حالة الأمن السيبراني لجهاز السكري في عام 2019

يبدو أن مخاوف الأمن السيبراني تلاحقنا في حلقة لا نهاية لها هذه الأيام. من بين طوفان من التقارير عن انتهاكات البيانات وانتهاك اتفاقيات الخصوصية والهجمات الإلكترونية في القطاعين الخاص والعام ، قد يكون من الصعب تحديد ما هو آمن حقًا.

الشيء الذي ينطوي على مخاطرة هو أنه حقيقي في بعض الأحيان ، وفي بعض الأحيان يتم إدراكه. معالجة المخاطر الحقيقية تؤدي إلى السلامة. في حين أن الاستحواذ على المخاطر المتصورة يؤدي إلى الخوف. إذن ما هو حقيقي هنا؟ وما الذي يتم فعله بالضبط لمعالجة مخاوف الأمن السيبراني لتقنية مرض السكري؟

التقدم المحرز في معايير الأمن السيبراني الطبي

في أكتوبر 2018 ، أصدرت إدارة الغذاء والدواء الأمريكية (FDA) إرشادات ما قبل السوق لجميع الأجهزة الطبية التي تحتوي على مخاطر إلكترونية. في وقت لاحق من الخريف ، أصدرت وزارة الصحة الكندية أيضًا وثيقة توجيهية تحتوي على توصيات بشأن الأمن السيبراني لتستخدمها شركات التكنولوجيا الطبية أثناء مراحل التطوير والاختبار. الفكرة بالطبع هي أنه باتباع الإرشادات ، سيقدم البائعون أجهزة آمنة بالفعل إلى السوق ، مقابل رؤية الأجهزة التي تم اكتشاف نقاط ضعفها بعد طرحها في السوق من خلال استخدام المريض.

وفقًا لبيان صحفي من وزارة الصحة الكندية ، من بين توصيات الأمن السيبراني للأجهزة المتوسطة في مسودة إرشاداتها ما يلي: 1) دمج تدابير الأمن السيبراني في عمليات إدارة المخاطر لجميع الأجهزة التي تحتوي على مكون برمجي ، 2) إنشاء أطر لإدارة مخاطر الأمن السيبراني على مستوى المؤسسة ، 3) التحقق والتحقق من جميع عمليات التحكم في مخاطر الأمن السيبراني. يوصون على وجه التحديد بإجراءات مثل تنفيذ معيار UL 2900 للأمن السيبراني للتخفيف من المخاطر ونقاط الضعف.

قال كين بيلجريم ، كبير مستشاري الشؤون التنظيمية وضمان الجودة في Emergo Group في فانكوفر ، إن التوجيه الجديد يجب أن يثبت قيمته لمصنعي الأجهزة الطبية ليس فقط في كندا ولكن أيضًا في الولايات القضائية الأخرى التي تطور متطلبات الأمن السيبراني المماثلة.

وفي الوقت نفسه ، تتقدم إجراءات معالجة الأمن السيبراني لأجهزة السكري على وجه التحديد في الولايات المتحدة.

في أواخر أكتوبر ، أعلنت جمعية تكنولوجيا مرض السكري (DTS) أن OmniPod DASH قد أصبحت أول مضخة أنسولين تمت الموافقة عليها من قِبل إدارة الأغذية والعقاقير (FDA) تحصل على شهادة بموجب معيار وبرنامج ضمان الأمن السيبراني الخاص بـ DTS's "Standard for Wireless Diabetes Device Security" ، والمعروف باسم DTSec.

تأسست DTS في عام 2001 من قبل الدكتور ديفيد كلونوف بهدف تعزيز استخدام وتطوير تكنولوجيا مرض السكري. DTSec هو في الأساس أول معيار أمان منظم لتقنية مرض السكري. فكر في الأمر على أنه نوع من ختم الأمان ، على غرار الطريقة التي نرى بها عنوان ويب https. تم وضع المعيار في عام 2016 بعد البحث والمدخلات من الأوساط الأكاديمية والصناعة والحكومة والمراكز السريرية. مثل معظم المعايير ، يُعد توجيهًا طوعيًا للمصنعين للنظر في اعتماده واتباعه.

