Le preoccupazioni sulla sicurezza informatica sembrano avvicinarci in un ciclo infinito in questi giorni. Tra un diluvio di segnalazioni di violazioni dei dati, accordi sulla privacy violati e attacchi informatici nei settori pubblico e privato, può essere difficile determinare cosa sia veramente sicuro.
E dopo un paio di tentativi di hacking del microinfusore alcuni anni fa, non possiamo fare a meno di chiederci: a che punto siamo per quanto riguarda la sicurezza dei nostri dispositivi per il diabete (e le informazioni che contengono) nel 2019?
La cosa con il rischio è che a volte è reale e talvolta percepita. Affrontare il rischio reale porta alla sicurezza. Mentre l'ossessione per il rischio percepito porta alla paura. Allora cosa c'è di reale qui? E cosa si sta facendo esattamente per affrontare i problemi di sicurezza informatica della tecnologia del diabete?
Progressi sugli standard di sicurezza informatica medica
Nell'ottobre 2018, la Food and Drug Administration (FDA) statunitense ha pubblicato una guida pre-commercializzazione per tutti i dispositivi medici contenenti rischi informatici. Più tardi, in autunno, Health Canada ha anche pubblicato un documento di orientamento contenente raccomandazioni sulla sicurezza informatica che devono essere utilizzate dalle società di tecnologia medica durante le fasi di sviluppo e test. L'idea ovviamente è che seguendo le linee guida, i fornitori porteranno sul mercato dispositivi già sicuri, invece di vedere dispositivi le cui vulnerabilità vengono scoperte dopo il rilascio sul mercato attraverso l'uso da parte dei pazienti.
Secondo un comunicato stampa di Health Canada, tra le raccomandazioni sulla sicurezza informatica dei dispositivi medici nella loro bozza di guida ci sono: 1) incorporare misure di sicurezza informatica nei processi di gestione del rischio per tutti i dispositivi con un componente software, 2) stabilire quadri per la gestione dei rischi per la sicurezza informatica a livello aziendale, e 3) verifica e convalida di tutti i processi di controllo del rischio di sicurezza informatica. Raccomandano specificamente misure come l'implementazione dello standard di sicurezza informatica UL 2900 per mitigare rischi e vulnerabilità.
Ken Pilgrim, Senior Regulatory Affairs & Quality Assurance consultant presso Emergo Group a Vancouver, ha affermato che la nuova guida dovrebbe rivelarsi preziosa per i produttori di dispositivi medici non solo in Canada ma anche in altre giurisdizioni che sviluppano requisiti di sicurezza informatica simili.
Nel frattempo, negli Stati Uniti stanno avanzando misure per affrontare specificamente la sicurezza informatica dei dispositivi per il diabete.
Alla fine di ottobre, la Diabetes Technology Society (DTS) ha annunciato che OmniPod DASH era diventato il primo microinfusore per insulina approvato dalla FDA a ricevere la certificazione secondo lo standard e il programma di sicurezza informatica "Standard for Wireless Diabetes Device Security" di DTS, noto come DTSec.
DTS è stata fondata nel 2001 dal Dr. David Klonoff con lo scopo di promuovere l'uso e lo sviluppo della tecnologia per il diabete. DTSec è essenzialmente il primo standard di sicurezza organizzato per la tecnologia del diabete. Consideralo una sorta di sigillo di sicurezza, simile a come vediamo un indirizzo web https. Lo standard è stato stabilito nel 2016 dopo la ricerca e il contributo di università, industria, governo e centri clinici. Come la maggior parte degli standard, è una guida volontaria che i produttori devono considerare di adottare e seguire.
Da allora l'organizzazione ha continuato a promuovere la ricerca sulla sicurezza informatica e la valutazione del rischio, ospitando conferenze e sviluppando protezioni più approfondite.
Lo scorso giugno, pochi mesi prima dell'annuncio di OmniPod in seguito a DTSec, il gruppo ha rilasciato una nuova guida alla sicurezza chiamata DTMoSt, abbreviazione di "Use of Mobile Devices in Diabetes Control Contexts".
Secondo Klonoff, direttore medico del Diabetes Research Institute presso Mills-Peninsula Medical Center, San Mateo, CA, le linee guida DTMoSt si basano su DTSec diventando il primo standard con requisiti di prestazioni e requisiti di garanzia per i produttori di dispositivi medici collegati controllati da un piattaforma mobile.
DTMoSt identifica le minacce, come attacchi remoti e basati su app dannosi e "carenza di risorse", per il funzionamento sicuro di soluzioni abilitate per dispositivi mobili e offre indicazioni a sviluppatori, regolatori e altre parti interessate per aiutare a gestire questi rischi.
Le misure di sicurezza non dovrebbero ostacolarne l'uso
Oggi, la propria app glucometro, CGM e per smartphone per il diabete possono essere tutte connesse a Internet e quindi aperte a un certo livello di rischio.
Tuttavia, nonostante il continuo parlare dei pericoli dell'Internet of Things, gli esperti avvertono che il rischio effettivo per il pubblico è piuttosto basso. Quando si tratta di sicurezza, le persone cattive non sono così interessate ai dati sulla glicemia di qualcuno (rispetto alla password del loro conto bancario).
