Un'occhiata al backlash su hacking della pompa per insulina e sicurezza

Quando la storia di hacking della pompa per insulina si è rotta due settimane fa, l'abbiamo vista principalmente come una trovata pubblicitaria. Ma ha avuto alcune ripercussioni interessanti. In particolare, due membri del Congresso hanno intensificato e richiesto che il Government Accountability Office (GAO) riveda l'approccio della Commissione federale delle comunicazioni ai dispositivi medici con funzionalità wireless per garantire che i dispositivi siano "sicuri, affidabili e sicuri". Bene, sembra una buona notizia …

Il hullabaloo è stato sufficiente per l'istigatore Jay Radcliffe, esperto di sicurezza informatica e PWD di tipo 1, a tenere un webinar di follow-up lo scorso giovedì. Di seguito è riportata una sinossi degli appunti di Allison relativi a quell'evento:

* A partire da giovedì scorso, il produttore della pompa Jay hacked è stato rivelato essere Medtronic Minimed.

* Il suo ragionamento e la sua motivazione per fare l'hack? Jay sostiene di essersi ispirato alla storia di due uomini che si sono infilati in un parco cittadino a 999 metri a San Francisco alcuni anni fa. La città fu costretta a rivalutare le misure di sicurezza per i metri. Apparentemente, Jay aveva "avuto la stessa idea in mente" quando ha hackerato la sua pompa di insulina. Dice che voleva aiutare le aziende mostrando le loro "vulnerabilità di sicurezza".

* Le reazioni alla presentazione originale di Jay hanno raggiunto la gamma, ma la cosa più significativa per Jay finora è stata quella di Medtronic. La società ha in gran parte respinto la nozione di potenziali rischi. È per questo che Jay ha deciso di rendere pubblico il nome del produttore, dice. "Disintegrarmi non è una risposta etica".

Il risultato è che sembra essere un po 'pisciato con la compagnia - o almeno una situazione "dice, dice" in cui la verità probabilmente si trova da qualche parte tra:

* Jay spiega: "La Electronic Frontier Foundation e io abbiamo lavorato molto su questo problema.Molto spesso nella comunità della sicurezza solleveremo un problema senza contattare un fornitore.Le aziende che non sono al passo con la sicurezza i problemi spesso cercheranno e contesteranno per impedire che la ricerca venga alla luce È facile seppellire una ricerca legittima da un individuo in una montagna di documenti legali La risposta è una rivelazione etica … Di solito la compagnia apprezza questo gesto e risolve il problema problema senza avere scrutinio pubblico o pressione per affrettare la cosa, altri no. "

* Jay ha scomposto la reazione di Medtronic, punto per punto:

Medtronic dice:" la sicurezza delle informazioni dei dispositivi … è parte integrante del tessuto stesso dei nostri processi di progettazione del prodotto. "

Jay dice:" questo chiaramente non è il caso ", come ha scoperto nel suo hacking non c'era" nessuna autenticazione o crittografia usata "e che mostrò pubblicamente a Las Vegas che lì

sono vulnerabilità.

Medtronic afferma: "Grazie alle (nostre) misure di sicurezza delle informazioni, crediamo fortemente che sarebbe estremamente difficile per una terza parte manomettere in modalità wireless la pompa di insulina."

Jay dice: "Non ci sono misure di sicurezza, la necessità di conoscere il numero di serie del dispositivo non è la sicurezza." Afferma che sarebbe abbastanza facile per qualsiasi hacker scoprire quale sia il numero seriale di sei cifre per una pompa per insulina. (Non siamo sicuri di come …?)

Medtronic afferma: "A nostra conoscenza, non c'è mai stato un singolo episodio segnalato di manomissione wireless al di fuori degli esperimenti di laboratorio controllati in oltre 30 anni di utilizzo della telemetria del dispositivo, che include milioni di dispositivi in ​​tutto il mondo. "

Jay dice:" Fino ad ora. " Ovviamente, questo è solo perché nessuno ha mai

pensato di entrare in una pompa per insulina. Ma solo perché nessuno ha mai pensato di farlo ancora non significa che nessuno mai farà . (Credo che saremmo d'accordo sul fatto che incrociare le dita non è una misura di sicurezza.)

