Animas OneTouch Pingのインシュリンポンプハッキングリスク？

10月4日火曜日、JnJ所有のAnimasはOneTouch Pingのユーザーにサイバーセキュリティ警告を発行しました。これは2008年から利用可能であり、遠隔からの援助のためにグルコースメーターと通信します。

<！ JnJは、数年前にMedDronicのポンプでハッキングのリスクを公開することで、T1Dと共存し、自らの名前を挙げた有名なサイバーセキュリティ専門家Jay Radcliffeのヒントに基づいて潜在的な欠陥を発見したと述べている。彼は、4月に同社に連絡して、暗号化されていない無線周波数通信システムを介して、誰かが不正にポンプにアクセスする可能性を発見したと話した。

<！彼らは、FDAと国土安全保障省に通知してから6ヶ月後に問題を公に公開する準備が整ったので、まとめてこの問題を調査してきました。

もちろん、主流のメディアはストーリーを素早く取り上げましたが、過去に見たような狂気のレベルにはまったく似ていません。医療機器のハッキングは、常にジューシーなニュースを作り、数年前にブラックリストのような人気のあるテレビ番組のプロットラインとなっています。

<！このケースでは、リスクは極めて低く、誰かが実際にデバイスをハッキングしているという証拠はないとAnimasは述べています。代わりに、これは潜在的な

リスクに関する透明性のために脆弱性を公開し、修正を提供する「ゼロデイ」イベントです。

私たちは '

鉱山

で、これが特に脅威だとは思わないと思います。正直なところ、サムスンノート7の電話バッテリーが、人を傷つけるためにインスリンポンプにハックするのを見るよりも、近くで爆発する可能性が高いです。

しかし、私たちのデバイスのセキュリティは真剣に取られなければなりません。それはFDAが現在話しているときでさえメーカーの最終的なガイダンスを検討している重要な話題です（今年初めにガイダンス草案についてのパブリックコメント期間に続きます）。 Animasは、潜在的な危険性について赤旗を出す最新の装置になりました… Animasがこの問題を説明します

JnJは今週、少数の糖尿病メディアと電話会議を開催し、この問題について話し合う。その呼びかけにはJnJのチーフメディカルオフィサー、Brian Levy博士と情報セキュリティ担当副社長Marene Allisonがいました。 JnJは、4月にFDAのガイダンスに結びついた潜在的なサイバーセキュリティの懸念について、患者のためにウェブサイトを立ち上げ、製造業者、FDAのサイバーセキュリティ部門と学科の間で18ヶ月の話し合いを経て来たと説明した。国土安全保障の <！そのサイトを設定した直後、彼らはAnimas Pingのこの特定のセキュリティ上の欠陥についてラドクリフからの言葉を受け取りました - 特に、ポンプと計測器の間の遠隔通信を可能にする暗号化されていない無線周波数は、誰かが25フィート離れた所からインスリンを送達できるようにする（RadcliffeはこのRapid7情報セキュリティウェブサイトの技術的詳細を公開しています）。

<！ J&J Animasは誰もOneTouch Pingをハックしていないことを強調しています。むしろ、Radcliffeは彼がデバイスにハッキングする可能性があることを証明するために "制御された環境"で彼のテストを行いました。

会社の広報担当者は、非常に低いリスクといくつかの簡単なステップでリスクを緩和することができるという理由から、遠隔測定器の遠隔操作の更新を発行しないことを決定したと説明した。現在のシステムを使用不可能にするので、使用される無線周波数が与えられた場合、「パッチ修正」は不可能です。

<！米国とカナダのPing患者とその医師は、関係者にこのアドバイスを提供した：

振動警告を設定する：

振動機能をオンにするインスリンポンプについては、メスの遠隔操作によってボーラス用量が開始されていることをユーザに通知する。これにより、不要なボーラスをキャンセルするオプションが与えられます。もちろん、基本ボーラスと基本設定をポンプ自体から変更することは可能です。

インスリンの歴史を見る：

アニマスは、Pingユーザーにポンプ内のインスリン履歴記録を監視するよう促します。インスリン投与量は、メーターやポンプによってトリガーされるかどうかにかかわらず、この履歴に記録され、心配があれば再検討することができます。

