Las preocupaciones de ciberseguridad parecen abrumarnos en un bucle sin fin en estos días. Entre una avalancha de informes de violaciones de datos, acuerdos de privacidad violados y ataques cibernéticos en los sectores público y privado, puede ser difícil determinar qué es realmente seguro.
Y después de un par de amenazas de piratería de bombas de insulina hace unos años, no podemos evitar preguntarnos: ¿dónde nos encontramos con respecto a la seguridad de nuestros dispositivos para la diabetes (y la información que contienen) en 2019?
Lo que pasa con el riesgo es que a veces es real y a veces se percibe. Abordar el riesgo real conduce a la seguridad. Mientras que obsesionarse con el riesgo percibido conduce al miedo. Entonces, ¿qué es real aquí? ¿Y qué se está haciendo exactamente para abordar los problemas de ciberseguridad de la tecnología de la diabetes?
Progreso en los estándares de ciberseguridad médica
En octubre de 2018, la Administración de Alimentos y Medicamentos de los EE. UU. (FDA) emitió una guía previa a la comercialización para todos los dispositivos médicos que contienen riesgos cibernéticos. Más adelante en el otoño, Health Canada también publicó un documento de orientación que contiene recomendaciones de ciberseguridad para ser utilizadas por las empresas de tecnología médica durante sus etapas de desarrollo y prueba. La idea, por supuesto, es que al seguir las pautas, los proveedores llevarán al mercado dispositivos que ya son seguros, en lugar de ver dispositivos cuyas vulnerabilidades se descubren después de su lanzamiento al mercado a través del uso del paciente.
De acuerdo con un comunicado de prensa de Health Canada, entre las recomendaciones de ciberseguridad de dispositivos médicos en su guía preliminar se encuentran: 1) incorporar medidas de ciberseguridad en los procesos de gestión de riesgos para todos los dispositivos con un componente de software, 2) establecer marcos para gestionar los riesgos de ciberseguridad a nivel empresarial, y 3) verificación y validación de todos los procesos de control de riesgos de ciberseguridad. Recomiendan específicamente medidas como la implementación del estándar de ciberseguridad UL 2900 para mitigar riesgos y vulnerabilidades.
Ken Pilgrim, consultor senior de asuntos regulatorios y garantía de calidad de Emergo Group en Vancouver, dijo que la nueva guía debería resultar valiosa para los fabricantes de dispositivos médicos no solo en Canadá, sino también en otras jurisdicciones que desarrollan requisitos de ciberseguridad similares.
Mientras tanto, las medidas para abordar la ciberseguridad de los dispositivos para la diabetes específicamente están avanzando en los Estados Unidos.
A finales de octubre, la Diabetes Technology Society (DTS) anunció que el OmniPod DASH se había convertido en la primera bomba de insulina aprobada por la FDA en recibir la certificación según el programa y estándar de garantía de ciberseguridad "Standard for Wireless Diabetes Device Security" de DTS, conocido como DTSec.
DTS fue fundada en 2001 por el Dr. David Klonoff con el propósito de promover el uso y desarrollo de la tecnología para la diabetes. DTSec es esencialmente el primer estándar de seguridad organizado para la tecnología de la diabetes. Piense en ello como una especie de sello de seguridad, similar a cómo vemos una dirección web https. El estándar se estableció en 2016 después de investigaciones y aportes de la academia, la industria, el gobierno y los centros clínicos. Como la mayoría de los estándares, es una guía voluntaria que los fabricantes deben considerar adoptar y seguir.
Desde entonces, la organización ha seguido impulsando la investigación de ciberseguridad y la evaluación de riesgos, organizando conferencias y desarrollando protecciones más profundas.
En junio pasado, unos meses antes de que se hiciera el anuncio sobre OmniPod después de DTSec, el grupo lanzó una nueva guía de seguridad llamada DTMoSt, abreviatura de "Uso de dispositivos móviles en contextos de control de la diabetes".
Según Klonoff, director médico del Diabetes Research Institute en Mills-Peninsula Medical Center, San Mateo, CA, las pautas de DTMoSt se basan en DTSec al convertirse en el primer estándar con requisitos de rendimiento y requisitos de garantía para los fabricantes de dispositivos médicos conectados controlados por un plataforma móvil.
DTMoSt identifica amenazas, como ataques maliciosos remotos y basados en aplicaciones y "falta de recursos", para el funcionamiento seguro de soluciones habilitadas para dispositivos móviles y ofrece orientación a los desarrolladores, reguladores y otras partes interesadas para ayudar a gestionar estos riesgos.