Medtronic dice: "Ha … acceso la funzione wireless e ha avuto accesso a apparecchiature specializzate … è possibile rimuovere qualsiasi incertezza disattivando la comunicazione wireless sul dispositivo."

Jay dice: " questo non è vero "e che l'abilità wireless di una pompa per insulina non può essere disattivata. Questo è il motivo per cui è stato in grado di modificare qualsiasi impostazione o configurazione sul suo dispositivo. Inoltre, ha problemi con l'etichetta "attrezzature specializzate", dicendo che ha usato il suo

dispositivo Carelink USB. Anche se non ha dato istruzioni passo-passo su

come ha usato questa attrezzatura, Jay ha eseguito l'intero hack sul palco di Las Vegas in quello che dice "circa un minuto". < ! --2 ->

Jay afferma anche che ha lavorato con il Dipartimento della Sicurezza Nazionale per contattare l'ufficio del CEO di Medtronic e lasciato lì i messaggi il 10 agosto.

Naturalmente, abbiamo dovuto guardare un po 'più in profondità nel altro lato della storia. Ecco come Medtronic ha risposto alle nostre domande:

John Mastrototaro, VP di Ricerca e Sviluppo di Medtronic, ci ha detto in una telefonata il 26 agosto che aveva appena parlato con il Dipartimento della Sicurezza Nazionale in "una discussione informale per follow up alle affermazioni che Jay ha fatto. " Dice che questa è stata la sua prima conversazione con DHS e non era a conoscenza del fatto che hanno tentato di contattare Medtronic su questo problema in precedenza.

In particolare, afferma: "C'è una certa sicurezza e autenticazione nel prodotto, ma non c'è crittografia, che ha due significati diversi per questi esperti di sicurezza". Ha ripetuto che il loro "metodo di sicurezza primario" è nella segretezza del numero seriale di sei cifre, situato sul retro di una pompa per insulina. Un altro post di reazione sul blog della società che è andato in onda venerdì ha dichiarato: "Si consiglia di proteggere il numero di serie della pompa come si farebbe con il numero di previdenza sociale, le password e altre importanti informazioni personali." Hmmm.

John ha anche dichiarato: "Una sfida per noi come organizzazione è che dobbiamo fare dei compromessi su dove metteremo i nostri dollari di ricerca e quali problemi avremo risolvere.Siamo stati molto concentrati nel progetto Artificial Pancreas … Le nostre nuove piattaforme avranno l'ultima tecnologia di crittografia in quei dispositivi. Cercare di stare davanti alla palla è molto difficile. Possono essere necessari 5-7 anni perché la nuova tecnologia esca. Ci sarà sempre un potenziale rischio che ci sia un'evoluzione della tecnologia che va più avanti rispetto ai prodotti. Il nostro approccio è stato decisamente proattivo e serio, anche se è un rischio remoto come ha detto Jay. Vogliamo incorporare soluzioni alle nostre future iterazioni di prodotto in modo da rendere ancora più difficile il verificarsi di questo genere di cose. "

Un aspetto interessante è che la sicurezza nel La pompa per insulina Paradigm ha 12-14 anni. "Questo è stato creato prima dell'11 settembre, prima che arrivasse l'intento malevolo - quando si era in grado di portare una bottiglia d'acqua sull'aereo", dice John. Dodici o quattordici anni? Da allora non sono uscite abbastanza nuove pompe di insulina che avrebbero potuto fare solo un

piccolo aggiornamento sulla sicurezza? Ammetteremo, la probabilità di hacking sembra piuttosto bassa. Ma ancora, più di un decennio e < no aggiornamenti di sicurezza?

I due membri del Congresso che entrano nella mischia sono i Rep. Anna Eshoo della California e Edward Markey del Massachusetts, entrambi democratici. Government Accountability Office (GAO), chiedono una relazione sulla misura in cui FCC è:

Identificazione delle sfide e dei rischi posti dalla proliferazione di medici impianti e altri dispositivi che utilizzano la banda larga e la tecnologia wireless.

