サイバーセキュリティの懸念は、最近、無限ループに陥っているようです。民間部門と公共部門でのデータ侵害、プライバシー契約の違反、サイバー攻撃の報告が殺到している中で、何が本当に安全かを判断するのは難しい場合があります。
そして、数年前にインスリンポンプのハッキングが数回怖がった後、私たちは疑問に思わざるを得ません。2019年の糖尿病デバイス(およびそれらに含まれる情報)の安全性に関して、私たちはどこに立っているのでしょうか。
リスクがあるのは、それが現実である場合もあれば、知覚される場合もあるということです。真のリスクに取り組むことは安全につながります。知覚されたリスクに執着している間、恐れにつながります。では、ここで何が本当ですか?そして、糖尿病技術のサイバーセキュリティの懸念に対処するために正確に何が行われていますか?
医療サイバーセキュリティ標準の進歩
2018年10月、米国食品医薬品局(FDA)は、サイバーリスクを含むすべての医療機器について市販前ガイダンスを発行しました。秋の後半に、カナダ保健省は、医療技術企業が開発およびテスト段階で使用するサイバーセキュリティの推奨事項を含むガイダンスドキュメントもリリースしました。もちろん、ベンダーはガイドラインに従うことで、すでに安全なデバイスを市場に投入するのではなく、患者の使用によって市場からのリリース後に脆弱性が発見されたデバイスを目にするという考え方です。
カナダ保健省のニュースリリースによると、ガイダンス草案の医療デバイスのサイバーセキュリティに関する推奨事項には、1)ソフトウェアコンポーネントを備えたすべてのデバイスのリスク管理プロセスにサイバーセキュリティ対策を組み込む、2)企業レベルでサイバーセキュリティリスクを管理するためのフレームワークを確立する、 3)すべてのサイバーセキュリティリスク管理プロセスの検証と検証。彼らは特に、リスクと脆弱性を軽減するためのUL2900サイバーセキュリティ標準の実装などの対策を推奨しています。
バンクーバーのEmergoGroupの上級規制問題および品質保証コンサルタントであるKenPilgrimは、新しいガイダンスは、カナダだけでなく、同様のサイバーセキュリティ要件を開発している他の法域の医療機器メーカーにとっても価値があることを証明するはずだと述べました。
一方、米国では、糖尿病デバイスのサイバーセキュリティに対処するための対策が具体的に進められています。
10月下旬、Diabetes Technology Society(DTS)は、OmniPod DASHが、DTSecとして知られるDTSの「ワイヤレス糖尿病デバイスセキュリティの標準」サイバーセキュリティ保証標準およびプログラムの下で認証を取得した最初のFDA認可インスリンポンプになったと発表しました。
DTSは、糖尿病技術の使用と開発を促進する目的で、DavidKlonoff博士によって2001年に設立されました。 DTSecは本質的に、糖尿病技術のための最初の組織化されたセキュリティ標準です。 httpsのWebアドレスを見るのと同じように、一種の安全の印と考えてください。この基準は、学界、産業界、政府、および臨床センターからの研究とインプットの後に2016年に確立されました。ほとんどの規格と同様に、これはメーカーが採用と遵守を検討するための自主的なガイダンスです。
それ以来、組織はサイバーセキュリティの研究とリスク評価を推進し、会議を主催し、より詳細な保護を開発し続けています。
DTSecに続くOmniPodに関する発表が行われる数か月前の昨年6月、グループは「糖尿病管理コンテキストでのモバイルデバイスの使用」の略であるDTMoStと呼ばれる新しいセキュリティガイダンスをリリースしました。
カリフォルニア州サンマテオのミルズペニンシュラメディカルセンターにある糖尿病研究所のメディカルディレクターであるクロノフ氏によると、DTMoStガイドラインは、DTSecに基づいて構築されており、モバイルプラットフォーム。
DTMoStは、モバイルデバイス対応ソリューションの安全な運用に対する悪意のあるリモートおよびアプリベースの攻撃や「リソース不足」などの脅威を特定し、開発者、規制当局、およびその他の利害関係者にこれらのリスクの管理を支援するガイダンスを提供します。
セキュリティ対策は使用を妨げるべきではありません
今日、血糖値計、CGM、糖尿病のスマートフォンアプリはすべてインターネットに接続されている可能性があるため、ある程度のリスクがあります。
モノのインターネットの危険性についての話し合いが続いているにもかかわらず、専門家は、一般の人々に対する実際のリスクは非常に低いと警告しています。セキュリティに関して言えば、悪い人は誰かの血糖値データにそれほど興味がありません(銀行口座のパスワードと比較して)。