Detto questo, gli investimenti nella sicurezza informatica sono necessari come misure preventive contro le minacce e per garantire la sicurezza di base di utenti e clienti.
Ma lo svantaggio è che implementare misure di sicurezza informatica a volte può significare rendere un sistema molto difficile o impossibile da utilizzare per la condivisione dei dati nel modo previsto. Il trucco nell'equazione non è limitare la capacità di funzionamento e l'accesso da parte delle persone previste.
E la privacy? Ancora una volta vediamo che mentre le persone affermano di dare la priorità alla privacy, sembrano agire in modo contraddittorio, acconsentendo, scorrendo, siglando, firmando e dando accesso a informazioni e dati con pochissimo pensiero o preoccupazione reale. La verità è che noi consumatori di solito non leggiamo le politiche sulla privacy con molta attenzione, se non del tutto. Abbiamo appena premuto il pulsante "Avanti".
Compensare paura e trepidazione
Molti nel settore mettono in guardia dal lato negativo della sicurezza informatica: concentrarsi sulla paura che rasenta l'ossessione, ostacola la ricerca e alla fine potrebbe costare vite. Queste sono persone che riconoscono che il mondo cibernetico ei nostri dispositivi per il diabete sono esposti a rischi, ma ritengono che una reazione eccessiva sia potenzialmente più pericolosa.
"L'intera questione della" sicurezza informatica nei dispositivi "riceve molta più attenzione di quanto meriti", afferma Adam Brown, senior editor di diatriba e autore di Punti luminosi e mine terrestri: la guida al diabete che vorrei che qualcuno mi avesse consegnato. “Abbiamo bisogno che le aziende si muovano più velocemente di quanto sono e la sicurezza informatica può suscitare paure inutili. Nel frattempo, le persone sono là fuori a lanciarsi senza dati, senza connettività, senza automazione e senza supporto ".
Howard Look, CEO di Tidepool, D-Dad e una forza chiave dietro il movimento #WeAreNotWaiting, vede entrambi i lati della questione, ma è d'accordo con Brown e altri esperti del settore che temono controlli sul tasso di avanzamento medico.
"Certamente, le aziende produttrici di dispositivi (comprese le società di software come dispositivi medici, come Tidepool) devono prendere la sicurezza informatica molto, molto sul serio", afferma Look. “Certamente non vogliamo creare una situazione in cui ci sia il rischio di un attacco di massa a dispositivi o app che potrebbero danneggiare le persone. Ma le immagini di "hacker in felpa con cappuccio" con teschio e ossa incrociate sugli schermi dei computer spaventano solo le persone che non capiscono veramente la posta in gioco. Fa rallentare le aziende produttrici di dispositivi, perché sono spaventate. Non li aiuta a capire la cosa giusta da fare ". Look si riferiva alle diapositive Powerpoint mostrate nelle conferenze mediche sul diabete con immagini inquietanti che presumevano pericoli informatici.
I sistemi a circuito chiuso fai-da-te OpenAPS e Loop che sono diventati popolari sono tecnicamente basati su una "vulnerabilità" nelle vecchie pompe Medtronic che consente il controllo remoto wireless di queste pompe. Per hackerare le pompe, è necessario conoscere il numero di serie e rimanere vicino alla pompa per 20 secondi. "Ci sono modi molto più semplici per uccidere qualcuno se è quello che vuoi fare", dice Look.
Molti sostengono che questa proposta "vulnerabilità" nella sicurezza, per quanto spaventosa possa essere in teoria, è un enorme vantaggio in quanto ha permesso a migliaia di persone di eseguire OpenAPS e Loop, salvando vite e migliorando la qualità della vita e la salute pubblica per coloro che utilizzano loro.
Un approccio misurato ai rischi
Organizzazioni come DTS stanno facendo un lavoro importante. La sicurezza del dispositivo è importante. E le presentazioni di ricerche e conferenze sull'argomento sono costanti del settore: la tecnologia del diabete e la sicurezza informatica saranno al centro di diversi elementi della 12a Conferenza internazionale sulle tecnologie avanzate e sui trattamenti per il diabete (ATTD 2019) che si terrà alla fine di questo mese a Berlino. Ma queste verità continuano ad esistere accanto alla realtà che le persone hanno bisogno di strumenti migliori che sono meno costosi e noi ne abbiamo bisogno rapidamente.
"Il segno distintivo di ottimi dispositivi è il miglioramento continuo, non la perfezione", afferma Brown. "Ciò richiede connettività, interoperabilità e aggiornamento remoto del software."
Sebbene i dispositivi siano soggetti a rischi, gli esperti sembrano concordare sul fatto che sono generalmente abbastanza sicuri e protetti. Andando avanti per tutto il 2019 e oltre, il consenso sembra essere che mentre tenere d'occhio il cyber-rischio è importante, il rischio è spesso sopravvalutato e potenzialmente impallidisce rispetto ai rischi per la salute derivanti dalla mancanza di strumenti avanzati per il diabete.