Se på tilbakeslag på insulinpump hacking og sikkerhet

Når insulinpumpens hackingshistorie først brøt for to uker siden, så vi det hovedsakelig som en publisitetsstunt. Men det har hatt noen interessante konsekvenser. Spesielt har to kongressledere styrket seg og bedt om at Regjeringens ansvarskontor (GAO) gjennomgår Federal Communications Commissions tilnærming til medisinsk utstyr med trådløse evner for å sikre at enhetene er "sikre, pålitelige og sikre." Vel, det virker som gode nyheter …

Skrogabaloo var nok for oppstarteren Jay Radcliffe, datasikkerhetsekspert og type 1 PWD, for å holde et oppfølgingswebinar sist torsdag. Nedenfor er en oppsummering av Allisons notater fra den hendelsen:

* Som i går i fjor har produsenten av pumpen Jay innhøstet blitt avslørt for å være Medtronic Minimed.

* Hans resonnement og motivasjon for å gjøre hack? Jay hevder at han var inspirert av historien om to menn som hacket inn i en bypark i 999 meter i San Francisco for noen år siden. Byen ble tvunget til å revurdere sikkerhetsforanstaltninger for målere. Jay hadde tilsynelatende "det samme i tankene" da han hakket inn i sin egen insulinpumpe. Han sier at han ønsket å hjelpe selskapene ved å vise sine "sikkerhetsproblemer".

* Reaksjoner på Jays opprinnelige presentasjon har spilt gamuten, men det mest fortellende til Jay så langt var det fra Medtronic selv. Selskapet avviste i stor grad ideen om mulige farer. Derfor bestemte Jay seg for å bli offentlig med produsentens navn, sier han. "Blowing me off er ikke et etisk svar."

Resultatet av dette er at han ser ut til å være litt pissemessig med selskapet - eller i det minste en "sier han, sier hun" situasjonen der sannheten sannsynligvis ligger et sted mellom:

* Jay forklarer: "Electronic Frontier Foundation, og jeg jobbet mye med dette problemet. Ofte i sikkerhetssamfunnet vil vi løse et problem uten å kontakte en leverandør. Bedrifter som ikke er gjeldende med sikkerhet problemer vil ofte forsøke å forhindre at forskningen kommer frem i lyset. Det er enkelt å begrave legitim forskning fra en person i et fjell av juridisk papirarbeid. Svaret på det er etisk avsløring … Vanligvis er selskapet takknemlig for denne gesturen, og fikserer problem uten å ha offentlig kontroll eller press for å rush ting. Noen gjør det ikke. "

* Jay plukket fra hverandre Medtronic reaksjon, punkt for punkt:

Medtronic sier:" Informasjonssikkerhet for enheter … er en integrert del av selve stoffet av våre produktdesignprosesser. "

Jay sier:" Dette er tydelig ikke tilfelle ", som han fant i hackingen hans, var det" ingen autentisering eller kryptering brukt "og at han offentlig viste i Vegas at

er sårbarheter.

Medtronic sier: "Takket være (vår) informasjonssikkerhetstiltak, tror vi sterkt at det ville være ekstremt vanskelig for en tredjepart å trådløst tukle med insulinpumpen."

Jay sier: "Det er ingen sikkerhetstiltak. Det er ikke sikkerhet å behøve serienummeret til enheten." Han hevder at det ville være ganske enkelt for enhver hacker å utarbeide hva det seks-sifrede serienummeret er for en insulinpumpe. (Vi er ikke sikre på hvordan …?)

Medtronic sier: "Etter vår kunnskap har det aldri vært en eneste rapportert hendelse av trådløs manipulering utenfor kontrollerte laboratorieeksperimenter på mer enn 30 år med bruk av apparattelemetri, som inkluderer millioner av enheter over hele verden. "

Jay sier:" Inntil nå. " Det er åpenbart at det bare er fordi ingen har tenkt

å hacke inn i en insulinpumpe. Men bare fordi ingen aldri har tenkt på å gjøre det ennå, betyr det ikke at noen vil vil. (Gikk vi ville være enige der: Å krysse fingrene er ikke mye av et sikkerhetsmål.)

