Een blik op de terugslag op het hacken en de veiligheid van de insulinepomp

Toen het hackingverhaal van de insulinepomp voor het eerst twee weken geleden brak, beschouwden we het vooral als een publiciteitsstunt. Maar het heeft een aantal interessante repercussies gehad. Opvallend is dat twee congresleden zijn opgestaan ​​en hebben gevraagd dat het Government Accountability Office (GAO) de benadering van de Federal Communications Commission van medische apparaten met draadloze mogelijkheden evalueert om ervoor te zorgen dat de apparaten "veilig, betrouwbaar en veilig zijn". Nou, dat lijkt me goed nieuws …

De heisa was genoeg voor initiatiefnemer Jay Radcliffe, computerbeveiligingsexpert en type 1 PWD, om afgelopen donderdag een vervolg webinar bij te houden. Hieronder volgt een samenvatting van de notities van Allison van dat evenement:

* Vanaf donderdag is bekend dat de fabrikant van de pomp waarmee Jay is gehackt Medtronic Minimed is.

* Zijn redenering en motivatie om de hack te doen? Jay beweert dat hij geïnspireerd was door het verhaal van twee mannen die een paar jaar geleden in San Francisco een stadspark

insloegen. De stad werd gedwongen veiligheidsmaatregelen voor de meters opnieuw te evalueren. Jay had blijkbaar "hetzelfde in gedachte" toen hij zijn eigen insulinepomp hackte. Hij zegt dat hij de bedrijven wilde helpen door hun 'beveiligingskwetsbaarheden' te tonen.

* Reacties op de originele presentatie van Jay lopen in het hele spectrum, maar het meest sprekende aan Jay tot nu toe was dat van Medtronic zelf. Het bedrijf verwierp het concept van mogelijke risico's grotendeels. Daarom besloot Jay om de naam van de fabrikant openbaar te maken, zegt hij. "Blow me off is geen ethische reactie." Het resultaat hiervan is dat hij in een beetje een piesmatch lijkt te zijn met het bedrijf - of op zijn minst een "hij zegt, zegt ze" een situatie waarin de waarheid waarschijnlijk ergens tussenin ligt: ​​

* Jay legt uit: "De Electronic Frontier Foundation en ik hebben veel aan deze kwestie gewerkt. In de beveiligingsgemeenschap zullen we vaak een probleem aankaarten zonder contact op te nemen met een leverancier. problemen zullen vaak proberen om te procederen om te voorkomen dat onderzoek aan het licht komt. Het is gemakkelijk om legitiem onderzoek te begraven van een individu in een berg van juridisch papierwerk. Het antwoord daarop is ethische onthulling … Gewoonlijk waardeert het bedrijf dit gebaar en lost het de probleem zonder openbaar onderzoek of druk om te haasten, sommigen niet. "* Jay selecteerde de reactie van Medtronic punt voor punt:

Medtronic zegt:" informatiebeveiliging van apparaten … is een integraal onderdeel van de stof van onze productontwerpprocessen. "

Jay zegt:" dit is duidelijk niet het geval ", zoals hij ontdekte in zijn hacking er was" geen authenticatie of versleuteling gebruikt "en dat hij publiekelijk in Vegas liet zien dat er

zijn

kwetsbaarheden. Medtronic zegt: "Dankzij (onze) informatiebeveiligingsmaatregelen, zijn we ervan overtuigd dat het extreem moeilijk zou zijn voor een derde partij om draadloos met uw insulinepomp te knoeien." Jay zegt: "Er zijn geen beveiligingsmaatregelen, het is niet nodig om het serienummer van het apparaat te weten." Hij beweert dat het voor elke hacker vrij eenvoudig zou zijn om uit te zoeken wat het zescijferige serienummer is voor een insulinepomp. (We weten niet zeker hoe …?)

Medtronic zegt: "Voor zover wij weten, is er nooit een enkel gemeld incident van draadloos knoeien buiten gecontroleerde laboratoriumexperimenten geweest in meer dan 30 jaar gebruik van apparaattelemetrie, waaronder miljoenen apparaten wereldwijd. "

Jay zegt:" Tot nu toe. " Dat is duidelijk omdat niemand ooit heeft gedacht

om een ​​insulinepomp in te hacken. Maar alleen omdat niemand er ooit aan heeft gedacht om het te doen, betekent nog niet dat niemand het ooit zal doen.

