ความกังวลด้านความปลอดภัยทางไซเบอร์ดูเหมือนจะทำให้เราวนเวียนไม่รู้จบในทุกวันนี้ ท่ามกลางรายงานการรั่วไหลของข้อมูลการละเมิดข้อตกลงความเป็นส่วนตัวและการโจมตีทางไซเบอร์ในภาคเอกชนและภาครัฐอาจเป็นเรื่องยากที่จะระบุได้ว่าอะไรคือสิ่งที่ปลอดภัยจริงๆ
และหลังจากการแฮ็กปั๊มอินซูลินสองสามครั้งทำให้กลัวไม่กี่ปีที่ผ่านมาเราอดสงสัยไม่ได้ว่าเรายืนอยู่ตรงไหนเกี่ยวกับความปลอดภัยของอุปกรณ์เบาหวานของเรา (และข้อมูลที่มี) ในปี 2019
สิ่งที่มีความเสี่ยงคือบางครั้งก็เป็นเรื่องจริงและบางครั้งก็รับรู้ได้ การจัดการกับความเสี่ยงที่แท้จริงนำไปสู่ความปลอดภัย ในขณะที่การหมกมุ่นอยู่กับการรับรู้ความเสี่ยงจะนำไปสู่ความกลัว แล้วที่นี่คืออะไร? และสิ่งที่กำลังทำอยู่เพื่อจัดการกับข้อกังวลด้านความปลอดภัยทางไซเบอร์ของเทคโนโลยีเบาหวาน?
ความคืบหน้าเกี่ยวกับมาตรฐานการรักษาความปลอดภัยทางไซเบอร์ทางการแพทย์
ในเดือนตุลาคม 2018 สำนักงานคณะกรรมการอาหารและยาของสหรัฐอเมริกา (FDA) ได้ออกคำแนะนำก่อนวางตลาดสำหรับอุปกรณ์ทางการแพทย์ทั้งหมดที่มีความเสี่ยงทางไซเบอร์ ต่อมาในช่วงฤดูใบไม้ร่วง Health Canada ยังได้เผยแพร่เอกสารคำแนะนำที่มีคำแนะนำด้านความปลอดภัยทางไซเบอร์เพื่อให้ บริษัท เทคโนโลยีทางการแพทย์ใช้ในระหว่างขั้นตอนการพัฒนาและการทดสอบ แนวคิดที่แน่นอนคือการปฏิบัติตามแนวทางดังกล่าวผู้ขายจะนำอุปกรณ์ออกสู่ตลาดที่มีความปลอดภัยอยู่แล้วเทียบกับการดูอุปกรณ์ที่มีการค้นพบช่องโหว่หลังการวางตลาดผ่านการใช้งานของผู้ป่วย
ตามข่าวประชาสัมพันธ์ของ Health Canada หนึ่งในคำแนะนำด้านความปลอดภัยทางไซเบอร์ของอุปกรณ์ทางการแพทย์ในคำแนะนำฉบับร่าง ได้แก่ 1) การรวมมาตรการรักษาความปลอดภัยทางไซเบอร์เข้ากับกระบวนการจัดการความเสี่ยงสำหรับอุปกรณ์ทั้งหมดที่มีส่วนประกอบซอฟต์แวร์ 2) การสร้างกรอบสำหรับการจัดการความเสี่ยงด้านความปลอดภัยทางไซเบอร์ในระดับองค์กร และ 3) การตรวจสอบและตรวจสอบความถูกต้องของกระบวนการควบคุมความเสี่ยงด้านความปลอดภัยทางไซเบอร์ทั้งหมด พวกเขาแนะนำมาตรการโดยเฉพาะเช่นการปฏิบัติตามมาตรฐานความปลอดภัยทางไซเบอร์ UL 2900 เพื่อลดความเสี่ยงและช่องโหว่
Ken Pilgrim ที่ปรึกษาด้านกฎระเบียบอาวุโสและการประกันคุณภาพของ Emergo Group ในแวนคูเวอร์กล่าวว่าคำแนะนำใหม่นี้ควรพิสูจน์ว่ามีประโยชน์ต่อผู้ผลิตอุปกรณ์ทางการแพทย์ไม่เพียง แต่ในแคนาดา แต่ยังรวมถึงเขตอำนาจศาลอื่น ๆ ที่พัฒนาข้อกำหนดด้านความปลอดภัยทางไซเบอร์ที่คล้ายคลึงกัน