とはいえ、脅威の予防策として、またユーザーや顧客の基本的なセキュリティを確保するために、サイバーセキュリティへの投資が必要です。
ただし、サイバーセキュリティ対策を実装すると、システムを意図した方法でデータ共有に使用することが非常に困難または不可能になる場合があるという欠点があります。方程式の秘訣は、意図された人々による操作とアクセスの能力を制限することではありません。
そしてプライバシーはどうですか?プライバシーを優先すると言われている一方で、同意、スクロール、初期化、署名、情報やデータへのアクセスの許可など、実際の考えや懸念がほとんどないという矛盾した行動をしているように見えることが何度もあります。実のところ、私たち消費者は通常、プライバシーポリシーを注意深く読んでいません。 「次へ」ボタンを押すだけです。
恐怖と恐怖を相殺する
業界の多くの人々は、サイバーセキュリティのマイナス面に警告を発しています。それは、執着にとらわれ、研究を妨害し、最終的には人命を犠牲にする恐れに焦点を当てることです。これらは、サイバーワールドと私たちの糖尿病デバイスがリスクにさらされていることを認識しているが、過剰反応は潜在的により危険であると感じている人々です。
「「デバイスのサイバーセキュリティ」の問題全体は、それに値するよりもはるかに注目を集めています」と、 diaTribe との作者 輝点と地雷:糖尿病ガイド誰かが私に手渡してくれたらいいのに。 「私たちは企業が彼らよりも速く動く必要があり、サイバーセキュリティは不必要な恐れを引き起こす可能性があります。その間、人々はデータも接続性も自動化もサポートもなしでそれを手に入れています。」
Tidepool、D-DadのCEOであり、#WeAreNotWaiting運動の背後にある主要な力であるハワード・ルックは、問題の両面を見ていますが、医学の進歩の速度のチェックを恐れるブラウンや他の業界の専門家に同意します。
「確かに、デバイス企業(Tidepoolなどの医療機器企業としてのソフトウェアを含む)は、サイバーセキュリティを非常に真剣に受け止めなければなりません」とLook氏は言います。 「私たちは確かに、人々に害を及ぼす可能性のあるデバイスやアプリへの大規模な攻撃のリスクがある状況を作りたくありません。しかし、コンピューターの画面に髑髏と骨が付いた「パーカーのハッカー」の写真は、何が問題になっているのかを本当に理解していない人々を怖がらせるだけです。それは彼らが怖がっているので、デバイス会社を遅くします。それは彼らが正しいことを理解するのに役立ちません。」ルックは、サイバー危険を主張する不気味な画像を含む糖尿病医療会議で示されたパワーポイントのスライドを参照していました。
人気が高まっているOpenAPSとLoopの日曜大工の閉ループシステムは、技術的には、これらのポンプのワイヤレスリモートコントロールを可能にする古いメドトロニックポンプの「脆弱性」に基づいています。ポンプをハッキングするには、シリアル番号を知っている必要があり、20秒間ポンプの近くにいる必要があります。 「それがあなたのやりたいことなら、誰かを殺すもっと簡単な方法があります」とルックは言います。
多くの人が、この提案されたセキュリティの「脆弱性」は、理論的には恐ろしいことですが、何千人もの人々がOpenAPSとLoopを実行できるようになり、命を救い、使用している人々の生活の質と公衆衛生を改善できるため、大きなメリットであると主張しています。それら。
リスクへの測定されたアプローチ
DTSなどの組織は重要な仕事をしています。デバイスのセキュリティが重要です。そして、このトピックに関する研究と会議のプレゼンテーションは業界の常識です。糖尿病技術とサイバーセキュリティは、今月後半にベルリンで開催される第12回糖尿病の先端技術と治療に関する国際会議(ATTD 2019)のいくつかの要素の焦点となります。しかし、これらの真実は、人々がより安価でより優れたツールを必要としているという現実と並んで存在し続けており、私たちはそれらを迅速に必要としています。
「優れたデバイスの特徴は、完璧ではなく継続的な改善です」とブラウン氏は言います。 「これには、接続性、相互運用性、およびリモートソフトウェアの更新が必要です。」
デバイスはリスクにさらされていますが、専門家は、一般的に非常に安全で安全であることに同意しているようです。 2019年以降、コンセンサスは、サイバーリスクに注意を払うことは重要ですが、そのリスクはしばしば過大評価されており、高度な糖尿病ツールを持たないことによる健康リスクに対して見劣りする可能性があるということです。