Nếu bạn theo dõi các thông báo an toàn của sản phẩm hoặc các tiêu đề y tế mới nhất, bạn có thể đã nghe nói rằng máy bơm insulin Medtronic cũ hơn đang được mệnh danh là không an toàn và dễ bị tấn công mạng.
Đúng vậy, FDA và Medtronic đều đã ban hành thông báo an toàn hiện trường về các máy bơm cũ hơn trong dòng Revel và Paradigm, những thiết bị mà trong một số trường hợp, hiện nay đã có từ một thập kỷ đến gần 20 năm tuổi. Đây là thông báo của FDA, và thư bệnh nhân từ chính Medtronic.
Các thiết bị bị ảnh hưởng bao gồm: Minimed 508 (ra mắt lần đầu tiên vào năm 1999), các mô hình Paradigm (511, 512/712, 515/715, 522/722 và các phiên bản cũ hơn của 523/723), cũng như các mô hình Minimed Paradigm cũ hơn Phiên bản Veo được bán bên ngoài Hoa Kỳ
Không có lý do để hoảng sợ
Trước khi bất kỳ ai còn băn khoăn về độ an toàn của máy bơm insulin, hãy nói rõ rằng cả FDA và Medtronic đều xác nhận rằng KHÔNG có bất kỳ báo cáo nào về bất kỳ loại giả mạo nào đối với các máy bơm này. Vì vậy, bất chấp các tiêu đề giật gân, một kịch bản đáng sợ trong đó một số hacker mạng bất chính lập trình lại máy bơm của ai đó để cung cấp quá nhiều insulin vẫn là thức ăn cho các cốt truyện truyền hình hoặc phim. Mặc dù về mặt lý thuyết, điều tương tự có thể xảy ra, nhưng rủi ro thực sự có nhiều khả năng là việc đọc cảm biến CGM bị lỗi khiến máy bơm phân phối quá nhiều hoặc quá ít insulin trong các mẫu máy cũ hơn này.
Thông báo chính thức từ FDA chỉ đơn giản là cơ quan này thực hiện công việc cảnh báo mọi người về những nguy cơ tiềm ẩn có thể tồn tại. Đó là một sự kiện “zero day” khác - giống như cảnh báo được đưa ra về máy bơm insulin Animas vào năm 2016 - trong đó nhà sản xuất buộc phải tiết lộ lỗ hổng bảo mật. có thể tạo ra rủi ro.
Quan trọng hơn, đây không phải là một sự phát triển mới. Quan điểm cho rằng máy bơm Medtronic dễ bị tấn công đã được công khai kể từ năm 2011, khi các phương tiện truyền thông chính thống đưa tin rằng hacker "mũ trắng" Jay Radcliffe đã tìm cách đột nhập vào mã của máy bơm insulin và các phương tiện truyền thông chính thống đều đưa tin về nó. Ngay cả hai thành viên Quốc hội vào thời điểm đó đã bị cuốn vào sự cường điệu, và trong những năm sau đó, các vấn đề liên quan đến an ninh mạng đã được lan truyền khi FDA và chính phủ liên bang xây dựng các hướng dẫn và giao thức cho các vấn đề an ninh mạng có thể xảy ra trong công nghệ y tế.
Không phải là một cuộc gọi lại truyền thống
Ngoài ra, mặc dù đã đưa tin trên các phương tiện truyền thông chính thống, Medtronic xác nhận với chúng tôi rằng đây không phải là một đợt thu hồi sản phẩm truyền thống. “Đây chỉ là một thông báo an toàn. Pam Reese, Giám đốc Truyền thông Toàn cầu và Tiếp thị Doanh nghiệp của Medtronic Diabetes cho biết.
Cô ấy nói với chúng tôi rằng những người sử dụng các máy bơm cũ này vẫn có thể đặt hàng cung cấp từ Medtronic và từ các nhà phân phối.
Bạn thực sự nên làm gì nếu bạn có một trong những máy bơm bị ảnh hưởng?
“Chúng tôi khuyên bạn nên nói chuyện với nhà cung cấp dịch vụ chăm sóc sức khỏe của mình để thảo luận về vấn đề an ninh mạng và các bước bạn có thể thực hiện để bảo vệ chính mình. Trong thời gian chờ đợi, các hướng dẫn cụ thể là luôn giữ máy bơm insulin và các thiết bị kết nối với máy bơm trong tầm kiểm soát của bạn và không chia sẻ số sê-ri máy bơm của bạn với bất kỳ ai, ”Reese nói.