ในขณะเดียวกันมาตรการเพื่อแก้ไขปัญหาความปลอดภัยทางไซเบอร์ของอุปกรณ์เบาหวานโดยเฉพาะกำลังดำเนินต่อไปในสหรัฐอเมริกา
ในช่วงปลายเดือนตุลาคม Diabetes Technology Society (DTS) ได้ประกาศว่า OmniPod DASH ได้กลายเป็นปั๊มอินซูลินที่ผ่านการรับรองจาก FDA เครื่องแรกที่ได้รับการรับรองภายใต้มาตรฐานและโปรแกรมการประกันความปลอดภัยทางไซเบอร์ของ“ Standard for Wireless Diabetes Device Security” ของ DTS หรือที่เรียกว่า DTSec
DTS ก่อตั้งขึ้นในปี 2544 โดย Dr. David Klonoff โดยมีวัตถุประสงค์เพื่อส่งเสริมการใช้และพัฒนาเทคโนโลยีโรคเบาหวาน DTSec เป็นมาตรฐานความปลอดภัยที่จัดขึ้นเป็นครั้งแรกสำหรับเทคโนโลยีโรคเบาหวาน คิดว่ามันเป็นตราประทับความปลอดภัยคล้ายกับที่เราเห็นที่อยู่เว็บ https มาตรฐานนี้ก่อตั้งขึ้นในปี 2559 หลังจากการวิจัยและข้อมูลจากสถาบันการศึกษาอุตสาหกรรมรัฐบาลและศูนย์การแพทย์ เช่นเดียวกับมาตรฐานส่วนใหญ่คำแนะนำโดยสมัครใจสำหรับผู้ผลิตในการพิจารณาปรับใช้และปฏิบัติตาม
ตั้งแต่นั้นเป็นต้นมาองค์กรได้ผลักดันการวิจัยด้านความปลอดภัยทางไซเบอร์และการประเมินความเสี่ยงอย่างต่อเนื่องจัดการประชุมและพัฒนาการป้องกันในเชิงลึกมากขึ้น
เมื่อเดือนมิถุนายนที่ผ่านมาไม่กี่เดือนก่อนที่จะมีการประกาศเกี่ยวกับ OmniPod ตาม DTSec กลุ่มนี้ได้ออกคำแนะนำด้านความปลอดภัยใหม่ที่เรียกว่า DTMoSt ซึ่งย่อมาจาก“ Use of Mobile Devices in Diabetes Control Contexts”
ตามที่ Klonoff ผู้อำนวยการด้านการแพทย์ของสถาบันวิจัยโรคเบาหวานที่ Mills-Peninsula Medical Center, San Mateo, CA, แนวทาง DTMoSt สร้างขึ้นจาก DTSec โดยเป็นมาตรฐานแรกที่มีทั้งข้อกำหนดด้านประสิทธิภาพและข้อกำหนดด้านการประกันสำหรับผู้ผลิตอุปกรณ์ทางการแพทย์ที่เชื่อมต่อซึ่งควบคุมโดย a แพลตฟอร์มมือถือ
DTMoSt ระบุภัยคุกคามเช่นการโจมตีจากระยะไกลที่เป็นอันตรายและการโจมตีโดยใช้แอปและ“ การอดอยากทรัพยากร” ไปจนถึงการทำงานอย่างปลอดภัยของโซลูชันที่เปิดใช้งานอุปกรณ์พกพาและให้คำแนะนำแก่นักพัฒนาหน่วยงานกำกับดูแลและผู้มีส่วนได้ส่วนเสียอื่น ๆ เพื่อช่วยจัดการความเสี่ยงเหล่านี้
มาตรการรักษาความปลอดภัยไม่ควรขัดขวางการใช้งาน
ปัจจุบันแอปสมาร์ทโฟนกลูโคมิเตอร์ CGM และเบาหวานของใครคนหนึ่งอาจเชื่อมต่อกับอินเทอร์เน็ตดังนั้นจึงเปิดรับความเสี่ยงในระดับหนึ่ง