Medtronic sier: "Han … TURNED ON den trådløse funksjonen og hadde tilgang til spesialisert utstyr … du kan fjerne enhver usikkerhet ved å slå AV trådløs kommunikasjon på enheten din."

Jay sier: " dette er flatt ut ikke sant "og at den trådløse evnen til en insulinpumpe ikke kan slås av. Dette var grunnen til at han kunne endre innstillinger eller konfigurasjoner på enheten. I tillegg har han kvalifisert seg med etiketten "spesialutstyr", og sa at han brukte sin

Carelink USB-enhet. Selv om han ikke ga trinnvise instruksjoner på

hvordan

han brukte dette utstyret, utførte Jay hele hack på scenen i Las Vegas i det han sier var "omtrent et minutt." ! --2 ->

Jay hevder også at han jobbet med Institutt for Homeland Security for å kontakte Medtronics konserns kontor og forlot meldinger der 10. august.

Selvfølgelig måtte vi se litt dypere inn i andre siden av historien. Her er hvordan Medtronic reagerte på våre henvendelser:

John Mastrototaro, Medtronics VP for forskning og utvikling, fortalte oss i en telefonsamtale den 26. august at han nettopp hadde snakket med Institutt for Homeland Security i "en uformell diskusjon for å følg opp til de påstandene som Jay gjorde. " Han sier at dette var hans første samtale med DHS, og han var ikke klar over at de forsøkte å kontakte Medtronic på dette problemet tidligere.

Spesielt sier han: "Det er noe sikkerhet og godkjenning i produktet. Men det er ikke kryptering. De har to forskjellige betydninger for disse sikkerhetseksperter." Han reiterte at deres "primære sikkerhetsmetode" er i hemmelighold av det sekssifrede serienummeret, plassert på baksiden av en insulinpumpe. En annen reaksjonspost på selskapets blogg som gikk opp fredag, uttalte: "Vi anbefaler at du beskytter serienummeret til pumpen din, slik du vil ha ditt personnummer, passord og annen viktig personlig informasjon." Hmmm.

John sa også: "En utfordring for oss som en organisasjon er at vi må gjøre avveier om hvor vi skal sette våre forskningsdollar og hvilke problemer vi skal løse.Vi har vært veldig fokusert på kunstig bukspyttkjertelprosjekt … Våre nye plattformer vil ha den nyeste krypteringsteknologien til disse enhetene. Å forsøke å holde seg langt foran ballen er veldig vanskelig. Det kan ta 5-7 år for ny teknologi å komme seg ut. Det kommer alltid til å være en potensiell risiko for at det er en utvikling av teknologien som kommer lenger foran produktene. Vår tilnærming har definitivt vært proaktiv og seriøs, selv om det er en ekstern risiko som Jay har sagt. Vi ønsker å innlemme løsninger på våre fremtidige iterasjoner av produkt, slik at vi gjør det vanskeligere for denne typen ting å skje. "

En interessant faktor er at sikkerheten i Paradigm insulinpumpe er 12-14 år gammel. "Dette ble opprettet før 9./11, før det ble skadelig hensikt virkelig - når du pleide å kunne ta en vannflaske på flyet, sier John. Tolv til 14 år? Har ikke nok nye insulinpumper kommet ut siden da de kunne ha gjort en

liten oppgradering på sikkerhet? Vi innrømmer at sannsynligheten for hacking virker ganske lav. Men fortsatt mer enn et tiår og < nei sikkerhetsoppgraderinger?