Prendere provvedimenti per migliorare l'efficienza dei processi normativi applicabili ai dispositivi medici abilitati a banda larga e wireless.

1. Garantire che i dispositivi medici abilitati wireless non causino interferenze dannose ad altre apparecchiature.
2. Supervisionare tali dispositivi per assicurarsi che siano sicuri, affidabili e sicuri.
3. Coordinando le sue attività con la Food and Drug Administration. "
5. Scrive anche:" Nel portare avanti tecnologie e dispositivi wireless innovativi per l'assistenza sanitaria, è fondamentale che questi dispositivi siano in grado di operare insieme e con altre apparecchiature ospedaliere, e non interferire con le attività e le trasmissioni dei dati di ciascuno. "

Jay Radcliffe è, ovviamente, molto entusiasta di questo sviluppo.Per lui, il comportamento della società in risposta a questa rivelazione è più preoccupante dell'attuale hacking stesso.

In quella nota, Jay ha annunciato che non è più un utente di Medtronic ma è passato ad Animas. Ha in programma di hackerare la pompa di insulina in un modo simile. , "Prenderò le stesse azioni che ho fatto in precedenza. Speriamo che Animas / J & J si comporteranno meglio di quanto abbia fatto Medtronic. "Guarda, Animas!

Che cosa significa tutto questo per il resto di noi pompanti? Ovviamente possiamo solo incrociare le dita che questo non impallidirà ulteriormente processo FDA già dolorosamente lento per l'approvazione di nuovi dispositivi per il diabete, come il sistema Medtronic Veo con funzione di sospensione a basso glucosio (si spera che sia sicuro per gli hacker!).

Dovremmo anche essere preoccupati per i rischi reali e immediati per la nostra sicurezza personale? Penso che SecurityWatch l'abbia detto meglio quando hanno dichiarato di recente: "L'hacking di Radcliffe è interessante e utile per i produttori di dispositivi di pressione per migliorare la loro sicurezza, ma non particolarmente spaventoso."

* * *

Sicurezza pressione cabina:

As se le nostre preoccupazioni come pompanti non erano abbastanza numerose, ora un endocrinologo in Australia ha scoperto che i cambiamenti di pressione in cabina in volo potrebbero occasionalmente rovinare con il dosaggio.

Dopo aver sentito che una bambina di 10 anni è andata bassa un'ora dopo il decollo (e noi, supponendo che escludessero ogni

altra

causa possibile di un basso livello di zucchero nel sangue?!), Bruce Il King of John Hunter Children's Hospital di Newcastle, in Australia, e i suoi colleghi hanno scoperto altri casi di insulino-pompieri che sono scesi anche dopo il decollo. Apparentemente questo è stato sufficiente per innescare un mini studio in cui hanno inviato 10 pompe di insulina in aria e hanno scoperto che in media davano 1-1. 4 unità supplementari di insulina durante il decollo. Durante la discesa, quando la pressione della cabina era in aumento, una certa quantità di insulina veniva risucchiata nelle pompe, di circa 1 unità. Ovviamente, 10 pompe per insulina non sono certo un numero statisticamente significativo, e una unità di insulina probabilmente non sarà destinata a infrangere la maggior parte dei pazienti adulti (ma ha fatto una grande differenza per il bambino di 10 anni!) . Diciamo che i genitori di bambini piccoli che tendono ad andare in basso durante i viaggi aerei potrebbero voler prendere nota e adeguarsi di conseguenza. Disclaimer

: Contenuto creato dal team Diabetes Mine. Per maggiori dettagli clicca qui.

Disclaimer Questo contenuto è stato creato per Diabetes Mine, un blog sulla salute dei consumatori incentrato sulla comunità dei diabetici. Il contenuto non è revisionato da un medico e non aderisce alle linee guida editoriali di Healthline. Per ulteriori informazioni sulla partnership di Healthline con Diabetes Mine, fare clic qui.