(denk dat we het daar wel mee eens zijn: het kruisen van je vingers is niet echt een veiligheidsmaatregel.)

Medtronic zegt: "Hij … heeft de draadloze functie INGESCHAKELD en toegang tot gespecialiseerde apparatuur gehad … u kunt elke onzekerheid verwijderen door de draadloze communicatie op uw apparaat UIT te schakelen." Jay zegt: " dit is helemaal niet waar "en dat het draadloze vermogen van een insulinepomp niet kan worden uitgeschakeld. Dit is de reden waarom hij elke instelling of configuratie op zijn apparaat kon wijzigen. Daarnaast heeft hij moeite met het label 'gespecialiseerde apparatuur', waarmee hij zegt dat hij zijn Carelink USB-apparaat heeft gebruikt. Hoewel hij GEEN stap-voor-stap instructies gaf over hoe

hij deze apparatuur gebruikte, voerde Jay de hele hack op het podium in Las Vegas uit in wat hij zei "ongeveer een minuut".

< ! --2 ->

Jay beweert ook dat hij met het Department of Homeland Security heeft gewerkt om contact op te nemen met Medtronic's CEO's office en daar op 10 augustus berichten achterliet.

Natuurlijk moesten we wat dieper in de wereld kijken andere kant van het verhaal. Dit is hoe Medtronic reageerde op onze vragen: John Mastrototaro, VP of Research & Development van Medtronic, vertelde ons op 26 augustus in een telefoontje dat hij zojuist met het Department of Homeland Security had gesproken in "een informele discussie om vervolg op de beweringen die Jay heeft gedaan. " Hij zegt dat dit zijn eerste gesprek met DHS was en dat hij niet wist dat ze eerder geprobeerd hadden contact op te nemen met Medtronic over dit onderwerp.

Concreet zegt hij: "Er zit enige beveiliging en authenticatie in het product, maar er is geen encryptie, die twee verschillende betekenissen hebben voor deze beveiligingsexperts." Hij herhaalde dat hun 'primaire beveiligingsmethode' zich afspeelt in het geheim van het zescijferige serienummer dat zich op de achterkant van een insulinepomp bevindt. Een andere reactie op het blog van het bedrijf dat vrijdag is gestegen, luidde: "We raden u aan het serienummer van uw pomp te beschermen, net als uw sofinummer, wachtwoorden en andere belangrijke persoonlijke gegevens." Hmmm.

John zei ook: "Een uitdaging voor ons als organisatie is dat we afwegingen moeten maken over waar we onze onderzoeksdollars gaan inzetten en welke problemen we gaan ondervinden oplossen.We zijn erg gefocust geweest in het project voor kunstmatige pancreas … Onze nieuwe platforms zullen de nieuwste coderingstechnologie in die apparaten hebben. Proberen om ver voor de bal te blijven is erg moeilijk. Het kan 5-7 jaar duren voordat er nieuwe technologie beschikbaar is. Er zal altijd een potentieel risico zijn dat er een evolutie van de technologie is die de producten verder vooruitloopt. Onze aanpak is absoluut proactief en serieus geweest, ook al is dit een afgelegen risico, zoals Jay heeft gezegd. We willen oplossingen inbouwen voor onze toekomstige iteraties van producten, zodat we het nog moeilijker maken om dit soort dingen te laten gebeuren. "

Een interessante feit is dat de beveiliging in de Paradigm insulinepomp is 12-14 jaar oud. "Dit is gemaakt vóór 9/11, voordat kwaadaardige bedoelingen echt tot stand kwamen - toen je vroeger een fles water in het vliegtuig kon nemen," zegt John. Twaalf tot 14 jaar? Hebben er sindsdien niet genoeg nieuwe insulinepompen uit de kast gehaald dat ze slechts een

kleine

upgrade op beveiliging hadden kunnen uitvoeren? We zullen toegeven dat de kans op hacking vrij laag lijkt. Maar toch, meer dan een decennium en < geen

beveiligingsupgrades?