منذ ذلك الحين ، واصلت المنظمة دفع أبحاث الأمن السيبراني وتقييم المخاطر ، واستضافة المؤتمرات ، وتطوير المزيد من الحماية المتعمقة.

في يونيو الماضي ، قبل بضعة أشهر من الإعلان عن OmniPod بعد DTSec ، أصدرت المجموعة إرشادات أمنية جديدة تسمى DTMoSt ، وهي اختصار لـ "استخدام الأجهزة المحمولة في سياقات التحكم في مرض السكري".

وفقًا لكلونوف ، المدير الطبي لمعهد أبحاث السكري في مركز ميلز بينينسولا الطبي ، سان ماتيو ، كاليفورنيا ، تعتمد إرشادات DTMoSt على DTSec من خلال أن تصبح المعيار الأول مع متطلبات الأداء ومتطلبات الضمان لمصنعي الأجهزة الطبية المتصلة التي يتحكم فيها منصة متنقلة.

يحدد DTMoSt التهديدات ، مثل الهجمات الخبيثة عن بُعد والقائمة على التطبيقات و "تجويع الموارد" ، للتشغيل الآمن للحلول التي تدعم الأجهزة المحمولة ويقدم إرشادات للمطورين والمنظمين وأصحاب المصلحة الآخرين للمساعدة في إدارة هذه المخاطر.

لا ينبغي للتدابير الأمنية أن تعيق الاستخدام

اليوم ، قد تكون جميع تطبيقات الهاتف الذكي الخاصة بمقياس السكر ، و CGM ، والسكري متصلة بالإنترنت ، وبالتالي فهي مفتوحة لمستوى معين من المخاطر.

ومع ذلك ، على الرغم من الحديث المستمر عن مخاطر إنترنت الأشياء ، يحذر الخبراء من أن المخاطر الفعلية على الجمهور منخفضة للغاية. عندما يتعلق الأمر بالأمان ، فإن الأشخاص السيئين ليسوا مهتمين ببيانات جلوكوز الدم لشخص ما (مقارنة بكلمة مرور حسابهم المصرفي).

ومع ذلك ، فإن الاستثمارات في الأمن السيبراني ضرورية كإجراءات وقائية للتهديدات وضمان الأمن الأساسي للمستخدمين والعملاء.

لكن الجانب السلبي هو أن تنفيذ تدابير الأمن السيبراني قد يعني في بعض الأحيان جعل النظام صعبًا جدًا أو مستحيلًا استخدامه لمشاركة البيانات بالطريقة المقصودة. الحيلة في المعادلة لا تحد من القدرة على التشغيل والوصول من قبل الأشخاص المعنيين.

وماذا عن الخصوصية؟ نلاحظ مرارًا وتكرارًا أنه بينما يقول الناس إنهم يعطون الأولوية للخصوصية ، يبدو أنهم يتصرفون بطريقة متناقضة ، من خلال الموافقة ، والتمرير ، والتوقيع بالأحرف الأولى ، والتوقيع ، ومنح الوصول إلى المعلومات والبيانات مع القليل جدًا من التفكير أو الاهتمام الحقيقي. الحقيقة هي ، نحن المستهلكون عادة لا نقرأ سياسات الخصوصية بعناية شديدة ، على كل حال. نحن فقط نضغط على زر "التالي".

موازنة الخوف والخوف

يحذر الكثير في الصناعة من الجانب السلبي للأمن السيبراني: التركيز على الخوف من أن الهوس يحد من الهوس ، ويعيق البحث ، وقد يؤدي في النهاية إلى خسارة الأرواح. هؤلاء هم الأشخاص الذين يدركون أن العالم السيبراني وأجهزتنا الخاصة بمرض السكري معرضة للخطر ، لكنهم يشعرون أن المبالغة في رد الفعل قد تكون أكثر خطورة.

يقول آدم براون ، كبير المحررين فيدياتريب ومؤلفالبقع المشرقة والألغام الأرضية: دليل مرض السكري الذي أتمنى أن يكون قد سلمني إليه أحد . "نحن بحاجة إلى أن تتحرك الشركات بشكل أسرع مما هي عليه ، ويمكن للأمن السيبراني أن يثير خوفًا لا داعي له. وفي الوقت نفسه ، يتواجد الناس في الخارج دون أي بيانات أو اتصال أو أتمتة أو دعم."

