مضخة الأنسولين خطر القرصنة في أنيماس أونيتوش بينغ؟

جدول المحتويات:

أنيماس يفسر المشكلة
سايبر سيكوريتي هاكر سيس …
رأى البعض أن هذه محاولة محجوبة من قبل أنيماس لتشويه سمعة المشاريع المفتوحة المصدر مثل نايتسكوت و #OpenAPS باعتبارها مساعي محفوفة بالمخاطر على أساس الاتصالات غير المشفرة. وتساءل آخرون إذا كان أكثر حيلة من قبل أنيماس على ما يبدو رمي أيديها ويقول: "يا، قراصنة جهاز D و أوبنبابس المبدعين - يمكنك استخدام مضخات لدينا وليس فقط تلك من مدترونيك!"
في أيار / مايو 2016، أعلنت جمعية تكنولوجيا السكري التي تتخذ من كاليفورنيا مقرا لها، عن مشروع دتسك (دتس سيبيركوريتي ستاندارد فور كونكتد ديابيتس ديفيسس بروجيكت)، الذي تم إنشاؤه بدعم من إدارة الأغذية والعقاقير الأمريكية والمعاهد الوطنية للصحة وقسم الأمن الداخلي وناسا والقوات الجوية الأمريكية المعهد الوطني للمعايير والتكنولوجيا! وكان ذلك في الأعمال لمدة عام تقريبا، ويجري الآن.

تحلق الأخبار على كشف جديد بأن مضخة أنيماس أونيتوش بينغ للأنسولين معرضة لخطر الاختراق، حيث تصدر الشركة المصنعة رسالة مطمئنة للمرضى تتضمن نصائح حول الحد من مخاطر الأمن السيبراني.

في يوم الثلاثاء 4 أكتوبر، أصدر أنجاس المملوكة من قبل جنج تنبيه الأمن السيبراني لمستخدمي أونيتوش بينغ، والذي كان متوفرا منذ عام 2008 ويتواصل مع متر الجلوكوز للترويض عن بعد.

يقول جنج أنه اكتشف عيبا محتملا استنادا إلى نصيحة من خبير الأمن السيبراني المعروف جاي رادكليف، الذي يعيش مع T1D، وقدم اسما لنفسه عن طريق الكشف عن مخاطر القرصنة في مضخات مدترونيك منذ عدة سنوات. اتصل بالشركة في أبريل ليقول إنه اكتشف طريقا لشخص ما من أجل الوصول غير المصرح به إلى المضخة من خلال نظام اتصالات الترددات الراديوية غير المشفر.

لقد قاموا باستكشاف هذه المسألة بشكل جماعي منذ أن أخطروا إدارة الغذاء والدواء ووزارة الأمن الداخلي، والآن بعد ستة أشهر، على استعداد للكشف عن هذه القضية علنا مع تفاصيل حول كيفية مكافحتها.

بالطبع، وسائل الإعلام الرئيسية التقطت على القصة بسرعة، وإن لم يكن تماما لمستوى الهيجان رأيناه في الماضي. الجهاز الطبي القرصنة يجعل دائما عن العصير الأخبار، وكان خط مؤامرة في البرامج التلفزيونية شعبية مثل القائمة السوداء قبل بضع سنوات.

في هذه الحالة، أنيماس يقول خطر منخفض للغاية وأنه لا يوجد دليل على أي شخص القرصنة فعلا في الجهاز. بدلا من ذلك، هذا حدث "اليوم الصفر" الذي تكون فيه الشركة مضطرة لفضح الضعف للشفافية على المحتملة المخاطر، وتقديم الإصلاحات.

أن نكون واضحين، ونحن في ' الألغام لا أعتقد أن هذا هو تهديد بشكل خاص. بصراحة، ونحن على الأرجح أن نرى سامسونج ملاحظة 7 بطارية الهاتف تنفجر في مكان قريب من رؤية شخص ما الإختراق في مضخة الأنسولين للقيام الضرر.