แม้ว่าจะมีการพูดถึงอันตรายของ Internet of Things อย่างต่อเนื่อง แต่ผู้เชี่ยวชาญก็เตือนว่าความเสี่ยงที่แท้จริงต่อสาธารณชนนั้นค่อนข้างต่ำ ในเรื่องความปลอดภัยคนไม่ดีไม่เพียง แต่สนใจข้อมูลระดับน้ำตาลในเลือดของใครบางคน (เมื่อเทียบกับรหัสผ่านบัญชีธนาคารของพวกเขา)
ดังที่กล่าวมาการลงทุนด้านความปลอดภัยทางไซเบอร์เป็นสิ่งจำเป็นเพื่อเป็นมาตรการป้องกันภัยคุกคามและสร้างความมั่นใจในความปลอดภัยขั้นพื้นฐานของผู้ใช้และลูกค้า
แต่ข้อเสียคือการใช้มาตรการรักษาความปลอดภัยทางไซเบอร์ในบางครั้งอาจหมายถึงการทำให้ระบบใช้งานยากมากหรือเป็นไปไม่ได้ที่จะใช้สำหรับการแบ่งปันข้อมูลตามที่ตั้งใจไว้ เคล็ดลับในสมการไม่ได้จำกัดความสามารถในการดำเนินการและการเข้าถึงโดยบุคคลที่ตั้งใจไว้
แล้วความเป็นส่วนตัวล่ะ? เราเห็นครั้งแล้วครั้งเล่าว่าแม้ว่าผู้คนจะบอกว่าพวกเขาให้ความสำคัญกับความเป็นส่วนตัว แต่ดูเหมือนว่าพวกเขาจะดำเนินการในลักษณะที่ขัดแย้งกันโดยการยินยอมเลื่อนเริ่มต้นลงนามและให้การเข้าถึงข้อมูลและข้อมูลด้วยความคิดหรือความกังวลที่แท้จริงเพียงเล็กน้อย ความจริงก็คือพวกเราผู้บริโภคมักจะไม่อ่านนโยบายความเป็นส่วนตัวอย่างระมัดระวังหากเลย เราเพียงแค่กดปุ่ม "ถัดไป"
ชดเชยความกลัวและความกังวลใจ
หลายคนในอุตสาหกรรมเตือนถึงด้านที่ไม่พึงประสงค์ของการรักษาความปลอดภัยทางไซเบอร์: การมุ่งเน้นไปที่ความกลัวที่มีพรมแดนติดกับความหมกมุ่นการวิจัยที่มีสไตล์และอาจทำให้เสียชีวิตได้ในที่สุด คนเหล่านี้รับรู้ว่าโลกไซเบอร์และอุปกรณ์เบาหวานของเราเปิดรับความเสี่ยง แต่รู้สึกว่าการตอบสนองมากเกินไปอาจเป็นอันตรายได้มากกว่า
“ ปัญหาทั้งหมดของ ‘ความปลอดภัยในโลกไซเบอร์ในอุปกรณ์’ ได้รับความสนใจมากกว่าที่ควรจะเป็น” อดัมบราวน์บรรณาธิการอาวุโสของ diaTribe และผู้เขียน จุดสว่างและทุ่นระเบิด: คู่มือโรคเบาหวานที่ฉันต้องการให้ใครสักคนช่วยฉัน. “ เราต้องการให้ บริษัท ต่างๆดำเนินการให้เร็วกว่าที่เป็นอยู่และการรักษาความปลอดภัยในโลกไซเบอร์สามารถกระตุ้นให้เกิดความกลัวโดยไม่จำเป็น ในขณะเดียวกันผู้คนก็ออกไปข้างนอกโดยไม่มีข้อมูลไม่มีการเชื่อมต่อไม่มีระบบอัตโนมัติและไม่ได้รับการสนับสนุน”
Howard Look ซีอีโอของ Tidepool, D-Dad และกำลังสำคัญที่อยู่เบื้องหลังการเคลื่อนไหว #WeAreNotWaiting มองเห็นปัญหาทั้งสองด้าน แต่เห็นด้วยกับบราวน์และผู้เชี่ยวชาญในอุตสาหกรรมอื่น ๆ ที่กลัวการตรวจสอบอัตราความก้าวหน้าทางการแพทย์
