Ja sekojat produktu drošības paziņojumiem vai jaunākajiem medicīnas virsrakstiem, iespējams, esat dzirdējuši, ka vecāki Medtronic insulīna sūkņi tiek dēvēti par nedrošiem un neaizsargātiem pret kiberuzbrukumiem.
Jā, FDA un Medtronic abi ir izdevuši lauka drošības paziņojumus par vecākiem Revel un Paradigm sērijas sūkņiem, ierīcēm, kuras dažos gadījumos tagad ir no desmit gadiem līdz gandrīz 20 gadiem. Šeit ir FDA paziņojums un pacienta vēstule no pašas Medtronic.
Ietekmētās ierīces ietver: Minimed 508 (pirmo reizi izlaists 1999. gadā), Paradigm modeļus (511, 512/712, 515/715, 522/722 un vecākas 523/723 versijas), kā arī vecāko Minimed Paradigm Veo versijas tiek pārdotas ārpus ASV
Nav panikas iemesla
Pirms kāds uzzina par insulīna sūkņa drošību, būsim skaidrs, ka gan FDA, gan Medtronic apstiprina, ka ir bijuši NULL ziņojumi par jebkāda veida manipulācijām ar šiem sūkņiem. Neskatoties uz sensacionālajiem virsrakstiem, briesmīgs scenārijs, kurā daži ļaundari kiberhackeri pārprogrammē kāda sūkni, lai tas piegādātu pārāk daudz insulīna, paliek lopbarība TV vai filmu sižetiem. Kaut arī kaut kas tāds teorētiski var būt iespējams, reālais risks, visticamāk, ir kļūdains CGM sensora nolasījums, kas mudina sūkni šajos vecākajos modeļos piegādāt pārāk daudz vai pārāk maz insulīna.
FDA oficiālais paziņojums ir vienkārši aģentūra, kas dara savu darbu, brīdinot cilvēkus par iespējamām iespējamām briesmām. Tas ir vēl viens “nulles dienas” notikums - piemēram, brīdinājums, kas tika izsniegts Animas insulīna sūkņiem jau 2016. gadā - kurā ražotājs ir spiests atklāt ievainojamību, kas varēja radīt risku.
Vēl svarīgāk ir tas, ka šī nav jauna attīstība. Uzskats, ka Medtronic sūkņi ir neaizsargāti, ir publisks kopš 2011. gada, kad galvenie mediji ziņoja, ka hakeris “white hat” Džejs Radklifs ir paspējis ielauzties insulīna sūkņa kodā, un vispārizglītojošie plašsaziņas līdzekļi ir pa visu. Pat divi toreizējie Kongresa locekļi bija nokļuvuši ažiotāžā, un nākamajos gados tas un ar to saistītie kiberdrošības jautājumi ir izplatījušies, kad FDA un federālā valdība izstrādāja vadlīnijas un protokolus iespējamām kiberdrošības problēmām medicīnas tehnoloģijās.
Nav tradicionāls atsaukums
Neskatoties uz ziņojumiem galvenajos medijos, Medtronic ar mums apstiprina, ka tas nav tradicionāls produktu atsaukums. “Šis ir tikai drošības paziņojums. Ietekmētos sūkņus šī paziņojuma dēļ nav nepieciešams atdot, ”saka Pam Reese, Medtronic Diabetes globālās komunikācijas un korporatīvā mārketinga direktors.
Viņa mums saka, ka cilvēki, kas izmanto šos vecākos sūkņus, joprojām var pasūtīt preces no Medtronic un pie izplatītājiem.
Ko jums vajadzētu darīt, ja jums ir kāds no triecieniem pakļautajiem sūkņiem?
“Mēs iesakām runāt ar savu veselības aprūpes sniedzēju, lai apspriestu kiberdrošības jautājumu un darbības, kuras varat veikt, lai sevi pasargātu. Tikmēr īpašas instrukcijas ir turēt insulīna sūkni un ierīces, kas ir pievienotas jūsu sūknim, visu laiku kontrolēt, nevis dalīties ar sūkņa sērijas numuru nevienam, ”stāsta Reese.
