Если вы следите за уведомлениями о безопасности продуктов или последними медицинскими заголовками, возможно, вы слышали, что старые инсулиновые помпы Medtronic называются небезопасными и уязвимыми для кибератак.
Да, FDA и Medtronic выпустили уведомления по технике безопасности для более старых насосов серий Revel и Paradigm, устройств, которым в некоторых случаях уже от десяти до почти 20 лет. Вот уведомление FDA и письмо пациента от самой компании Medtronic.
Затронутые устройства включают: Minimed 508 (впервые выпущенный в 1999 г.), модели Paradigm (511, 512/712, 515/715, 522/722 и более старые версии 523/723), а также более старые модели Minimed Paradigm. Версии Veo продаются за пределами США
Нет причин для паники
Прежде чем кто-то станет сильно волноваться по поводу безопасности инсулиновой помпы, давайте проясним, что и FDA, и Medtronic подтверждают, что не было НИ ОДИН сообщений о каких-либо нарушениях работы этих помп. Таким образом, несмотря на сенсационные заголовки, пугающий сценарий, в котором какой-нибудь гнусный кибер-хакер перепрограммирует чью-то помпу, чтобы она доставляла слишком много инсулина, остается пищей для телевизионных или киносюжетов. Хотя что-то подобное теоретически возможно, реальный риск, скорее всего, связан с ошибочными показаниями датчика CGM, которые побуждают помпу подавать слишком много или слишком мало инсулина в этих старых моделях.
Официальное уведомление от FDA - это просто агентство, которое выполняет свою работу по предупреждению людей о потенциальных опасностях, которые могут существовать. Это еще одно событие «нулевого дня», подобное предупреждению об инсулиновых помпах Animas еще в 2016 году, когда производитель вынужден раскрыть уязвимость, которая мог создают риск.
Что еще более важно, это не новая разработка. Представление о том, что помпы Medtronic уязвимы, стало общественным с 2011 года, когда основные средства массовой информации сообщили, что хакеру «белой шляпе» Джею Рэдклиффу удалось взломать код инсулиновой помпы, и об этом повсюду писали средства массовой информации. В то время даже два члена Конгресса были вовлечены в ажиотаж, а в последующие годы эта и связанные с ней вопросы кибербезопасности стали циркулировать, поскольку FDA и федеральное правительство разработали руководящие принципы и протоколы для возможных проблем кибербезопасности в медицинских технологиях.
Не традиционный отзыв
Кроме того, несмотря на сообщения в основных СМИ, Medtronic подтверждает нам, что это не традиционный отзыв продукта. «Это только предупреждение о безопасности. Из-за этого уведомления не требуется возвращать поврежденные насосы », - говорит Пэм Риз, директор по глобальным коммуникациям и корпоративному маркетингу Medtronic Diabetes.
Она говорит нам, что люди, использующие эти старые насосы, все еще могут заказывать расходные материалы в Medtronic и у дистрибьюторов.
Что на самом деле делать, если одна из помп пострадала?
«Мы рекомендуем вам поговорить со своим врачом, чтобы обсудить проблему кибербезопасности и шаги, которые вы можете предпринять, чтобы защитить себя. Между тем, конкретные инструкции заключаются в том, чтобы держать инсулиновую помпу и подключенные к ней устройства под вашим постоянным контролем и не сообщать никому серийный номер помпы », - говорит Риз.
Зачем выдавать предупреждение сейчас?
Это большой вопрос, который волнует многих в сообществе пациентов.
Если Medtronic и FDA знали об этой уязвимости в течение восьми полных лет, а теперь все эти инсулиновые помпы Minimed более старого поколения фактически сняты с производства и сняты с рынка для новых клиентов в Штатах, то что вызвало предупреждение в этот момент ?
Риз из Medtronic говорит: «Это был постоянный разговор, потому что защита кибербезопасности постоянно развивается, поскольку технологии продолжают быстро улучшаться, и подключенные устройства должны идти в ногу с этим темпом… Нам стало известно об этом в конце 2011 года, и мы начали внедрять обновления безопасности. к нашим насосам в то время. С тех пор мы выпустили новые модели насосов, которые взаимодействуют совершенно по-разному. В связи с растущим вниманием к кибербезопасности в индустрии медицинского оборудования сегодня мы посчитали важным, чтобы наши клиенты понимали проблемы и риски более подробно ».
Это может быть так, но то, что также произошло за последние несколько лет, - это рождение и экспоненциальный рост движения #WeAreNotWaiting DIY диабетических технологий; сегодня тысячи людей во всем мире создают свои собственные самодельные системы с обратной связью. Многие из них построены на основе именно этих старых моделей насосов Medtronic, о которых компания внезапно решила рассказать.