“ แน่นอนว่า บริษัท อุปกรณ์ (รวมถึงซอฟต์แวร์ในฐานะ บริษัท อุปกรณ์ทางการแพทย์เช่น Tidepool) ต้องให้ความสำคัญกับความปลอดภัยทางไซเบอร์เป็นอย่างมาก” Look กล่าว “ เราไม่ต้องการสร้างสถานการณ์ที่มีความเสี่ยงที่จะเกิดการโจมตีจำนวนมากบนอุปกรณ์หรือแอปที่อาจเป็นอันตรายต่อผู้คน แต่ภาพของ "แฮ็กเกอร์ในเสื้อมีฮู้ด" ที่มีกะโหลกศีรษะและไขว้บนหน้าจอคอมพิวเตอร์ทำให้ผู้คนที่ไม่เข้าใจสิ่งที่เป็นอันตรายจริงๆ มันทำให้ บริษัท อุปกรณ์ทำงานช้าลงเพราะพวกเขากลัว มันไม่ได้ช่วยให้พวกเขาเข้าใจสิ่งที่ควรทำ” Look อ้างถึงสไลด์ Powerpoint ที่แสดงในการประชุมทางการแพทย์โรคเบาหวานพร้อมภาพที่น่าขนลุกที่อ้างถึงอันตรายในโลกไซเบอร์
ระบบลูปปิดแบบ OpenAPS และ Loop ที่ได้รับความนิยมนั้นมีพื้นฐานมาจาก“ ช่องโหว่” ในปั๊ม Medtronic รุ่นเก่าที่ช่วยให้สามารถควบคุมเครื่องสูบน้ำเหล่านี้ได้จากระยะไกลแบบไร้สาย ในการแฮ็กปั๊มคุณต้องรู้หมายเลขซีเรียลและคุณต้องอยู่ใกล้กับปั๊มเป็นเวลา 20 วินาที “ มีวิธีที่ง่ายกว่าในการฆ่าใครบางคนถ้านั่นคือสิ่งที่คุณต้องการทำ” Look กล่าว
หลายคนโต้แย้งว่า“ ช่องโหว่” ที่เสนอนี้ในด้านความปลอดภัยซึ่งน่ากลัวอย่างที่คิดในทางทฤษฎีเป็นประโยชน์อย่างมากเนื่องจากช่วยให้ผู้คนหลายพันคนสามารถเรียกใช้ OpenAPS และ Loop ช่วยชีวิตและปรับปรุงคุณภาพชีวิตและสุขภาพของประชาชนสำหรับผู้ที่ใช้ พวกเขา
วิธีการวัดความเสี่ยง
องค์กรดังกล่าว DTS กำลังทำงานที่สำคัญ ความปลอดภัยของอุปกรณ์มีความสำคัญ และการนำเสนองานวิจัยและการประชุมในหัวข้อนี้ถือเป็นค่าคงที่ของอุตสาหกรรมเทคโนโลยีโรคเบาหวานและความปลอดภัยในโลกไซเบอร์จะเป็นจุดสำคัญขององค์ประกอบหลายประการของการประชุมนานาชาติเรื่องเทคโนโลยีขั้นสูงและการรักษาโรคเบาหวานครั้งที่ 12 (ATTD 2019) ซึ่งจัดขึ้นในปลายเดือนนี้ที่เบอร์ลิน แต่ความจริงเหล่านั้นยังคงมีอยู่ควบคู่ไปกับความเป็นจริงที่ว่าผู้คนต้องการเครื่องมือที่ดีกว่าซึ่งมีราคาไม่แพงและเราต้องการมันอย่างรวดเร็ว
“ จุดเด่นของอุปกรณ์ที่ยอดเยี่ยมคือการปรับปรุงอย่างต่อเนื่องไม่ใช่ความสมบูรณ์แบบ” บราวน์กล่าว “ สิ่งนี้ต้องการการเชื่อมต่อการทำงานร่วมกันและการอัปเดตซอฟต์แวร์ระยะไกล”
แม้ว่าอุปกรณ์จะเปิดรับความเสี่ยงผู้เชี่ยวชาญดูเหมือนจะยอมรับว่าโดยทั่วไปแล้วค่อนข้างปลอดภัย นับจากนี้ไปตลอดปี 2019 และหลังจากนั้นฉันทามติดูเหมือนว่าในขณะที่การจับตาดูความเสี่ยงในโลกไซเบอร์เป็นสิ่งสำคัญ แต่ความเสี่ยงนั้นมักจะเกินจริงและอาจมีผลต่อความเสี่ยงต่อสุขภาพจากการไม่มีเครื่องมือเบาหวานขั้นสูง