Kāpēc tagad izdot brīdinājumu?
Tas ir lielais jautājums daudziem pacientu kopienu prātiem.
Ja Medtronic un FDA par šo ievainojamību ir zinājuši astoņus pilnus gadus, un tagad visi šie vecākās paaudzes Minimed insulīna sūkņi faktiski tiek pārtraukti un ārpus jauniem klientiem valstīs tiek pārdoti ārpus tirgus, kas šajā brīdī pamudināja brīdināt ?
Medtronic Reese saka: “Tā ir bijusi nepārtraukta saruna, jo kiberdrošības aizsardzība nepārtraukti attīstās, jo tehnoloģija turpina strauji pilnveidoties un savienotajām ierīcēm ir jāpaliek šajā tempā ... Mēs par to uzzinājām 2011. gada beigās, un mēs sākām ieviest drošības jauninājumus mūsu pumpām tajā laikā. Kopš tā laika mēs esam izlaiduši jaunākus sūkņu modeļus, kas sazinās pilnīgi citādi. Mūsdienās medicīnas ierīču nozarē arvien lielāka uzmanība tiek pievērsta kiberdrošībai, mēs uzskatījām, ka mūsu klientiem ir svarīgi detalizētāk izprast jautājumus un riskus. ”
Tas var būt, bet pēdējos gados ir noticis arī diabēta tehnoloģiju kustības #WeAreNotWaiting DIY diabēta dzimšana un eksponenciālais pieaugums; šodien tūkstošiem cilvēku visā pasaulē veido paštaisītas, slēgtas cilpas sistēmas. Daudzi no tiem tiek būvēti, pamatojoties uz šiem tieši vecākiem Medtronic sūkņu modeļiem, par kuriem uzņēmums pēkšņi ir nolēmis izteikties.
Medtronic saka, ka viņi jau ir identificējuši 4000 tiešos klientus, kuri, iespējams, izmanto šīs vecākās ierīces, kuras, iespējams, ir pakļautas riskam, un sadarbosies ar trešo pušu izplatītājiem, lai identificētu citus.
Aizdomīgi prāti tagad var iedomāties divus iespējamos pēkšņa brīdinājuma iemeslus:
- FDA izmanto šo "iespējamā riska" brīdinājumu kā līdzekli, lai ierobežotu pieaugošo DIY tehnoloģijas izmantošanu, kas nav reglamentēta vai apstiprināta komerciālai pārdošanai.
- Un / vai Medtronic šeit izdara konkurētspējīgu šaha soli, atbalstot kiberdrošības brīdinājumu, lai atbaidītu cilvēkus no vecāku, ārpus garantijas esošu ierīču izmantošanas un tā vietā mudinātu klientus jaunināt tās uz jaunākām, “drošākām” ierīcēm, piemēram, 630G un 670G. Hibrīda slēgtās cilpas sistēma.
Tikai pirms dažām nedēļām mūsu D-Data ExChange pasākumā 7. jūnijā tika izskanējis liels paziņojums, ka Medtronic sāks strādāt ar atvērtā koda bezpeļņas Tidepool, lai izveidotu jaunu sava insulīna sūkņa versiju, kas būs savietojama ar citiem produktiem un ar topošā Tidepool Loop lietotne, kas tiek izstrādāta Apple Store. Iespējams, ka Medtronic cer likt pamatus pašmāju pielipšanai Medtronic produktiem, tikai ne vecākajām versijām, par kurām viņi vairs nevēlas būt atbildīgi.
Nav mērķauditorija pēc DIY sistēmām?
Neaizmirstiet, ka 2019. gada maijā FDA izdeva brīdinājumu par DIY tehnoloģiju un sistēmām, kas ir “ārpus marķējuma”, pat ja sistēmas komponentēs tās izmanto FDA dzēstas ierīces. Bet aģentūra saka, ka šie divi brīdinājumi nav saistīti.
