Insulien pomp inbraak risiko in ANIMAS onetouch ping? (Don `t worry)

Nuus is kolk oor vars tekens dat die Animas OneTouch Ping insulien pomp is `n risiko vir inbraak, met die vervaardiger uitreiking van `n gerusstellende brief aan pasiënte wat wenke oor die vermindering van die cyber risiko sluit.

Op Dinsdag 4 Oktober, JNJ besit Animas uitgereik `n cyber waarskuwing aan gebruikers van die OneTouch Ping, wat sedert 2008 beskikbaar is en kommunikeer met `n glukose meter vir afgeleë bolusing.

JNJ sê dit ontdek `n potensiële fout gebaseer op `n wenk van goed knowncybersecurity deskundige Jay Radcliffe, wat saam met T1D en het `n naam vir homself deur bloot inbraak risiko`s in Medtronic pompe `n paar jaar gelede. Hy gekontak die maatskappy in April te sê hy was `n manier vir iemand om ongemagtigde toegang tot die pomp potensieel kry deur middel van sy ongeënkripteerde radiofrekwensie kommunikasie stelsel het ontdek.

Hulle het gesamentlik is die ondersoek van die saak sedert, het die FDA andDepartment van Binnelandse Veiligheid in kennis gestel, en nou ses monthslater, is gereed om die kwessie in die openbaar bekend met besonderhede oor hoe om dit te bekamp.

Natuurlik, hoofstroom media opgetel op die storie vinnig, maar nie heeltemal tot op die vlak van waansin wat ons gesien het in die verlede. Mediese toestel inbraak altyd maak vir sappige nuus, en is `n plot lyn in gewilde TV-programme soos die swartlys `n paar jaar gelede.

In hierdie geval, Animas sê die risiko is baie laag en dat daar geen bewyse bestaan ​​van iemand eintlik inbraak in die toestel. In plaas daarvan, is dit `n "zero dag" gebeurtenis waarin die maatskappy is verplig om die kwesbaarheid blootstel vir deursigtigheid op die potensiaal risiko en aanbod fixes.

Om duidelik te wees, het ons by die `myn dink nie dit is veral dreigend. Eerlik, ons is meer geneig om te sien `n Samsung Note 7 selfoon battery ontplof nabygeleë as iemand sien hak in `n insulien pomp om leed aan te doen.

Maar in elk geval, veiligheid van ons toestelle geneem moet word seriously- dit is `n belangrike onderwerp waarop FDA is nou oorweeg finale leiding vir vervaardigers selfs as ons praat (na aanleiding van `tydperk vir openbare kommentaar vroeër vanjaar oor die ontwerp van leiding).

Nou, die Animas pomp word die nuutste toestel na rooi vlae in te samel oor die moontlike gevare ...

Animas Verduidelik die Uitgawe

Vroeër hierdie week, JNJ georganiseerde `n conference call met `n klein aantal van diabetes media en advokate om hierdie saak te bespreek. Op daardie oproep was JNJ se Hoof Mediese Beampte Dr. Brian Levy en vise-president van Informasiesekuriteit Marene Allison.

Hulle het verduidelik dat JNJ het `n webwerf in April vir pasiënte oor die potensiaal cyber kommer, wat gekoppel is aan die FDA leiding en het na 18 maande van bespreking tussen die vervaardiger, die FDA se cyber Afdeling en die Departement van Binnelandse Veiligheid.

Kort nadat die opstel van die webwerf, ontvang hulle woord uit Radcliffe oor hierdie spesifieke sekuriteit fout in die Animas Ping - spesifiek dat die ongecodeerde radiofrekwensie gebruik word om afgeleë kommunikasie tussen die pomp en meter in staat te stel kan potensieel gepeuter word, sodat iemand om insulien te lewer van so ver as 25 voet weg (Radcliffe het die tegniese besonderhede oor hierdie Rapid7 info sekuriteit webwerf gepubliseer word nie).

JJ Animas beklemtoon dat niemand die OneTouch Ping.Rather het gekap, Radcliffe het sy toets in `n "beheerde omgewing" net om te bewys dat hy kon hack in die toestel en in doingso, blootgestel die potensiële risiko.

Die maatskappy woordvoerders het verduidelik dat hulle besluit het `n update vir die meter remote `n groot deel as gevolg van die baie lae risiko, en die feit dat die risiko kan verminder word met `n paar maklike stappe uit te reik nie. A "pleister fix" is blykbaar nie moontlik gegewe die radio frekwensie gebruik, as dit die huidige stelsels onbruikbaar sou lewer.

Die brief van die maatskappy gestuur om 114,000 Ping pasiënte en hul dokters in die VSA en Kanada aangebied hierdie raad aan diegene betrokke:

Stel Vibrating Alert: Skakel die vibrasie funksie voorskyn insulien pomp, wat `n gebruiker wat `n bolus dosis beingstarted deur die meter afgeleë sal in kennis stel. Dit gee die gebruiker die opsie om ongewenste bolus cancelany, en natuurlik is dit slegs moontlik om basicbolus en basale instellings te verander van die pomp self.