Medtronic заявляет, что они уже выявили 4000 прямых клиентов, которые могут использовать эти старые устройства, которые могут подвергаться риску, и будут работать со сторонними дистрибьюторами, чтобы выявить других.
Подозрительные умы могут сейчас придумать две возможные причины внезапного предупреждения:
- FDA использует это предупреждение о «потенциальном риске» как средство сдерживания растущего использования технологий DIY, которые не регулируются и не одобрены для коммерческих продаж.
- И / или Medtronic делает здесь конкурентный шахматный ход, поддерживая оповещение о кибербезопасности, чтобы отпугнуть людей от использования старых, негарантийных устройств и вместо этого подтолкнуть клиентов к переходу на более новые, «более безопасные» устройства, такие как 630G и 670G. Гибридная замкнутая система.
Всего несколько недель назад на нашем мероприятии D-Data ExChange 7 июня было сделано большое объявление о том, что Medtronic начнет работать с некоммерческой организацией Tidepool с открытым исходным кодом для создания новой версии своей инсулиновой помпы, которая будет совместима с другими продуктами и будущее приложение Tidepool Loop, разрабатываемое для Apple Store. Возможно, Medtronic надеется заложить основу для того, чтобы домашние мастера придерживались продуктов Medtronic, а не старых версий, за которые они больше не хотят нести ответственность.
Не ориентируетесь на системы DIY?
Не забывайте, что в мае 2019 года FDA выпустило предупреждение о технологиях и системах DIY, которые не соответствуют требованиям, даже если они используют одобренные FDA устройства в компонентах системы. Но агентство заявляет, что эти два предупреждения не связаны.
«Это отдельная проблема от предупреждения о технологии DIY», - поясняет Элисон Хант из Управления по связям со СМИ FDA. «Управление по санитарному надзору за качеством пищевых продуктов и медикаментов стало известно о дополнительных уязвимостях, связанных с этими насосами, которые, если рассматривать их с теми, которые были раскрыты в 2011 году, заставили нас опубликовать это сообщение по безопасности, а Medtronic опубликовать это последнее предупреждение».
Она отмечает, что в этом последнем сообщении по безопасности «специально обсуждается уязвимость кибербезопасности, когда неавторизованный человек может потенциально подключиться по беспроводной сети к находящейся поблизости инсулиновой помпе MiniMed и изменить настройки помпы, чтобы либо перегрузить инсулин пациенту, что приведет к низкому уровню сахара в крови (гипогликемия). ) или прекратить подачу инсулина, что приведет к высокому уровню сахара в крови и диабетическому кетоацидозу ».
Хант говорит, что FDA ведет постоянные обсуждения с производителями, и когда возникают проблемы, «мы быстро работаем над разработкой плана действий, включая то, как уменьшить любые уязвимости кибербезопасности и как эффективно общаться с общественностью как можно быстрее».
Хорошо, но ничто из этого не объясняет, почему в данном случае потребовались годы для решения известной проблемы кибербезопасности…?
Как отмечалось выше, многие в D-сообществе рассматривают это как попытку нацелить на технологию DIY, а также привлечь новых клиентов к новейшим технологиям Medtronic. В сообществе #WeAreNotWaiting многие критикуют недавние действия FDA - предупреждения о технологии DIY и этой старой технической кибербезопасности - как близорукие, особенно с учетом распространенности неточных показаний CGM и реальных проблем с коммерчески регулируемыми устройствами для лечения диабета. там. Один из участников #WeAreNotWaiting даже раскопался в новом отчете FDA о нежелательных явлениях, опубликованном в июне 2019 года, с анализом нежелательных явлений за последние два десятилетия и обнаружил, что только в 2018 году инсулиновые помпы Medtronic были ответственны за 11,5% всех событий.
Ого! Подсчитайте, и становится ясно, что коммерческие устройства, одобренные FDA, сами по себе имеют проблемы.
Безусловно, возможно, что это именно то, что кажется на первый взгляд: официальное признание недостатка кибербезопасности для старых технологий, которые предшествовали эпохе Bluetooth для обмена данными и удаленного мониторинга. Но почему потребовалось почти десять лет, чтобы воплотиться в реальность?
А ответ на вопрос «Почему именно сейчас?» по этому поводу остается неясным, мы знаем, что FDA на протяжении многих лет дружило с сообществом #WeAreNotWaiting. Они были готовы к открытому общению с сообществом пациентов. Мы также знаем, что у технологии DIY есть реальная ответственность и проблемы с безопасностью, и что FDA очень тщательно борется с этими потенциальными рисками. Будем надеяться, что эта тенденция сохранится.
Между тем, мы по-прежнему совершенно уверены, что никто не взламывает насосы, чтобы убивать людей. Разжигание страха никому не помогает - ни сообществу DIY, ни самим фармацевтическим компаниям.