"Šis ir atsevišķs jautājums no brīdinājuma par DIY tehnoloģiju," skaidro Alisons Hants FDA Mediju lietu birojā. "FDA tika informēta par papildu ievainojamībām, kas saistītas ar šiem sūkņiem, kas, ņemot vērā 2011. gadā atklātos, lika mums izdot šo drošības paziņojumu un Medtronic izdot šo jaunāko brīdinājumu."
Viņa norāda, ka šajā jaunākajā drošības paziņojumā “īpaši tiek apspriesta kiberdrošības neaizsargātība, kur nepiederoša persona, iespējams, bez vadiem var pieslēgties tuvumā esošajam MiniMed insulīna sūknim un mainīt sūkņa iestatījumus, vai nu pacientam pārmērīgi piegādājot insulīnu, kā rezultātā pazeminās cukura līmenis asinīs (hipoglikēmija ) vai pārtrauc insulīna piegādi, izraisot paaugstinātu cukura līmeni asinīs un diabētisko ketoacidozi. ”
Hants saka, ka FDA turpina diskusijas ar ražotājiem, un, kad rodas bažas, "mēs ātri strādājam, lai izstrādātu rīcības plānu, kurā būtu norādīts, kā mazināt kiberdrošības ievainojamību un kā pēc iespējas ātrāk efektīvi sazināties ar sabiedrību."
Labi, bet nekas no tā precīzi nepaskaidro, kāpēc šajā gadījumā zināmu kiberdrošības problēmu risināšana prasīja gadus ...
Kā minēts iepriekš, daudzi D kopienas pārstāvji to uzskata par mēģinājumu orientēties uz DIY tehnoloģiju, kā arī piesaistīt jaunus klientus jaunākajai Medtronic tehnoloģijai. #WeAreNotWaiting kopienā daudzi kritizēja nesenās FDA darbības - brīdinājumus par DIY tehnoloģiju un šo vecāko tehnoloģiju kiberdrošību - kā tuvredzīgu, īpaši ņemot vērā neprecīzu CGM rādījumu izplatību un reālās dzīves problēmas ar komerciāli regulētām diabēta ierīcēm tur ārā. Viens #WeAreNotWaiting dalībnieks pat iegrima jaunajā FDA ziņojumā par nevēlamiem notikumiem, kas tika izdots 2019. gada jūnijā, aplūkojot pēdējās divas desmitgades nelabvēlīgos notikumus, un atklāja, ka tikai 2018. gadā tikai 11,5% no visiem notikumiem izraisīja Medtronic insulīna sūkņi.
Akā! Veiciet matemātiku, un ir skaidrs, ka komerciālām ierīcēm, kuras FDA ir iztīrījusi, ir problēmas pašas par sevi.
Noteikti ir iespējams, ka tieši tas, šķiet, ir nominālvērtība: oficiāla kiberdrošības trūkuma oficiāla atzīšana vecajai tehnoloģijai, kas notika pirms datu koplietošanas un attālās uzraudzības Bluetooth laikmeta. Bet kāpēc vajadzēja gandrīz desmit gadus, lai īstenotos faktiskajās darbībās?
Kaut arī atbilde uz “Kāpēc tagad?” par to joprojām nav skaidrs, mēs zinām, ka FDA gadu gaitā ir bijusi draudzene #WeAreNotWaiting kopienai. Viņi ir uzņēmīgi pret atklātu saziņu ar pacientu kopienu. Mēs arī zinām, ka ar DIY tehnoloģiju pastāv reālas atbildības un drošības problēmas un ka FDA ir ļoti izmērīta, novēršot šos iespējamos riskus. Cerēsim, ka šī tendence turpināsies.
Tikmēr mēs joprojām esam diezgan pārliecināti, ka neviens nedomā sūkņus, lai nogalinātu cilvēkus. Baiļu izplatīšana nepalīdz nevienam - ne DIY kopienai, ne pašiem Pharma uzņēmumiem.
