Um olhar sobre a reação em hacking de bomba de insulina e segurança

Quando a história de hacking da bomba de insulina quebrou duas semanas atrás, nós a consideramos principalmente como um golpe de publicidade. Mas teve algumas repercussões interessantes. Notavelmente, dois membros do congresso intensificaram e solicitaram que o Government Accountability Office (GAO) analise a abordagem da Comissão Federal de Comunicações sobre dispositivos médicos com capacidades sem fio para garantir que os dispositivos sejam "seguros, confiáveis ​​e seguros". Bem, isso parece boas notícias …

O hullabaloo foi suficiente para o instigador Jay Radcliffe, especialista em segurança informática e PWD de tipo 1, para realizar um seminário de acompanhamento na última quinta-feira. Abaixo está uma sinopse das notas de Allison desse evento:

* A partir de quinta-feira passada, o fabricante da bomba Jay invadiu foi revelado como Medtronic Minimed.

* Seu raciocínio e motivação para fazer o hack? Jay afirma que ele se inspirou na história de dois homens que invadiram um metro da cidade em São Francisco há alguns anos atrás. A cidade foi forçada a reavaliar medidas de segurança para os medidores. Jay aparentemente "teve o mesmo em mente" quando ele pirateou sua própria bomba de insulina. Ele diz que queria ajudar as empresas mostrando suas "vulnerabilidades de segurança".

* As reações à apresentação original de Jay correram a maior parte, mas o mais importante para Jay até agora era o de Medtronic. A empresa descartou amplamente a noção de possíveis riscos. É por isso que Jay decidiu se tornar público com o nome do fabricante, ele diz. "Me deixar fora não é uma resposta ética."

O resultado é que ele parece estar em um bocado de uma partida irritada com a empresa - ou pelo menos um "ele diz, ela diz" situação em que a verdade provavelmente está em algum lugar entre:

* Jay explica: "A Electronic Frontier Foundation e eu trabalhamos muito nessa questão. Muitas vezes, na comunidade de segurança, criaremos um problema sem entrar em contato com um fornecedor. Empresas que não estão atualizadas com segurança Muitas vezes, as questões tentam e litigam para evitar que a pesquisa venha à luz. É fácil enterrar a pesquisa legítima de um indivíduo em uma montanha de documentos legais. A resposta a essa é a divulgação ética … Geralmente, a empresa aprecia esse gesto e conserta a Problema sem ter escrutínio público ou pressão para apressar algo. Alguns não. "

* Jay escolheu a reação de Medtronic, ponto a ponto:

Medtronic diz:" a segurança da informação dos dispositivos … é parte integrante do próprio tecido dos nossos processos de design de produtos.

Jay diz: "isto claramente não é o caso", como ele descobriu em seu hackeamento, não havia "nenhuma autenticação ou criptografia usada" e que ele publicamente mostrou em Vegas que

são vulnerabilidades.

Medtronic diz: "Graças a (nossas) medidas de segurança da informação, acreditamos fortemente que seria extremamente difícil para um terceiro manipular sua bomba de insulina sem fio".

Jay diz: "Não há medidas de segurança. Precisar saber o número de série do dispositivo não é segurança". Ele afirma que seria bastante fácil para qualquer hacker inventar o número de série de seis dígitos para uma bomba de insulina. (Não temos certeza de como …?)

Jay diz:" Até agora ". Obviamente, é só porque ninguém pensou

para invadir uma bomba de insulina. Mas só porque ninguém jamais pensou em fazê-lo ainda não significa que ninguém nunca

fará. (Adivinhe nós teríamos concordado lá: cruzar os dedos não é uma medida de segurança.)

Medtronic diz: "Ele … TURNADO no recurso sem fio e teve acesso a equipamentos especializados … você pode remover qualquer incerteza desligando a comunicação sem fio em seu dispositivo." Jay diz: " isto é errado e não verdadeiro "e que a capacidade sem fio de uma bomba de insulina não pode ser desligada. É por isso que ele conseguiu alterar qualquer configuração ou configuração em seu dispositivo. Além disso, ele tem escrúpulos com o rótulo de "equipamento especializado", dizendo que ele usou seu dispositivo USB

Carelink. Embora ele não tenha dado instruções passo a passo em

como ele usou esse equipamento, Jay realizou todo o hack no palco em Las Vegas no que ele disse que era "cerca de um minuto".

< ! --2 ->

Jay também afirma que ele trabalhou com o Departamento de Segurança Interna para entrar em contato com o escritório do CEO da Medtronic e deixou mensagens lá no dia 10 de agosto. Claro, tivemos que olhar um pouco mais para o Outro lado da história. Veja como Medtronic respondeu às nossas perguntas: John Mastrototaro, vice-presidente de pesquisa e desenvolvimento da Medtronic, nos contou, em um telefonema, em 26 de agosto que acabara de falar com o Departamento de Segurança Interna em "uma discussão informal para siga as afirmações que Jay fez. " Ele diz que esta foi a sua primeira conversa com o DHS e ele não estava ciente de que eles tentaram entrar em contato com a Medtronic sobre esse assunto anteriormente.

Especificamente, ele diz: "Existe alguma segurança e autenticação no produto. Mas não há criptografia. Esses têm dois significados diferentes para esses especialistas de segurança". Ele reiterou que seu "principal método de segurança" está no segredo do número de série de seis dígitos, localizado na parte traseira de uma bomba de insulina. Outra publicação de reação no blog da empresa que surgiu na sexta-feira afirmou: "Recomendamos que você proteja o número de série da sua bomba, como você faria com seu número de segurança social, senhas e outras informações pessoais importantes". Hmmm.