Kyk Insulien Geskiedenis: Animasurges Ping gebruikers oortjies op die insulien geskiedenis rekords binne thepump hou. Elke insulien aflewering bedrag, of dit nou veroorsaak deur themeter of die pomp, is opgeteken in die geskiedenis en kan hersien word forany kommer.

Skakel Meter Remote Kenmerk: Dit wil natuurlik stop die radio frekwensie kommunikasie tussen die One Touch Ping meter en die insulien pomp, wat beteken dat gebruikers sal nie in staat wees om bloedsuiker resultate op hul pomp sien of gebruik die meter te bolus dosering te beheer. In plaas daarvan, sal gebruikers moet met die hand insleutel BGS op die pomp en bolus van daardie toestel.

Limiet Bolus Bedrae: Vir diegene wat wil om voort te gaan met behulp van die meter vir afgeleë bolusing, kan jy die instellings van die pomp se gebruik om die maksimum bolus bedrag, die afgelewer binne die eerste twee uur bedrag, en die totale daaglikse dosis van insulien te beperk. Enige poging om oorskry of ignoreer diegene instellings sal `n pomp alarm aktiveer en bolus insulien aflewering te voorkom.

Ons waardeer Animas neem maatreëls om vrese te kalmeer en bied goeie wenke vir diegene wat dalk bekommerd wees. Tog, dit is vreemd dat dit het vyf jaar om hierdie swakheid in die Ping stelsel gegee dat `n soortgelyke probleem vorendag gekom terug in 2011 met `n mededinger pomp ontdek.

Animas sê dit is nie `n probleem vir die huidige Animas Vibe stelsel wat kommunikeer met die Dexcom CGM, want dit beteken nie dieselfde funksie-RF-enabled sodat die meter insluit en pomp om mekaar te praat. Maar natuurlik het die maatskappy sê hy beplan om "te bou cyber in toekomstige toestelle" as dit beweeg vorentoe met sy produk pyplyn.

Cyber ​​hacker sê ...

Vir diegene wat nog nie voorheen gehoor naam Jay Radcliffe se, hy prominent op die cyber front vir `n paar jaar nou. Gediagnoseer met T1D op die ouderdom van 22, het hy eerste opslae gemaak in 2011 wanneer inbraak n Medtronic pomp en die vrystelling van sy bevindinge oor die potensiaal foute - ook met betrekking tot die afgeleë bolusing funksie - `n leidende hacker konferensie.

Dan in `n interessante wending, hy kragte saamgesnoer met die FDA `n konsultant op mediese cyber kwessies geword. En hy nou werk vir cyber firma Rapid7 sedert vroeg in 2014.

Ons het na hom oor hierdie jongste Animascybersecurity ontdekking.

Hierdie keer is anders as die Medtronic situasie, Radcliffe sê vir ons, in die sin dat hy `n kans om te werk met Animas direk voor die onthulling van die saak in die openbaar het. Hierdie keer het die openbare vrystelling was die regte tyd in samewerking met kennisgewing die maatskappy se verbruikers oor hoe om hulself te beskerm.

Hy sê dit is betekenisvol dat dit die eerste keer dat `n groot vervaardiger mediese toestel het proaktief `n waarskuwing oor die potensiaal rekenaar sekuriteit foute in `n verbruiker produk uitgereik - selfs wanneer daar geen verwante newe-effekte is aangemeld deur kliënte.

Hy is tevrede met Animas `reaksie, sê hy, en is nie eintlik té bekommerd oor hoe veilig die OneTouch Ping is vir PWDs.

"Dit is nie volmaak nie, maar niks is," Radcliffe het in `n e-pos aan DiabetesMine. "As enige van mychildren diabeet geword en die mediese personeel aanbeveel om themon `n pomp, sal ek nie huiwer om hulle ona OneTouch Ping sit."

Vir die toekoms, hoop hy sy ontdekking en gevolglike werk met die verkoper hoogtepunte hoekom dit belangrik is vir PWDs om geduldig te wees terwyl vervaardigers, reguleerders en navorsers ten volle hierdie hoogs komplekse toestelle te verken.

"Ons het almal wantthe beste tegnologie dadelik, maar gedoen in `n roekelose, lukraak wayputs die hele proses weer vir almal," het hy vertel.

Open-source Fallout?

Dit is fassinerend gewees om die gesprek draai kyk na open-source aspekte van diabetes toestelle soos dit betrekking het op hierdie Animas cyber risiko.

Sommige opined dat dit `n bedekte poging deur Animas om open-source projekte soos Nightscout en #OpenAPS diskrediteer as riskant pogings gebaseer op ongeënkripteerde kommunikasie. Ander het gewonder of dit was meer `n slenter deur Animas om oënskynlik gooi sy hande en sê, "Hey, D-toestel hackers en OpenAPS skeppers - jy kan ons pompe gebruik en nie net dié van Medtronic"

Nog ander in die open-source wêreld het daarop gewys dat hierdie vermoë om die afgeleë bolusing funksie te gebruik deur ongeënkripteerde kommunikasie is `n bekende probleem dat min gevaar blootstel nie, maar in werklikheid oopmaak allerlei moontlikhede vir nuwe D-tegnologie innovasies.