Tại sao lại đưa ra cảnh báo ngay bây giờ?
Đây là câu hỏi lớn của nhiều người trong cộng đồng bệnh nhân.
Nếu Medtronic và FDA đã nhận thức được lỗ hổng này trong tám năm đầy đủ, và bây giờ tất cả các máy bơm insulin Minimed thế hệ cũ này thực sự bị ngừng sản xuất và bán ra thị trường cho khách hàng mới ở Hoa Kỳ, thì điều gì đã thúc đẩy một cảnh báo vào thời điểm này. ?
Reese của Medtronic nói: “Đó là một cuộc trò chuyện liên tục vì bảo vệ an ninh mạng không ngừng phát triển khi công nghệ tiếp tục cải tiến nhanh chóng và các thiết bị được kết nối cần phải theo kịp tốc độ này… Chúng tôi đã nhận thức được điều này vào cuối năm 2011 và chúng tôi bắt đầu triển khai các nâng cấp bảo mật cho máy bơm của chúng tôi tại thời điểm đó. Kể từ đó, chúng tôi đã phát hành các mô hình máy bơm mới hơn giao tiếp theo những cách hoàn toàn khác nhau. Với sự quan tâm ngày càng nhiều đến an ninh mạng trong ngành thiết bị y tế ngày nay, chúng tôi cảm thấy rằng điều quan trọng là khách hàng của mình phải hiểu các vấn đề và rủi ro một cách chi tiết hơn. ”
Điều đó có thể xảy ra, nhưng điều cũng đã xảy ra trong vài năm qua là sự ra đời và phát triển theo cấp số nhân của phong trào tự làm công nghệ chữa bệnh tiểu đường #WeAreNotWaiting; ngày nay hàng ngàn người trên toàn thế giới đang tạo ra các hệ thống vòng kín tự chế của riêng họ. Nhiều người trong số đó đang được chế tạo dựa trên những mẫu máy bơm Medtronic cũ chính xác này mà công ty đã đột ngột quyết định lên tiếng về việc này.
Medtronic cho biết họ đã xác định được 4.000 khách hàng trực tiếp có thể đang sử dụng các thiết bị cũ hơn này có thể gặp rủi ro và sẽ làm việc với các nhà phân phối bên thứ ba để xác định những người khác.
Những tâm trí nghi ngờ có thể nghĩ ra hai lý do có thể cho một cảnh báo đột ngột ngay bây giờ:
- FDA đang sử dụng cảnh báo "rủi ro tiềm ẩn" này như một phương tiện để ngăn chặn việc sử dụng ngày càng nhiều công nghệ DIY không được quản lý hoặc phê duyệt để bán hàng thương mại.
- Và / hoặc Medtronic đang thực hiện một nước cờ cạnh tranh ở đây, hỗ trợ cảnh báo an ninh mạng để khiến mọi người sợ hãi khi sử dụng các thiết bị cũ hơn, hết bảo hành và thay vào đó thúc đẩy khách hàng nâng cấp lên các thiết bị mới hơn, “an toàn hơn” như 630G và 670G Hệ thống vòng lặp khép kín lai.
Chỉ vài tuần trước tại sự kiện D-Data ExChange của chúng tôi vào ngày 7 tháng 6, một thông báo lớn đã được đưa ra rằng Medtronic sẽ bắt đầu hợp tác với tổ chức phi lợi nhuận nguồn mở Tidepool để tạo ra một phiên bản mới của máy bơm insulin có thể tương thích với các sản phẩm khác và với ứng dụng Tidepool Loop trong tương lai đang được phát triển cho Apple Store. Có thể Medtronic đang hy vọng sẽ tạo cơ sở cho những người DIY tiếp tục gắn bó với các sản phẩm của Medtronic, chứ không phải các phiên bản cũ hơn mà họ không còn muốn chịu trách nhiệm nữa.
Không nhắm mục tiêu đến các hệ thống tự làm?