John também afirmou: "Um desafio para nós como uma organização é que temos que fazer trade-offs sobre onde vamos colocar nossos dólares de pesquisa e quais os problemas que vamos resolver.Fizemos muito foco no Projeto do Pâncreas Artificiais … Nossas novas plataformas terão a mais recente tecnologia de criptografia nesses dispositivos. Tentando ficar muito à frente da bola é muito difícil. Pode levar 5-7 anos para a nova tecnologia sair. Sempre haverá um risco potencial de que haja uma evolução da tecnologia que ultrapasse os produtos. Nossa abordagem definitivamente foi pró-ativa e séria, embora seja um risco remoto, como Jay disse. Queremos incorporar soluções para as nossas futuras iterações de produtos para que possamos tornar ainda mais difícil esse tipo de coisa. "

Um fato relevante é que a segurança no A bomba de insulina Paradigm tem 12-14 anos. "Isso foi criado antes do 11 de setembro, antes que a intenção maliciosa realmente surgisse - quando você costumava pegar uma garrafa de água no avião", diz John. Doze a 14 anos? Não há suficientes bombas de insulina novas desde então que poderiam ter feito apenas uma

pequena

atualizações em segurança? Admitiremos que a probabilidade de hackeamento parece bastante baixa. Mas ainda, mais de uma década e < não

atualizações de segurança?

Os dois congressistas que entram na briga são Reps. Anna Eshoo da Califórnia e Edward Markey de Massachusetts, ambos os democratas. Em sua carta ao Government Accountability Office (GAO), eles pedem um relatório sobre a medida em que a FCC é: Identificando os desafios e riscos que representa a proliferação de medicamentos implantes e outros dispositivos que utilizam tecnologia de banda larga e sem fio. Tomando medidas para melhorar a eficiência dos processos regulatórios aplicáveis ​​aos dispositivos médicos com banda larga e sem fio. Garantir dispositivos médicos sem fio ativados não causará interferência prejudicial a outros equipamentos.

Supervisionando esses dispositivos para garantir que eles sejam seguros, confiáveis ​​e seguros.

Coordenando suas atividades com a Food and Drug Administration. "

2. Eles também escrevem:" Ao divulgar tecnologias e dispositivos sem fio inovadores para cuidados de saúde, é fundamental que esses dispositivos sejam capazes de operar em conjunto e com outros equipamentos hospitalares, e não interferir com as atividades e transmissões de dados uns dos outros. "
3. Jay Radcliffe está, obviamente, muito entusiasmado com esse desenvolvimento. Para ele, o comportamento da empresa em resposta a esta revelação é mais preocupante do que o próprio hacking.
4. Com essa nota, Jay anunciou que ele não é mais um usuário da Medtronic, mas mudou para Animas. Ele planeja cortar sua bomba de insulina de forma semelhante. Se for bem-sucedido, ele diz , "Eu tomarei as mesmas ações que fiz anteriormente. Espero que Animas / J & J se comportem melhor do que a Medtronic. "Olhe, Animas!
5. Então, o que tudo isso significa para o resto de nós pumpers? Claro que só podemos atravessar os dedos que isso não vai mais encurralar o processo de FDA já dolorosamente lento para aprovar novos dispositivos de diabetes, como o sistema Medtronic Veo com baixa função de suspensão de glicose (espero que seja hacker-safe!).

Devemos também estar preocupados com os riscos reais e imediatos para nossa segurança pessoal? Eu acho que o SecurityWatch disse o melhor quando eles declararam recentemente: "O hack do Radcliffe é interessante e útil para pressionar os fabricantes de dispositivos para melhorar sua segurança, mas não especialmente assustador."

* * *

Segurança da pressão da cabine:

como se nossas preocupações como bombas não fossem suficientemente numerosas, agora um endocrinologista na Austrália descobriu que as mudanças de pressão da cabine no vôo podem ocasionalmente mexer com a dosagem.

Depois de ouvir que uma menina de 10 anos baixou uma hora após a decolagem (e nós, supondo que descartaram todas as

outras

possíveis causas de um baixo nível de açúcar no sangue?!), Bruce King of John Hunter Children's Hospital em Newcastle, Austrália, e seus colegas descobriram outros casos de pumpers de insulina que também foram baixos após a decolagem. Aparentemente, isso foi suficiente para provocar um mini-estudo em que enviaram 10 bombas de insulina no ar e descobriram que eles deram, em média, 1-1. 4 unidades extras de insulina durante a decolagem. Durante a descida, quando a pressão da cabine estava aumentando, alguma insulina foi sugada de volta para dentro das bombas, em cerca de 1 unidade.

É claro que 10 bombas de insulina dificilmente são um número estatisticamente significativo, e uma unidade de insulina provavelmente não será dispendiosa para a maioria dos pacientes adultos (mas fez grande diferença para os 10 anos de idade). . Diríamos que os pais de crianças pequenas que tendem a diminuir durante as viagens aéreas podem querer tomar nota e ajustar em conformidade.

Disclaimer

: Conteúdo criado pela equipe da Diabetes Mine. Para mais detalhes clique aqui. Disclaimer Este conteúdo é criado para Diabetes Mine, um blog de saúde do consumidor focado na comunidade de diabetes. O conteúdo não é revisado por médicos e não adere às diretrizes editoriais da Healthline. Para mais informações sobre a parceria da Healthline com Diabetes Mine, clique aqui.