ولكن مع ذلك، يجب أن تؤخذ أمن أجهزتنا على محمل الجد. وهو موضوع مهم تنظر فيه إدارة الأغذية والعقاقير الآن في التوجيه النهائي للمصنعين حتى ونحن نتكلم (بعد فترة التعليق العام في وقت سابق من هذا العام على مشروع الإرشادات).

الآن، تصبح أنيماس مضخة أحدث جهاز لرفع الأعلام الحمراء عن المخاطر المحتملة …

أنيماس يفسر المشكلة

في وقت سابق من هذا الأسبوع، نظمت جنج مؤتمر عبر الهاتف مع عدد قليل من وسائل الإعلام مرض السكري والدعاة ل مناقشة هذه المسألة. على هذه الدعوة كان كبير الأطباء الطبيين جنج الدكتور براين ليفي ونائب رئيس أمن المعلومات مارين أليسون.

وأوضحوا أن جنج قد أنشأت موقعا على شبكة الإنترنت في أبريل للمرضى حول المخاوف المحتملة للأمن السيبراني، والتي كانت مرتبطة بإرشادات ادارة الاغذية والعقاقير وجاءت بعد 18 شهرا من المناقشة بين الشركة المصنعة، قسم الأمن السيبراني فدا و Dept.أمن الوطن.

بعد وقت قصير من إعداد هذا الموقع، تلقوا كلمة من رادكليف حول هذا الخلل الأمني الخاص في أنيماس بينغ - على وجه التحديد أن الترددات الراديوية غير المشفرة المستخدمة لتمكين الاتصال عن بعد بين المضخة والمتر يمكن أن يحتمل يمكن العبث بها، مما يسمح لشخص ما لتسليم الأنسولين من 25 قدما بعيدا (نشرت رادكليف التفاصيل التقنية على هذا الموقع أمن المعلومات Rapid7).

J & J أنيماس يؤكد أن لا أحد قد اخترق أونيتوش بينغ. بدلا من ذلك، قام رادكليف باختباره في "بيئة خاضعة للرقابة" فقط لإثبات أنه يمكن الإختراق في الجهاز وفي القيام بذلك، يتعرض للخطر المحتمل.

وأوضح المتحدثون باسم الشركة أنهم قرروا عدم إصدار تحديث للعدادات عن بعد في جزء كبير منه بسبب المخاطر المنخفضة جدا، وحقيقة أنه يمكن التخفيف من المخاطر مع بعض الخطوات السهلة. و "إصلاح التصحيح" على ما يبدو غير ممكن نظرا للترددات الراديوية المستخدمة، لأنه سيجعل النظم الحالية غير صالحة للاستعمال.

الرسالة التي أرسلتها الشركة إلى 114000 من مرضى بينغ وأطبائهم في الولايات المتحدة وكندا قدمت هذه النصيحة إلى المعنيين:

تعيين تنبيهات بالاهتزاز: تشغيل ميزة الاهتزاز لمضخة الأنسولين، والتي سوف يخطر المستخدم أن جرعة بلعة يتم البدء من قبل جهاز القياس عن بعد. هذا يعطي المستخدم الخيار لإلغاء أي البلعة غير المرغوب فيها، وبالطبع فإنه من الممكن فقط لتغيير الجرعة الأساسية وإعدادات القاعدية من المضخة نفسها.

مشاهدة تاريخ الأنسولين: أنيماس يحث المستخدمين بينغ على تبويب سجلات الأنسولين التاريخ داخل المضخة. يتم تسجيل كل كمية تسليم الأنسولين، سواء كان ذلك بسبب العداد أو المضخة، في هذا التاريخ، ويمكن مراجعتها لأي مخاوف.