Đừng quên rằng vào tháng 5 năm 2019, FDA đã đưa ra cảnh báo về công nghệ DIY và hệ thống “không có nhãn mác”, ngay cả khi chúng sử dụng các thiết bị đã được FDA chứng nhận trong các thành phần của hệ thống. Nhưng cơ quan này cho biết hai cảnh báo này không liên quan đến nhau.
Alison Hunt tại Văn phòng các vấn đề truyền thông của FDA giải thích: “Đây là một vấn đề riêng biệt với cảnh báo về công nghệ DIY. “FDA đã nhận thức được các lỗ hổng bổ sung liên quan đến các máy bơm này, khi được xem xét với các lỗ hổng được tiết lộ vào năm 2011, chúng tôi đã đưa ra thông tin liên lạc về an toàn này và Medtronic đưa ra cảnh báo mới nhất này.”
Cô ấy chỉ ra rằng thông tin liên lạc an toàn mới nhất này “thảo luận cụ thể về lỗ hổng bảo mật mạng nơi một người không được phép có khả năng kết nối không dây với máy bơm insulin MiniMed gần đó và thay đổi cài đặt của máy bơm để cung cấp quá mức insulin cho bệnh nhân, dẫn đến lượng đường trong máu thấp (hạ đường huyết ), hoặc ngừng cung cấp insulin, dẫn đến lượng đường trong máu cao và nhiễm toan ceton do tiểu đường. "
Hunt nói rằng FDA đang có các cuộc thảo luận với các nhà sản xuất và khi có lo ngại, “chúng tôi sẽ nhanh chóng làm việc để phát triển một kế hoạch hành động bao gồm cách giảm thiểu mọi lỗ hổng bảo mật mạng và cách giao tiếp hiệu quả với công chúng càng nhanh càng tốt.”
OK, nhưng không điều nào trong số này giải thích chính xác lý do tại sao trong trường hợp này, phải mất nhiều năm để giải quyết một vấn đề an ninh mạng đã biết…?
Như đã nói ở trên, nhiều người trong D-Community coi đây là nỗ lực nhằm vào công nghệ DIY cũng như mang lại cho khách hàng mới công nghệ Medtronic mới nhất. Trong cộng đồng #WeAreNotWaiting, nhiều người đã chỉ trích các hành động gần đây của FDA - những cảnh báo về công nghệ DIY và an ninh mạng công nghệ cũ hơn này - là thiển cận, đặc biệt là trước sự phổ biến của các kết quả đọc CGM không chính xác và các vấn đề trong cuộc sống thực với các thiết bị tiểu đường được thương mại hóa ngoài đó. Một thành viên #WeAreNotWaiting thậm chí đã tìm hiểu một báo cáo Sự kiện có hại mới của FDA được phát hành vào tháng 6 năm 2019 khi xem xét các sự kiện bất lợi trong hai thập kỷ qua và nhận thấy rằng chỉ riêng trong năm 2018, máy bơm insulin Medtronic đã gây ra 11,5% tổng số sự kiện.
Ái chà! Hãy làm một phép toán và rõ ràng là các thiết bị thương mại, được FDA chứng nhận đều có vấn đề riêng.
Chắc chắn có thể đây chỉ là những gì có vẻ ngoài mệnh giá: sự thừa nhận chính thức về một lỗ hổng an ninh mạng đối với công nghệ cũ có trước kỷ nguyên chia sẻ dữ liệu và giám sát từ xa của Bluetooth. Nhưng tại sao phải mất gần một thập kỷ để hiện thực hóa thành hành động thực tế?
Trong khi câu trả lời là "Tại sao lại là bây giờ?" về điều này vẫn chưa rõ ràng, chúng tôi biết rằng FDA đã là một người bạn của cộng đồng #WeAreNotWaiting trong những năm qua. Họ đã sẵn sàng giao tiếp cởi mở với cộng đồng bệnh nhân. Chúng tôi cũng biết rằng có những mối quan tâm thực sự về trách nhiệm pháp lý và an toàn đối với công nghệ DIY và FDA đã rất cân nhắc trong việc giải quyết những rủi ro tiềm ẩn đó. Hãy hy vọng xu hướng đó tiếp tục.
Trong khi đó, chúng tôi vẫn khá tự tin rằng không ai hack máy bơm để giết người. Việc xua đuổi nỗi sợ hãi không giúp ích được gì cho bất kỳ ai - cả cộng đồng DIY hay chính các công ty Dược phẩm.