يرى هوارد لوك ، الرئيس التنفيذي لشركة Tidepool ، D-Dad ، والقوة الرئيسية وراء حركة # WeAreNotWaiting ، كلا الجانبين من المشكلة ، لكنه يتفق مع براون وخبراء الصناعة الآخرين الذين يخشون التحقق من معدل التقدم الطبي.

يقول لوك: "بالتأكيد ، يجب على شركات الأجهزة (بما في ذلك البرامج كشركات للأجهزة الطبية ، مثل Tidepool) أن تأخذ الأمن السيبراني على محمل الجد". "نحن بالتأكيد لا نرغب في خلق موقف يكون فيه خطر التعرض لهجوم جماعي على الأجهزة أو التطبيقات التي يمكن أن تلحق الضرر بالناس. لكن صور" المتسللين في القلنسوات "بجمجمة وعظمتين متقاطعتين على شاشات الكمبيوتر تخيف الأشخاص الذين لا يفعلون ذلك فهم حقًا ما هو على المحك. إنه يتسبب في إبطاء شركات الأجهزة ، لأنهم خائفون. ولا يساعدهم ذلك على فهم الشيء الصحيح الذي ينبغي عليهم فعله ". كان Look يشير إلى شرائح Powerpoint المعروضة في المؤتمرات الطبية لمرض السكري مع صور مخيفة تدعي وجود مخاطر إلكترونية.

تعتمد أنظمة OpenAPS و Loop ذات الحلقة المغلقة التي أصبحت شائعة من الناحية الفنية على "ثغرة أمنية" في مضخات Medtronic القديمة التي تسمح بالتحكم اللاسلكي عن بعد في هذه المضخات. لاختراق المضخات ، تحتاج إلى معرفة الرقم التسلسلي ، ويجب أن تكون قريبًا من المضخة لمدة 20 ثانية. "هناك طرق أسهل لقتل شخص ما إذا كان هذا ما تريد القيام به ،" يقول Look.

يجادل الكثيرون بأن هذه "الثغرة الأمنية" المقترحة في الأمن ، على الرغم من كونها مخيفة من الناحية النظرية ، هي فائدة كبيرة لأنها سمحت لآلاف الأشخاص بتشغيل OpenAPS و Loop ، لإنقاذ الأرواح وتحسين نوعية الحياة والصحة العامة لأولئك الذين يستخدمون هم.

نهج محسوب للمخاطر

المنظمات مثل DTS تقوم بعمل مهم. أمان الجهاز مهم. تعد عروض البحث والمؤتمرات حول هذا الموضوع ثوابت الصناعة - ستكون تكنولوجيا مرض السكري والأمن السيبراني محورًا للعديد من عناصر المؤتمر الدولي الثاني عشر حول التقنيات المتقدمة وعلاجات مرض السكري (ATTD 2019) الذي سيعقد في وقت لاحق من هذا الشهر في برلين. لكن هذه الحقائق لا تزال موجودة جنبًا إلى جنب مع حقيقة أن الناس بحاجة إلى أدوات أفضل وأقل تكلفة ، ونحن بحاجة إليها بسرعة.

يقول براون: "السمة المميزة للأجهزة الرائعة هي التحسين المستمر ، وليس الكمال". "يتطلب ذلك الاتصال وإمكانية التشغيل البيني وتحديث البرامج عن بُعد."

في حين أن الأجهزة معرضة للمخاطر ، يبدو أن الخبراء يتفقون على أنها آمنة ومأمونة تمامًا بشكل عام. للمضي قدمًا طوال عام 2019 وما بعده ، يبدو أن الإجماع هو أنه مع أهمية مراقبة المخاطر الإلكترونية ، غالبًا ما يتم المبالغة في تقدير هذه المخاطر ، ومن المحتمل أن تتضاءل مقابل المخاطر الصحية لعدم وجود أدوات متقدمة لمرض السكري.