メーターリモート機能をオフにする：

これはもちろん、ワンタッチPingメーターとインスリンポンプの間の無線周波数通信を停止します。つまり、ユーザーは自分のポンプで血糖値の結果を見ることはできません。ボーラス投与を制御するためのメーター。代わりに、ユーザーは手動でそのデバイスのポンプとボーラスのBGをキー入力する必要があります。 ボーラス量を制限する： リモートボルシングのためにメーターを使い続けたい方は、最大ボーラス量、最初の2時間以内に送達された量、および1日の総投与量を制限するためにポンプの設定を使用することができますのインスリン。これらの設定値を超過または上書きしようとすると、ポンプアラームが発生し、ボーラスインスリン投与が妨げられます。

アニマスは心配する人に恐怖を和らげ、健全なヒントを提供するための措置を講じることを感謝します。それでも、Pingシステムでこの弱点を発見するには5年もかかり、2011年に同様の問題がライバルのポンプで戻ってきたことを考えると、奇妙なことです。

Animas氏によると、Dexcom CGMと通信する現在のAnimas Vibeシステムでは、計測器とポンプが互いに通信できるようにする同じRF対応機能は含まれていないため、これは問題ではないという。しかし、同社は製品パイプラインを進めていく中で、「将来のデバイスにサイバーセキュリティを組み込む」ことを計画していると言う。

サイバーセキュリティハッカーは言う。

以前にジェイラドクリフの名前を聞いていない人のために、彼は数年前からサイバーセキュリティの著名な存在だった。 22歳でT1Dと診断された彼は、Medtronicポンプをハッキングし、潜在的な欠陥についての発見を発表すると同時に、主要なハッカー会議でリモートボルキング機能を含む2011年にヘッドラインを作成しました。 <！面白い出来事の中で、彼はFDAと協力して、医療サイバーセキュリティ問題のコンサルタントになった。彼は現在、2014年の初めからサイバーセキュリティ会社Rapid7のために働いています。

最新のAnimasサイバーセキュリティの発見について、彼に連絡しました。 今回はメドトロニックの状況とは異なり、Radcliffe氏は問題を公に公開する前にAnimasと直接仕事をする機会があったという点で私たちに語っています。今回は、消費者に自分自身を守る方法についての会社の通知と併せて公表されました。

<！彼は、大手医療機器メーカーが消費者製品の潜在的なコンピュータセキュリティの欠陥に関する警告を積極的に発行したのは初めてであり、関連する有害事象は報告されていない顧客。 彼はAnimasの反応に満足していますが、実際にはOneTouch Pingが障害者のための安全性と安全性について過度に心配しているわけではありません。

<！ラディクリフは、「 DiabetesMine への電子メールで、私の子供のうちのいずれかが糖尿病になり、医療スタッフがそれを服用することを勧めた将来的には、製造業者、監督者および研究者が完全に探索する間に障害者が忍耐強くなることが重要である理由を、ベンダーの発見と結果的な作業で強調したいと、彼は期待しています。これらの非常に複雑なデバイス。

「我々はすぐに最善の技術を望んでいるが、無謀で無計画なやり方で、すべてのプロセスをすべての人に還元する」と彼は語った。

オープンソースフォールアウト？

このアニマスのサイバーセキュリティリスクに関連する糖尿病機器のオープンソースの側面への会話を見ることは魅力的でした。

アニマスがNightscoutや#OpenAPSなどのオープンソースプロジェクトを、暗号化されていない通信に基づく危険な努力として信用できないようにするために、他の人たちは、おそらくアニマスが手を投げて「ヘイ、DデバイスのハッカーとOpenAPSのクリエイター - メドトロニックのものだけでなく、私たちのポンプを使うことができる」と考えていたのでしょうか？オープンソースの世界では、暗号化されていない通信を介して遠隔ボルシング機能を使用するこの能力は、ほとんど危険を冒すことのないよく知られた問題であると指摘しましたが、実際には新しいD-techの革新の可能性を広げています。

