Использование Интернета вещей для удаленного мониторинга и управления здоровьем неуклонно растет. Лидером в этой гонке являются устройства для диабетиков.
Инсулиновые помпы, история которых насчитывает десятилетия, и непрерывные мониторы уровня глюкозы, которые отслеживают уровень сахара в крови 24/7, все чаще подключаются к смартфонам через Bluetooth. Расширенная возможность подключения дает много преимуществ. Диабетики 1 типа могут лучше контролировать уровень сахара в крови, потому что у них есть оперативные данные об уровне сахара в крови и инсулина за недели, а это облегчает выявление тенденций и точную настройку дозирования инсулина. В последние годы пациенты с диабетом стали настолько искусны в дистанционном мониторинге, что сообщество хакеров-пациентов манипулировало устройствами, а индустрия медицинского оборудования извлекла из них уроки.
Но возможность отслеживать состояние здоровья через Интернет сопряжена с рисками, включая взлом таких устройств. Хотя медицинские устройства, которые должны пройти одобрение FDA, соответствуют более высоким стандартам, чем устройства для фитнеса, все еще существуют риски для защиты данных пациента и доступа к самому устройству. FDA периодически выпускало предупреждения об уязвимости медицинских устройств, таких как инсулиновые помпы, а производители продуктов выпускали отзывы, связанные с уязвимостями. В сентябре это произошло с Medtronic.
Инсулиновая помпа серии MiniMed 600, о которой компания и FDA предупредили пользователей, имела потенциальную проблему, которая могла привести к несанкционированному доступу, создавая риск того, что помпа может доставить слишком много или недостаточно инсулина.
Количество медицинских устройств, подключенных к Интернету, выросло во время пандемии, поскольку карантин стал большим стимулом для лечения людей на дому. По мере роста числа посещений виртуальной медицинской помощи «это открыло всем глаза на домашние медицинские устройства для удаленного мониторинга пациентов», — сказал Грегг Пессин, старший директор по исследованиям в Gartner.
Стабильные продажи непрерывных глюкометров и инсулиновых помп способствовали развитию таких компаний, как Dexcom, Insulet, Medtronic и Abbott Laboratories, и ожидается, что продажи устройств для лечения диабета будут расти. По данным Центров по контролю и профилактике заболеваний, помимо 37 миллионов человек в США, страдающих диабетом, по оценкам, 96 миллионов взрослых страдают преддиабетом. Производители непрерывных глюкометров и инсулиновых помп, которые в течение многих лет были стандартом лечения диабета 1 типа, все чаще ориентируются также на пациентов с диабетом 2 типа.
Отраслевые эксперты по безопасности классифицируют риски кибербезопасности медицинских устройств по трем категориям.
Во-первых, существует риск для данных пациента. Многие медицинские устройства, такие как инсулиновые помпы, требуют от пациентов создания онлайн-учетных записей для загрузки данных на компьютер или смартфон. Эти учетные записи могут содержать конфиденциальную информацию, не только конфиденциальные медицинские данные, но и личные данные.
Другой риск связан с самим медицинским устройством, о чем свидетельствуют заголовки о риске проникновения хакеров в медицинское устройство, например в помпу Medtronic, и изменение настроек дозировки, что может привести к летальному исходу.
Отчет Unit 42, фирмы по кибербезопасности, входящей в Palo Alto Networks, показал, что 75% инфузионных помп, включая инсулиновые помпы, имели «известные пробелы в безопасности», которые подвергали их риску быть скомпрометированными злоумышленниками. Мэй Ванг, технический директор по безопасности интернета вещей в Palo Alto Networks, рассказала, что в ходе лабораторного эксперимента хакеры получили доступ к инфузионным насосам, меняя дозировку лекарства. «Итак, теперь кибербезопасность — это не только конфиденциальность, не только утечка данных. Это больше касается жизни или смерти», — сказала она.
Но Пессин из Gartner сказал, что в реальном мире такой риск невелик. В контролируемых условиях в лаборатории «это всего лишь вопрос времени, когда вы сможете это сделать», но в реальном мире «это было бы намного сложнее», — сказал он.
Представитель Medtronic заявила, что компания разрабатывает и производит медицинские технологии, чтобы они были максимально безопасными, и что ее глобальный отдел безопасности продуктов постоянно контролирует продукты безопасности на протяжении всего их жизненного цикла. Компания также следит за ситуацией в области кибербезопасности, чтобы устранить уязвимости и «принять меры для защиты пациентов посредством скоординированного процесса раскрытия информации».
В сентябре в уведомлении Medtronic для пользователей говорилось о том, как устранить риск непреднамеренной доставки инсулина, отключив возможность дистанционного введения дозы с помощью отдельного устройства.
Третий риск кибербезопасности — это соединение между медицинским устройством и сетью, будь то Wi-Fi или 4G. Поскольку медицинские устройства все чаще подключают к Интернету, они сопряжены с повышенным риском заражения вредоносными программами, что хорошо известно в других отраслях, которые вскоре могут появиться в здравоохранении. Вонг указал на случай в 2014 году, когда Target допустила утечку конфиденциальной информации о клиентах после установки системы кондиционирования воздуха, которая была заражена вредоносным ПО.
Пока не известно ни о каких случаях, когда это происходило с медицинскими устройствами, используемыми в домашних условиях, но это может быть вопросом времени, и старые устройства, которые не обновляются регулярно, подвергаются большему риску. В больницах старые операционные системы сделали некоторое медицинское оборудование уязвимым для атак. Некоторые медицинские системы визуализации, жизненный цикл которых может составлять более 20 лет, все еще работают на Windows 98 без каких-либо исправлений безопасности, и были случаи, когда МРТ-сканеры или рентгеновские аппараты были взломаны для запуска операций крипто-майнинга без ведома поставщиков медицинских услуг.
Законодатели и руководители здравоохранения настаивают на дополнительных рекомендациях и правилах, касающихся безопасности медицинского оборудования. В апреле прошлого года сенаторы в США представили Закон об исправлениях, требующий от производителей медицинских устройств, подающих заявки на одобрение FDA, соответствовать определенным требованиям кибербезопасности и поддерживать обновления и исправления безопасности.
Поскольку врачи все чаще назначают глюкометры и инсулиновые помпы не только при диабете 1 типа, но и при гораздо более распространенном диабете 2 типа, потребители, взвешивающие, использовать такое устройство или нет, могут начать с поиска на веб-сайте производителя заявлений о кибербезопасности и соблюдении требований HIPAA для защиты своего личного здоровья — информация об уходе. В США и Европе они также могут спросить своих врачей о безопасности, хотя эксперты по говорят, что еще предстоит проделать работу по повышению осведомленности об этих рисках среди медицинских работников.
Потребители, имеющие медицинское устройство, подключенное к Интернету, должны зарегистрироваться у производителя, чтобы получать уведомления об обновлениях системы безопасности. Соблюдение элементарной кибергигиены дома также имеет ключевое значение, поскольку многие устройства теперь подключаются к Wi-Fi.
Убедитесь, что сеть Wi-Fi защищена надежным паролем, а также используйте надежные имя пользователя и пароль для веб-сайта компании при обмене или загрузке данных. Все больше потребителей теперь также предпочитают использовать менеджер паролей для хранения всей своей информации для входа в Интернет. Поскольку устройства могут взаимодействовать с другими устройствами через Wi-Fi, убедитесь, что домашние ноутбуки и телефоны также защищены.