إيقاف متر ميزة البعيد: وهذا بالطبع بوقف الاتصالات الترددات اللاسلكية بين لمسة واحدة بينغ متر ومضخة الأنسولين، وهذا يعني أن المستخدمين لن تكون قادرة على رؤية نتائج السكر في الدم على مضخة أو استخدام متر للسيطرة على الجرعات الجرعات. بدلا من ذلك، يجب على المستخدمين يدويا في بغس على المضخة والبلعة من هذا الجهاز.

الحد المسموح به: بالنسبة لأولئك الذين يرغبون في الاستمرار في استخدام متر لالترويض عن بعد، يمكنك استخدام إعدادات مضخة للحد من كمية بولس ماكس، والمبلغ تسليمها في غضون ساعتين الأولى، والجرعة اليومية الإجمالية من الأنسولين. أي محاولة لتجاوز أو تجاوز تلك الإعدادات سوف يؤدي إلى إنذار مضخة ومنع تسليم جرعة الأنسولين.

نحن نقدر أنيماس اتخاذ تدابير لتهدئة المخاوف وتقديم نصائح سليمة لأولئك الذين قد تكون قلقة. ومع ذلك، فإنه من الغريب أن الأمر استغرق خمس سنوات لاكتشاف هذا الضعف في نظام بينغ بالنظر إلى أن قضية مماثلة ظهرت في عام 2011 مع مضخة منافسة.

يقول أنيماس هذه ليست مشكلة لنظامها الحالي أنيماس فيب الذي يتصل مع دسكوم سغم، لأن ذلك لا يتضمن نفس الميزة تمكين رف السماح للمتر ومضخة للتحدث مع بعضهم البعض. ولكن بالطبع تقول الشركة أنها تخطط "لبناء الأمن السيبراني في الأجهزة المستقبلية" لأنها تتحرك إلى الأمام مع خط أنابيب المنتج.

سايبر سيكوريتي هاكر سيس …

بالنسبة لأولئك الذين لم يسمعوا اسم جاي رادكليف من قبل، كان بارزا على جبهة الأمن السيبراني لعدة سنوات حتى الآن. تم تشخيصه مع T1D في سن 22، وقال انه اصدر العناوين الرئيسية في عام 2011 عندما القرصنة مضخة مدترونيك والإفراج عن النتائج التي توصل إليها حول العيوب المحتملة - التي تنطوي أيضا ميزة التنشيط عن بعد - في مؤتمر القراصنة الرائدة.

ثم في تحول مثير للاهتمام للأحداث، انضم إلى القوات مع ادارة الاغذية والعقاقير لتصبح مستشارا في قضايا الأمن السيبراني الطبية. وانه يعمل الآن من أجل شركة الأمن السيبراني Rapid7 منذ أوائل عام 2014.

وصلنا إليه حول هذا أحدث أنيماس اكتشاف الأمن السيبراني.

هذه المرة مختلفة عن حالة مدترونيك، يقول لنا رادكليف، أنه كان لديه فرصة للعمل مع أنيماس مباشرة قبل الكشف عن هذه القضية علنا. هذه المرة، تم توقيت الافراج عن الجمهور بالتزامن مع إشعار الشركة للمستهلكين حول كيفية حماية أنفسهم.

يقول إنه من المهم أن هذه هي المرة الأولى التي يصدر فيها مصنع رئيسي للأجهزة الطبية تحذيرا عن عيوب محتملة في أمن الكمبيوتر في منتج مستهلك - حتى في حالة عدم الإبلاغ عن أي أحداث سلبية ذات صلة الزبائن.

وقال انه سعيد مع استجابة أنيماس، كما يقول، وليس في الواقع قلقة للغاية حول كيفية آمنة ومأمونة أونيتوش بينغ هو للأشخاص ذوي الإعاقة.