"Nuus oor `kwesbaarhede` kan vreesaanjaend wees, maar die werklikheid isthat in staat is om data en beheer pompe lees het anincredible ekosisteem van innovasie bevorder," sê D-Pa Howard Kyk, uitvoerende hoof van die nie-winsgewende Tidepool dit is die skep van `n oop platform vir diabetes data en programme.

"Ons moet soek na maniere om meer van dit te doen. En thisinnovation het terapie gemaak meer veilige en doeltreffende. Toestel makers canmake hul data-beheer protokolle beskikbaar in veilige maniere wat donot onderdruk innovasie. Dit is nie wedersyds uitsluitend doelwitte te bereik. "

Kyk, sê dit gaan nie oor open source, maar eerder aboutbalancing van die risiko van `n oop data en beheer protokolle met thebenefit van laat innovasie van die gemeenskap - of van buite thewalls van spesifieke toestel-makers.

Sommige in die pasiënt en open-source gemeenskap is bekommerd dat hierdie scary nuus makers toestel en reguleerders kan stoot om te dink die enigste manier om toestelle te beveilig is om beheer protokolle wegneem. Maar dit moet nie die geval wees.

"Ja, maak hulle veilig in jou toekoms toestelle, maar selfs opencommunications protokolle (wat baie moeilik om te ontgin is, soos dit is) is beter as niks," sê Look. "Hulle stel `n lewendige ekosisteem van innovationthat ons moet stimuleer en aan te moedig."

Evaluering Medical Device cyber

Natuurlik, cyber in mediese toestelle is `n steeds warmer onderwerp wat ondersoek word deur baie kenners en organisasies.

In Mei 2016, die Kalifornië-gebaseerde Diabetes Technology Society aangekondig dat sy DTSec (DTS CybersecurityStandard vir Connected Diabetes toestelle projek), wat gemaak is met die ondersteuning van die FDA, NIH, Dept. van Binnelandse Veiligheid, NASA, die Amerikaanse Lugmag en die Nasionale Instituut van Standaarde en Tegnologie! Dit was in die werke vir ongeveer `n jaar, en is nou aan die gang.

DTS leier dr David Klonoff, `n Kalifornië endokrinoloog en mediese direkteur van die Diabetes Research Institute by die Mills-Skiereiland Gesondheidsdienste fasiliteit, sê die organisasie is nou die werwing van vervaardigers toestel aan te neem en hul produkte geëvalueer met behulp van die nuwe DTSec standaard. Hy sê die groep se belang in gesprekke met "verskeie rolspelers in die bedryf," en hulle verwag om te sien vervaardigers ondertekening op baie gou.

Tot dusver het Animas geen belangstelling in die ondersteuning van die nuwe DTS cyber standaard erken. In plaas daarvan, het die maatskappy besluit om sy probleem op te neem op intern in samewerking met die FDA.

Maar met FDA reguleerders agter die nuwe standaard, lyk dit net `n kwessie van tyd voordat maatskappye sal verplig wees om te voldoen.

Klonoff dink hulle sal wees, gebaseer op drie belangrike faktore:

1. DTS gewerk met die FDA op die skep van die DTSec standaard, gee dit waar regulerende geloofwaardigheid
2. Maatskappye sal voel dit is `n mededingende advantageto show hulle het `n goeie cyber. Dit laat hulle toe om te dokumenteer wat ...
3. Die maatskappye wat uithou kon uiteindelik bepotentially aanspreeklik, hetsy vir regulatoriese boetes of potensiële litigasie ifthere is ooit `n cyber saak teen hulle; as hulle nie volgende thisDTSec standaard, kan dit moeiliker tomake `n eis dat hulle niks verkeerd gedoen het nie wees nie.

"Ek doen dit verwag om te vang op, en terwyl ons praat toseveral Amerikaanse toestel makers, is ons ook besig om hierdie internasionale maak," sê Klonoff.

Met betrekking tot die spesifieke Animas cyber kwessie, Klonoff sayshe glo dit is `n gevallestudie oor hoe hierdie potensiële probleme handledfrom alle kante moet wees. Hy geprys JJ vir "die hantering van hierdie verantwoordelik" deur te werk met FDA andRadcliffe, en deur die aanbied van middels wat die probleem kan aanspreek.

"Dit is hoe dit gedoen moet word, in plaas van die skep van fearwithout enige fixes vir die pasiënt gemeenskap of blaas dit uit verband geruk," het Klonoff. "Dit is hoe FDA wil hierdie cyber probleme te wees handled.Everyone het die reg verslagdoening en analise hier, en dit wys daar is hopefor cyber. Dit is `n cyber storie dat `n goeie einde het. "

Ons hoop seker so.