「脆弱性」に関する見出しは怖いかもしれませんが、現実には、データを読み取ってポンプを制御することが、革新の驚異的な生態系を育んでいるということです」非営利のTidepoolのCEOであるD-糖尿病のデータとアプリのためのオープンなプラットフォームを作り出しています。

「デバイスメーカーは、データ制御プロトコルを安全で安全な方法で利用できるようにすることができます。ルックは、これはオープンソースに関するものではなく、公開データと制御プロトコルのリスクと地域社会のイノベーションを可能にする利点のバランスをとることについて述べています。特定のデバイスメーカの壁の外側からのものです。患者とオープンソースのコミュニティの中には、これらの恐ろしい見出しがデバイスメーカや規制当局に、デバイスを保護するための唯一の方法が制御プロトコルの撤去であると考えるようになる懸念がある。しかし、そうではないはずです。

"そう、あなたの将来のデバイスでそれらを安全にすることができますが、オープンコミュニケーションプロトコル（これらのように悪用するのは非常に困難です）は誰よりも優れています。医療機器のサイバーセキュリティの評価

もちろん、医療機器のサイバーセキュリティは、多くの専門家や組織によって調査されている恒久的な話題です。

カリフォルニア州の糖尿病技術協会は、2016年5月、FDA、NIH、国土安全保障省、米航空宇宙局（NASA）、米空軍、および米空軍の支援を受けて作成されたDTSec（Connected Diabetes DevicesプロジェクトのDTSサイバーセキュリティ標準）国立標準技術研究所それは約1年間の作品であり、現在進行中です。

ミルズ・ペニンシュラ保健サービス施設の糖尿病研究所の医師であるデビッド・クローノフ博士は、新しいDTSec標準を使用してデバイスメーカーを採用し、その製品を評価するよう現在組織している。彼は、このグループは「いくつかの業界のプレーヤー」との議論に入っており、すぐにメーカーがサインすることを期待していると言います。

Animasはこれまで、新しいDTSサイバーセキュリティ規格のサポートに関心を示していませんでした。その代わりに、同社はFDAと共同してその問題を内部で取り上げることを選択しました。

しかし、FDA規制当局が新基準に背を向けているのは、企業が遵守を強いられるまでには時間がかかるように見えるだけです。

クロノフは、3つの重要な要素に基づいていると考えています。 DTSは、DTSec標準を作成するためにFDAと協力し、規制の信頼性を真実にしました。 企業はサイバーセキュリティが優れていることを示すために、 。これにより、彼らはそれを文書化することができます…

規制上の罰金または潜在的な訴訟のために、潜在的に責任を負う可能性のある企業は、このDTSec規格に準拠していない場合、間違っていないと主張するのは難しいでしょう。

「私はこれがうまくいくと期待しており、いくつかの米国のデバイスメーカーと話している間に、私たちもこの国際化を進めるべく努力しています」とクロノフ氏は言います。

<！ Animasの特定のサイバーセキュリティ問題に関して、Klonoff氏は、これらの潜在的な問題をどのように処理すべきかについてのケーススタディだと考えていると言います。彼は、FDAとラドクリフと協力し、問題に対処できる救済策を提供することによって、J&Jが「責任をもって対応する」ことを賞賛しました。

「これは、患者の共同体のための修正なしに恐怖を作り出すか、それを比例して吹く代わりに行うべきである」とクロノフは述べた。 「これが、FDAがこれらのサイバーセキュリティ問題をどのように処理したいのかということです。誰もがここで正しい報告と分析を行い、サイバーセキュリティに対する希望があることを示しています。これはかなり良い結末を持つサイバーセキュリティストーリーです。 "

<！ - 2 - >

これも願っています。

免責事項

：糖尿病鉱山チームによって作成されたコンテンツ。詳細はこちらをクリックしてください。 免責事項 このコンテンツは、糖尿病コミュニティに焦点を当てた消費者向け健康ブログである糖尿病鉱業のために作成されました。内容は医学的にレビューされておらず、Healthlineの編集ガイドラインに準拠していません。 Healthlineと糖尿病鉱山とのパートナーシップの詳細については、こちらをクリックしてください。

<！ - 3 - >