"إذا لم يكن أي من أطفالي مصابين بالسكري، أوصى الطاقم الطبي بوضعهم على لم أكن أتردد في وضعها على أونيتوش بينغ ". بالنسبة للمستقبل، وقال انه يأمل اكتشافه والعمل اللاحقة مع البائع يسلط الضوء على لماذا من المهم للأشخاص ذوي الإعاقة أن يكون المريض في حين أن الشركات المصنعة والمنظمين والباحثين استكشاف كامل هذه الأجهزة معقدة للغاية. "نحن جميعا نريد أفضل التكنولوجيا على الفور، ولكن القيام به بطريقة متهورة، العشوائية يضع العملية برمتها مرة أخرى للجميع"، وقال لنا.

المصدر المفتوح تداعيات؟

لقد كان من الرائع مشاهدة المحادثة إلى الجوانب المفتوحة من أجهزة السكري من حيث صلتها بمخاطر أنيماس السيبرانية.

رأى البعض أن هذه محاولة محجوبة من قبل أنيماس لتشويه سمعة المشاريع المفتوحة المصدر مثل نايتسكوت و #OpenAPS باعتبارها مساعي محفوفة بالمخاطر على أساس الاتصالات غير المشفرة. وتساءل آخرون إذا كان أكثر حيلة من قبل أنيماس على ما يبدو رمي أيديها ويقول: "يا، قراصنة جهاز D و أوبنبابس المبدعين - يمكنك استخدام مضخات لدينا وليس فقط تلك من مدترونيك!"

لا يزال آخرون في وأشار العالم مفتوح المصدر إلى أن هذه القدرة على استخدام ميزة البلوسة عن بعد من خلال الاتصالات غير المشفرة هي قضية معروفة أن يعرض خطرا قليلا، ولكن في الواقع يفتح جميع أنواع الاحتمالات للابتكارات D- التكنولوجيا الجديدة.

"قد تكون العناوين حول" نقاط الضعف "مخيفة، ولكن الواقع هو أن القدرة على قراءة البيانات ومضخات التحكم قد عززت نظاما لا يصدق من الابتكار"، يقول داد هوارد لوك، الرئيس التنفيذي لشركة تيديبول غير الربحية وخلق منصة مفتوحة للبيانات السكري وتطبيقات.

"يجب أن نبحث عن طرق للقيام بالمزيد من هذا، وقد جعل هذا الابتكار العلاج

أكثر

آمنة وفعالة، ويمكن لصانعي الأجهزة جعل بروتوكولات التحكم في البيانات المتاحة في طرق آمنة وآمنة لا تخنق الابتكار، وهذه ليست أهدافا متبادلة ". يقول لوك أن هذا لا يتعلق بالمصدر المفتوح، بل بالأحرى عن الموازنة بين مخاطر البيانات المفتوحة وبروتوكولات التحكم مع السماح بالابتكار من المجتمع - أو من خارج جدران صناع أجهزة محددة. البعض في المجتمع والمفتوحة المصدر قلقون من أن هذه العناوين المخيفة يمكن أن تدفع صانعي الأجهزة والمنظمين إلى التفكير في الطريقة الوحيدة لتأمين الأجهزة هي أن تأخذ بروتوكولات السيطرة بعيدا. ولكن لا ينبغي أن يكون الأمر كذلك.

"نعم، اجعلها آمنة في أجهزتك المستقبلية، ولكن حتى بروتوكولات الاتصالات المفتوحة (التي يصعب استغلالها، مثل هذه هي) أفضل من لا شيء"، تقول "إنها تتيح نظاما حيويا للابتكار نحن ينبغي أن تحفز وتشجع ".

تقييم الأمن السيبراني الأجهزة الطبية

وبطبيعة الحال، الأمن السيبراني في الأجهزة الطبية هو موضوع أكثر سخونة من أي وقت مضى يجري استكشافها من قبل العديد من الخبراء والمنظمات.

في أيار / مايو 2016، أعلنت جمعية تكنولوجيا السكري التي تتخذ من كاليفورنيا مقرا لها، عن مشروع دتسك (دتس سيبيركوريتي ستاندارد فور كونكتد ديابيتس ديفيسس بروجيكت)، الذي تم إنشاؤه بدعم من إدارة الأغذية والعقاقير الأمريكية والمعاهد الوطنية للصحة وقسم الأمن الداخلي وناسا والقوات الجوية الأمريكية المعهد الوطني للمعايير والتكنولوجيا! وكان ذلك في الأعمال لمدة عام تقريبا، ويجري الآن.

