Zorgen over cyberveiligheid lijken ons tegenwoordig in een eindeloze cirkel te belagen. Tussen een stortvloed aan meldingen van datalekken, geschonden privacyovereenkomsten en cyberaanvallen in de private en publieke sector, kan het moeilijk zijn om te bepalen wat echt veilig is.
En na een paar jaar geleden een paar keer een insulinepomp te hebben gehackt, vragen we ons af: waar staan we nu precies met betrekking tot de veiligheid van onze diabetesapparaten (en de informatie die ze bevatten) in 2019?
Het probleem met risico is dat het soms echt is en soms wordt waargenomen. Het aanpakken van reële risico's leidt tot veiligheid. Terwijl geobsedeerd zijn door waargenomen risico leidt tot angst. Dus wat is hier echt? En wat wordt er precies gedaan om cyberveiligheidsproblemen op het gebied van diabetestechnologie aan te pakken?
Vooruitgang op het gebied van medische cyberbeveiligingsnormen
In oktober 2018 heeft de Amerikaanse Food and Drug Administration (FDA) pre-market richtlijnen uitgegeven voor alle medische hulpmiddelen die cyberrisico's bevatten. Later in de herfst bracht Health Canada ook een begeleidend document uit met aanbevelingen voor cyberbeveiliging die door medische technologiebedrijven kunnen worden gebruikt tijdens hun ontwikkelings- en testfasen. Het idee is natuurlijk dat door het volgen van de richtlijnen, leveranciers apparaten op de markt zullen brengen die al veilig zijn, in plaats van apparaten te zien waarvan de kwetsbaarheden worden ontdekt na het op de markt brengen door gebruik door de patiënt.
Volgens een persbericht van Health Canada zijn onder de cybersecurityaanbevelingen voor medische apparaten in hun ontwerprichtlijnen: 1) het opnemen van cyberbeveiligingsmaatregelen in risicobeheerprocessen voor alle apparaten met een softwarecomponent, 2) het opzetten van kaders voor het beheren van cyberbeveiligingsrisico's op bedrijfsniveau, en 3) verificatie en validatie van alle risicobeheersingsprocessen op het gebied van cyberbeveiliging. Ze bevelen specifiek maatregelen aan, zoals de implementatie van de cyberveiligheidsnorm UL 2900 om risico's en kwetsbaarheden te beperken.
Ken Pilgrim, Senior Regulatory Affairs & Quality Assurance-consultant bij Emergo Group in Vancouver, zei dat de nieuwe richtlijnen waardevol zouden moeten zijn voor fabrikanten van medische hulpmiddelen, niet alleen in Canada, maar ook voor andere rechtsgebieden die vergelijkbare cyberbeveiligingsvereisten ontwikkelen.
Ondertussen worden maatregelen om de cyberbeveiliging van diabetesapparaten aan te pakken, met name in de Verenigde Staten doorgevoerd.
Eind oktober kondigde de Diabetes Technology Society (DTS) aan dat de OmniPod DASH de eerste door de FDA goedgekeurde insulinepomp was geworden die gecertificeerd was volgens de DTS-norm en -programma voor cybersecurityborging 'Standard for Wireless Diabetes Device Security', bekend als DTSec.
DTS werd in 2001 opgericht door Dr. David Klonoff met als doel het gebruik en de ontwikkeling van diabetestechnologie te promoten. DTSec is in wezen de eerste georganiseerde beveiligingsstandaard voor diabetestechnologie. Zie het als een soort veiligheidszegel, vergelijkbaar met hoe we een https-webadres zien. De standaard is in 2016 tot stand gekomen na onderzoek en input van de academische wereld, de industrie, de overheid en klinische centra. Zoals bij de meeste normen, is het een vrijwillige richtlijn voor fabrikanten om te overwegen om deze over te nemen en te volgen.
Sindsdien is de organisatie het onderzoek naar cyberbeveiliging en risicobeoordeling blijven stimuleren, conferenties organiseren en diepgaandere beveiligingen ontwikkelen.
Afgelopen juni, een paar maanden voordat de aankondiging werd gedaan met betrekking tot OmniPod na DTSec, bracht de groep nieuwe beveiligingsrichtlijnen uit met de naam DTMoSt, een afkorting van "Use of Mobile Devices in Diabetes Control Contexts."
Volgens Klonoff, medisch directeur van het Diabetes Research Institute bij Mills-Peninsula Medical Center, San Mateo, CA, bouwen de DTMoSt-richtlijnen voort op DTSec door de eerste standaard te worden met zowel prestatie-eisen als zekerheidseisen voor fabrikanten van aangesloten medische apparaten die worden gecontroleerd door een mobiel platform.
DTMoSt identificeert bedreigingen, zoals kwaadwillende aanvallen op afstand en apps en "uithongering van hulpbronnen" voor de veilige werking van oplossingen met mobiele apparaten en biedt begeleiding aan ontwikkelaars, toezichthouders en andere belanghebbenden om deze risico's te helpen beheersen.
Beveiligingsmaatregelen mogen het gebruik niet hinderen
Tegenwoordig kunnen iemands glucometer, CGM en diabetes-smartphone-app allemaal verbonden zijn met internet en daarom openstaan voor een bepaald risiconiveau.