De to kongressmedlemmene går inn i slottet, er Reps. Anna Eshoo i California og Edward Markey of Massachusetts, begge demokrater. I deres brev til Government Accountability Office (GAO), de ber om en rapport om i hvilken grad FCC er:

Identifisering av utfordringene og risikoen som følge av spredning av medisinske implantater og andre enheter som benytter seg av bredbånds- og trådløs teknologi.

Ta skritt for å forbedre effektiviteten av reguleringsprosessene som gjelder for bredbånd og trådløst aktivert medisinsk utstyr.

1. Sikring av trådløst aktivert medisinsk utstyr vil ikke forårsake skadelig interferens med annet utstyr.
2. Overvåke slike enheter for å sikre at de er sikre, pålitelige og sikre.
3. Koordinerer sin virksomhet med Food and Drug Administration. "
5. De skriver også:" Ved å fremføre innovative trådløse teknologier og enheter for helsetjenester er det kritisk at disse enhetene er i stand til å operere sammen og med annet sykehusutstyr, og ikke forstyrre hverandres aktiviteter og dataoverføringer. "

Jay Radcliffe er åpenbart veldig spent på denne utviklingen. For ham er selskapets oppførsel som svar på denne åpenbaringen er mer bekymringsfull enn den faktiske hacking selv.

På det notatet har Jay kunngjort at han ikke lenger er Medtronic-bruker, men har byttet til Animas. Han planlegger å hacke sin insulinpumpe på samme måte. , "Jeg vil ta de samme handlingene jeg gjorde tidligere. Forhåpentligvis vil Animas / J & J oppføre seg bedre enn Medtronic har. "Se, Animas!

Så hva betyr alt dette for resten av oss pumpere? Selvfølgelig kan vi bare krysse fingrene våre at dette ikke lenger kommer ned allerede smertefullt langsom FDA-prosess for godkjenning av nye diabetes-enheter, som Medtronic Veo-systemet med lavt glukose-suspenderingsfunksjon (forhåpentligvis hacker-sikker!).

Skal vi også være bekymret for reelle og umiddelbare farer for vår personlige sikkerhet? Jeg tror SecurityWatch sa det best da de nylig sa: "Radcliffe's hack er interessant og nyttig for å presse enhetsprodusentene for å forbedre sikkerheten, men ikke spesielt skummelt."

* * *

Hyttens trykksikkerhet:

As hvis våre bekymringer som pumpere ikke var mange nok, nå har en endokrinolog i Australia oppdaget at hyttens trykkendringer i flukt kan av og til rote med dosering.

Etter å ha hørt at en 10 år gammel jente gikk lav en time etter start (og vi antar at de utelukker hver

annen

mulig årsak til lavt blodsukker?), Bruce King of John Hunter Children's Hospital i Newcastle, Australia, og hans kolleger oppdaget andre tilfeller av insulinpumpere som også gikk lite etter start. Tilsynelatende var det nok til å gnist en mini-studie der de sendte 10 insulinpumper opp i luften og oppdaget at de ga i gjennomsnitt 1-1. 4 ekstra enheter insulin under start. Under nedstigningen, da kabinettrykket økte, ble noe insulin sugd tilbake i pumper, med ca. 1 enhet. Selvfølgelig er 10 insulinpumper knapt et statistisk signifikant tall, og en enhet av insulin vil nok ikke være avtalebryter for de fleste voksne pasienter (men det gjorde stor forskjell for 10-åringen!) . Vi vil si at foreldre til små barn som har en tendens til å gå lavt i løpet av flyreisen, ønsker å legge merke til, og justere tilsvarende. Ansvarsfraskrivelse

: Innhold opprettet av Diabetes Mine-teamet. For flere detaljer klikk her.

Ansvarsfraskrivelse Dette innholdet er opprettet for Diabetes Mine, en forbrukerhelseblogg fokusert på diabetessamfunnet. Innholdet er ikke medisinsk gjennomgått og overholder ikke Healthlines redaksjonelle retningslinjer. For mer informasjon om Healthlines partnerskap med Diabetes Mine, vennligst klikk her.