يقول دتس ديفيد كلونوف، طبيب الغدد الصماء في كاليفورنيا والمدير الطبي لمعهد بحوث السكري في مرفق خدمات ميلز-بينينسولا للخدمات الصحية، إن المنظمة تجند الآن مصنعي الأجهزة لاعتماد منتجاتهم وتقييمها باستخدام معيار دتسيك الجديد . ويقول الفريق في مناقشات مع "العديد من اللاعبين في صناعة"، ويتوقعون أن نرى الشركات المصنعة التوقيع في وقت قريب جدا.

حتى الآن، لم تعترف أنيماس بأي مصلحة في دعم معيار الأمن السيبراني الجديد دتس. بدلا من ذلك، اختارت الشركة أن تأخذ قضيتها على الصعيد الداخلي بالتزامن مع ادارة الاغذية والعقاقير.

ولكن مع المنظمين فدا وراء المعيار الجديد، فإنه لا يبدو سوى مسألة وقت قبل أن تضطر الشركات إلى الامتثال.

كلونوف يعتقد أنها ستكون، استنادا إلى ثلاثة عوامل رئيسية:

عملت دتس مع ادارة الاغذية والعقاقير على خلق معيار دتسيك، وإعطاء المصداقية التنظيمية الحقيقية

سوف تشعر الشركات انها ميزة تنافسية لإظهار أن لديهم الأمن السيبراني جيدة . هذا يسمح لهم بتوثيق ذلك …

تلك الشركات التي قد تكون في نهاية المطاف يمكن أن تكون مسؤولة، إما عن الغرامات التنظيمية أو التقاضي المحتمل إذا كان هناك أي وقت مضى قضية الأمن السيبراني ضدهم؛ إذا كانوا لا يتبعون هذا المعيار دتسيك، قد يكون من الصعب تقديم مطالبة بأنهم لم يفعلوا أي شيء خاطئ.
"أنا أتوقع أن يمسك، وبينما نتحدث إلى العديد من صناع أجهزة الولايات المتحدة، ونحن نعمل أيضا لجعل هذا الدولي"، ويقول كلونوف.

فيما يتعلق بمسألة الأمن السيبراني المحددة، يقول كلونوف إنه يعتقد أنها دراسة حالة عن كيفية التعامل مع هذه المشاكل المحتملة من كل جانب. وأشاد J & J "التعامل مع هذه المسؤولية" من خلال العمل مع ادارة الاغذية والعقاقير ورادكليف، وتقديم العلاجات التي يمكن أن تعالج هذه المسألة.

"هذه هي الطريقة التي ينبغي القيام بها، بدلا من خلق الخوف دون أي إصلاحات للمجتمع المريض أو تهب من نسبة"، وقال كلونوف. "هذه هي الطريقة التي تريدها ادارة الاغذية والعقاقير هذه المشاكل الأمن السيبراني إلى التعامل معها. كل شخص فعل التقارير الصحيحة والتحليل هنا، ويظهر هناك أمل للأمن السيبراني. هذه هي قصة الأمن السيبراني التي لديها نهاية جيدة جدا. "

نحن نأمل بالتأكيد.

تنويه

: المحتوى الذي تم إنشاؤه من قبل فريق الألغام مرض السكري. لمزيد من التفاصيل انقر هنا.

تنويه يتم إنشاء هذا المحتوى لمرض السكري، وهي مدونة صحة المستهلك تركز على مجتمع السكري. لا تتم مراجعة المحتوى طبيا ولا يلتزم بإرشادات التحرير الخاصة بالصحة. لمزيد من المعلومات حول شراكة هيلثلين مع منجم السكري، الرجاء الضغط هنا.