,“ hovorí Adam Brown, šéfredaktor diaTribe a autor knihy Jasné miesta a nášľapné míny: Sprievodca diabetom, ktorý by som si prial, aby mi niekto dal ruku. „Potrebujeme, aby sa spoločnosti pohybovali rýchlejšie ako sú, a kybernetická bezpečnosť môže vyvolať zbytočný strach. Medzitým sú ľudia vonku a neposkytujú dáta, pripojenie, automatizáciu ani podporu. “
Howard Look, generálny riaditeľ spoločnosti Tidepool, D-Dad, a kľúčová sila v pozadí hnutia #WeAreNotWaiting, vidí obe strany problému, ale súhlasí s Brownom a ďalšími odborníkmi z tohto odvetvia, ktorí sa obávajú kontroly rýchlosti lekárskeho pokroku.
„Spoločnosti zaoberajúce sa výrobou zariadení (vrátane softvéru ako spoločnosti zaoberajúce sa zdravotníckymi pomôckami, napríklad Tidepool) určite musia brať kybernetickú bezpečnosť veľmi, veľmi vážne,“ hovorí Look. „Určite nechceme vytvárať situáciu, keď existuje riziko hromadného útoku na zariadenia alebo aplikácie, ktoré by mohli ľuďom ublížiť. Ale obrázky „hackerov v mikinách“ s lebkou a skríženými hnátmi na obrazovkách počítačov iba desia ľudí, ktorí nechápu, o čo ide. Spôsobuje to spomalenie spoločností v oblasti zariadení, pretože majú strach. Nepomáha im pochopiť správnu vec. “ Look odkazoval na diapozitívy Powerpoint zobrazené na lekárskych konferenciách o diabete so strašidelnými obrázkami, ktoré údajne predstavovali kybernetické nebezpečenstvo.
Systémy uzavretej slučky OpenAPS a Loop pre svojpomocne, ktoré sa stali populárnymi, sú technicky založené na „zraniteľnosti“ starších čerpadiel Medtronic, ktorá umožňuje bezdrôtové diaľkové ovládanie týchto čerpadiel. Ak chcete hacknúť pumpy, musíte poznať sériové číslo a musíte byť blízko pumpy 20 sekúnd. „Existujú jednoduchšie spôsoby, ako niekoho zabiť, ak to chcete urobiť,“ hovorí Look.
Mnohí tvrdia, že táto navrhovaná „zraniteľnosť“ v oblasti bezpečnosti, aj keď teoreticky strašidelná, je obrovským prínosom, pretože umožnila tisícom ľudí spustiť OpenAPS a Loop, zachraňovať životy a zlepšovať kvalitu života a verejného zdravia pre tých, ktorí používajú ich.
Meraný prístup k rizikám
Organizácie ako DTS robia dôležitú prácu. Na zabezpečení zariadenia záleží. A výskumné a konferenčné prezentácie na túto tému sú konštantami odvetvia - diabetes tech a kybernetická bezpečnosť budú predmetom viacerých prvkov 12. medzinárodnej konferencie o pokrokových technológiách a liečbe cukrovky (ATTD 2019), ktorá sa uskutoční tento mesiac v Berlíne. Ale tieto pravdy naďalej existujú spolu s realitou, že ľudia potrebujú lepšie nástroje, ktoré sú lacnejšie, a my ich potrebujeme rýchlo.
"Charakteristickým znakom skvelých zariadení je neustále zlepšovanie, nie dokonalosť," hovorí Brown. „To si vyžaduje pripojenie, interoperabilitu a vzdialenú aktualizáciu softvéru.“
Aj keď sú zariadenia vystavené rizikám, zdá sa, že odborníci súhlasia, že sú vo všeobecnosti celkom bezpečné a zabezpečené. Od roku 2019 a ďalej sa zdá, že existuje konsenzus, že aj keď je dôležité strážiť kybernetické riziko, je potrebné ho často preceňovať a potenciálne sa vyrovná so zdravotnými rizikami neexistencie pokročilých nástrojov pre diabetes.