De twee congresleden die deel uitmaken van de strijd zijn Reps. Anna Eshoo uit Californië en Edward Markey uit Massachusetts, beide Democraten. In hun brief aan de Government Accountability Office (GAO), vragen zij om een ​​rapport over de mate waarin FCC: De uitdagingen en risico's van de proliferatie van medische implantaten en andere apparaten die gebruikmaken van breedband- en draadloze technologie. Maatregelen nemen om de efficiëntie van de regelgevingsprocessen die van toepassing zijn op breedband- en draadloze medische apparatuur te verbeteren. Ervoor zorgen dat medische apparaten met een draadloze functie geen schadelijke storing aan andere apparatuur veroorzaken. Toezicht houden op dergelijke apparaten om ervoor te zorgen dat ze veilig, betrouwbaar en veilig zijn.

Coördinatie van zijn activiteiten met de Food and Drug Administration. "

1. Ze schrijven ook:" Bij het naar voren brengen van innovatieve draadloze technologieën en apparaten voor de gezondheidszorg, is het van cruciaal belang dat deze apparaten in staat om samen te werken en met andere ziekenhuisapparatuur, en niet interfereren met elkaars activiteiten en datatransmissies. "
2. Jay Radcliffe is duidelijk zeer enthousiast over deze ontwikkeling. Voor hem is het gedrag van het bedrijf in reactie op deze openbaring is zorgwekkender dan het daadwerkelijke hacken zelf.

   Op die opmerking heeft Jay aangekondigd dat hij niet langer een gebruiker van Medtronic is maar is overgestapt op Animas.Hij is van plan zijn insulinepomp op dezelfde manier te hacken. , "Ik zal dezelfde acties ondernemen die ik eerder deed. Hopelijk gedragen Animas / J & J zich beter dan Medtronic. "Kijk uit, Animas!

3. Dus wat betekent dit allemaal voor de rest van ons? Natuurlijk kunnen we alleen maar de vinger wijzen dat dit niet verder zal verzakken al-pijnlijk langzaam FDA-proces voor het goedkeuren van nieuwe diabetes-apparaten, zoals het Medtronic Veo-systeem met een laag glucose-opschortingsfunctie (hopelijk veilig voor de hacker!).
4. Moeten we ons ook zorgen maken over echte en onmiddellijke risico's voor onze persoonlijke veiligheid? Ik denk dat SecurityWatch het het beste zei toen ze onlangs verklaarden: "De hack van Radcliffe is interessant en nuttig voor het onder druk zetten van apparaatfabrikanten om hun beveiliging te verbeteren, maar niet bijzonder angstaanjagend."
5. * * *

Cabinedrukveiligheid:

als onze zorgen als pumpers niet talrijk genoeg waren, heeft nu een endocrinoloog in Australië ontdekt dat cabinedrukveranderingen tijdens de vlucht af en toe een rotzooi kunnen veroorzaken bij het doseren.

Na gehoord te hebben dat een meisje van 10 jaar oud een uur na het opstijgen was gaan slapen (en wij ervan uitgaande dat ze elke

andere

mogelijke oorzaak van een lage bloedsuikerspiegel uitsluiten?), Bruce King of John Hunter Children's Hospital in Newcastle, Australië, en zijn collega's ontdekten andere gevallen van insulinepompen die ook laag werden na het opstijgen. Blijkbaar was dat genoeg om een ​​mini-onderzoek op gang te brengen waarin ze 10 insulinepompen in de lucht stuurden en ontdekte dat ze gemiddeld 1-1 gaven. 4 extra eenheden insuline tijdens het opstijgen. Tijdens de afdaling, toen de cabinedruk toenam, werd wat insuline teruggezogen in de pompen, met ongeveer 1 eenheid.

Natuurlijk zijn 10 insulinepompen nauwelijks een statistisch significant aantal, en een eenheid insuline is waarschijnlijk geen deal-breaker voor de meeste volwassen patiënten (maar het maakte een groot verschil uit voor de 10-jarige!) . We zouden zeggen dat ouders van kleine kinderen die de neiging hebben om te gaan slapen tijdens vliegreizen misschien de aandacht willen trekken en zich dienovereenkomstig willen aanpassen.

Disclaimer

: inhoud gemaakt door het Diabetes Mine-team. Klik hier voor meer informatie.

Disclaimer

Deze inhoud is gemaakt voor Diabetes Mine, een blog over consumentengezondheid gericht op de diabetesgemeenschap. De inhoud is niet medisch beoordeeld en houdt zich niet aan de redactionele richtlijnen van Healthline. Klik hier voor meer informatie over de samenwerking van Healthline met Diabetes Mine.