Maar ondanks het voortdurende gepraat over de gevaren van het internet der dingen, waarschuwen experts dat het werkelijke risico voor het publiek vrij laag is. Als het om beveiliging gaat, zijn slechte mensen gewoon niet zo geïnteresseerd in iemands bloedglucosegegevens (in vergelijking met het wachtwoord van hun bankrekening).
Dat gezegd hebbende, zijn investeringen in cyberbeveiliging noodzakelijk als preventieve maatregelen tegen bedreigingen en om de basisbeveiliging van gebruikers en klanten te waarborgen.
Maar de keerzijde is dat het implementeren van cyberbeveiligingsmaatregelen soms kan betekenen dat een systeem zeer moeilijk of onmogelijk te gebruiken is voor het delen van gegevens op de beoogde manier. De truc in de vergelijking is niet het vermogen van bediening en toegang door beoogde mensen te beperken.
En hoe zit het met privacy? Keer op keer zien we dat mensen zeggen dat ze prioriteit geven aan privacy, maar dat ze op een tegenstrijdige manier lijken te handelen, door toestemming te geven, te scrollen, te initialiseren, te ondertekenen en toegang te geven tot informatie en gegevens zonder er echt over na te denken of zich zorgen te maken. De waarheid is dat wij consumenten het privacybeleid meestal niet of helemaal niet zorgvuldig lezen. We hebben gewoon op de ‘volgende’ knop gedrukt.
Angst en schroom compenseren
Velen in de branche waarschuwen voor de negatieve kant van cyberbeveiliging: een focus op angst die grenst aan obsessie, belemmert onderzoek en kan uiteindelijk levens kosten. Dit zijn mensen die erkennen dat de cyberwereld en onze diabetesapparaten openstaan voor risico's, maar vinden dat overdreven reageren potentieel gevaarlijker is.
"De hele kwestie van‘ cybersecurity in devices ’krijgt veel meer aandacht dan het verdient," zegt Adam Brown, senior editor bij schema en auteur van Bright Spots & Landmines: The Diabetes Guide I Wish Iemand had me overhandigd“We hebben bedrijven nodig die sneller bewegen dan ze zijn, en cyberbeveiliging kan onnodige angst oproepen. Ondertussen zijn er mensen die het gebruiken zonder data, zonder connectiviteit, zonder automatisering en zonder ondersteuning. "
Howard Look, CEO van Tidepool, D-Dad, en een sleutelfactor achter de # WeAreNotWaiting-beweging, ziet beide kanten van de kwestie, maar is het eens met Brown en andere experts uit de industrie die bang zijn om de snelheid van medische vooruitgang te controleren.
"Apparatenbedrijven (inclusief software als bedrijven voor medische hulpmiddelen, zoals Tidepool) moeten cyberveiligheid zeer, zeer serieus nemen", zegt Look. “We willen zeker geen situatie creëren waarin er een risico bestaat op een massale aanval op apparaten of apps die mensen kunnen schaden. Maar foto's van ‘hackers in hoodies’ met doodshoofd en gekruiste beenderen op computerschermen maken mensen bang die niet echt begrijpen wat er op het spel staat. Het zorgt ervoor dat apparaatbedrijven langzamer gaan werken, omdat ze bang zijn. Het helpt hen niet te begrijpen wat juist is om te doen. " Look verwees naar Powerpoint-dia's die werden getoond op medische conferenties over diabetes met griezelige afbeeldingen die cybergevaren beweerden.
De OpenAPS en Loop doe-het-zelf closed loop-systemen die populair zijn geworden, zijn technisch gebaseerd op een "kwetsbaarheid" in oudere Medtronic-pompen die draadloze afstandsbediening van deze pompen mogelijk maakt. Om de pompen te hacken, moet u het serienummer weten en moet u gedurende 20 seconden dicht bij de pomp zijn. "Er zijn veel gemakkelijkere manieren om iemand te vermoorden als je dat maar wilt", zegt Look.
Velen beweren dat deze voorgestelde 'kwetsbaarheid' in beveiliging, hoe beangstigend deze in theorie ook mag zijn, een enorm voordeel is, aangezien het duizenden mensen in staat heeft gesteld OpenAPS en Loop te gebruiken, levens te redden en de kwaliteit van leven en de volksgezondheid te verbeteren voor degenen die gebruik maken van hen.
Een afgemeten benadering van risico's
Organisaties zoals DTS doen belangrijk werk. Apparaatbeveiliging is belangrijk. En presentaties van onderzoek en conferenties over dit onderwerp zijn constanten van de industrie - diabetestechnologie en cybersecurity zullen een aandachtspunt zijn van verschillende elementen van de 12e internationale conferentie over geavanceerde technologieën en behandelingen voor diabetes (ATTD 2019) die later deze maand in Berlijn wordt gehouden. Maar die waarheden blijven bestaan naast de realiteit dat mensen betere tools nodig hebben die minder duur zijn, en wij hebben ze snel nodig.
"Het kenmerk van geweldige apparaten is voortdurende verbetering, niet perfectie", zegt Brown. "Dat vereist connectiviteit, interoperabiliteit en software-updates op afstand."
Hoewel apparaten onderhevig zijn aan risico's, lijken experts het erover eens te zijn dat ze over het algemeen vrij veilig zijn. Vooruitkijkend in 2019 en daarna lijkt de consensus te zijn dat het in de gaten houden van cyberrisico's belangrijk is, maar dat risico vaak wordt overschat en mogelijk verbleekt tegen de gezondheidsrisico's van het niet hebben van geavanceerde diabeteshulpmiddelen.