Las medidas de seguridad no deben obstaculizar su uso
Hoy en día, la aplicación para teléfonos inteligentes de glucómetro, CGM y diabetes puede estar conectada a Internet y, por lo tanto, abierta a cierto nivel de riesgo.
Sin embargo, a pesar de que se habla continuamente de los peligros de Internet de las cosas, los expertos advierten que el riesgo real para el público es bastante bajo. Cuando se trata de seguridad, las personas malas simplemente no están tan interesadas en los datos de glucosa en sangre de alguien (en comparación con la contraseña de su cuenta bancaria).
Dicho esto, las inversiones en ciberseguridad son necesarias como medidas preventivas ante amenazas y para garantizar la seguridad básica de usuarios y clientes.
Pero la desventaja es que implementar medidas de ciberseguridad a veces puede significar hacer que un sistema sea muy difícil o imposible de usar para compartir datos de la manera prevista. El truco de la ecuación no es limitar la capacidad de operación y acceso de las personas previstas.
¿Y la privacidad? Una y otra vez vemos que, si bien las personas dicen que dan prioridad a la privacidad, parecen actuar de manera contradictoria, al dar su consentimiento, desplazarse, poner sus iniciales, firmar y dar acceso a la información y los datos con muy poco pensamiento o preocupación real. La verdad es que los consumidores no solemos leer las políticas de privacidad con mucho cuidado, si es que lo hacemos. Simplemente presionamos el botón "siguiente".
Compensando el miedo y la inquietud
Muchos en la industria advierten sobre el lado adverso de la ciberseguridad: un enfoque en el miedo que raya en la obsesión, obstaculiza la investigación y, en última instancia, podría costar vidas. Estas son personas que reconocen que el mundo cibernético y nuestros dispositivos para la diabetes están expuestos a riesgos, pero sienten que la reacción exagerada es potencialmente más peligrosa.
"Todo el tema de la 'ciberseguridad en los dispositivos' recibe mucha más atención de la que merece", dice Adam Brown, editor senior de diatriba y autor de Puntos brillantes y minas terrestres: la guía sobre la diabetes que me hubiera gustado que alguien me hubiera entregado. “Necesitamos que las empresas se muevan más rápido de lo que son y la ciberseguridad puede generar temores innecesarios. Mientras tanto, la gente anda improvisando sin datos, sin conectividad, sin automatización y sin soporte ".
Howard Look, director ejecutivo de Tidepool, D-Dad y una fuerza clave detrás del movimiento #WeAreNotWaiting, ve ambos lados del problema, pero está de acuerdo con Brown y otros expertos de la industria que temen que se verifique la tasa de avance médico.
"Ciertamente, las empresas de dispositivos (incluidas las empresas de software como dispositivos médicos, como Tidepool) deben tomarse la ciberseguridad muy, muy en serio", dice Look. “Ciertamente no queremos crear una situación en la que exista el riesgo de un ataque masivo a dispositivos o aplicaciones que puedan dañar a las personas. Pero las imágenes de "piratas informáticos con capucha" con calaveras y tibias cruzadas en las pantallas de las computadoras simplemente asustan a las personas que no comprenden realmente lo que está en juego. Hace que las empresas de dispositivos se desaceleren, porque tienen miedo. No les ayuda a entender qué es lo correcto ". Look se refería a las diapositivas de Powerpoint mostradas en conferencias médicas sobre diabetes con imágenes espeluznantes que pretenden ciber peligros.
Los sistemas de circuito cerrado OpenAPS y Loop hágalo usted mismo que se han vuelto populares se basan técnicamente en una “vulnerabilidad” en las bombas Medtronic más antiguas que permite el control remoto inalámbrico de estas bombas. Para piratear las bombas, necesita saber el número de serie y debe estar cerca de la bomba durante 20 segundos. "Hay formas más fáciles de matar a alguien si eso es lo que quieres hacer", dice Look.
Muchos argumentan que esta “vulnerabilidad” propuesta en seguridad, por aterradora que pueda ser en teoría, es un gran beneficio, ya que ha permitido que miles de personas ejecuten OpenAPS y Loop, salvando vidas y mejorando la calidad de vida y la salud pública de quienes usan ellos.
Un enfoque medido de los riesgos
Organizaciones como DTS están haciendo un trabajo importante. La seguridad del dispositivo es importante. Y las investigaciones y las presentaciones de conferencias sobre el tema son constantes de la industria: la tecnología para la diabetes y la ciberseguridad serán el foco de varios elementos de la 12a Conferencia Internacional sobre Tecnologías Avanzadas y Tratamientos para la Diabetes (ATTD 2019) que se celebrará a finales de este mes en Berlín. Pero esas verdades continúan existiendo junto con la realidad de que las personas necesitan mejores herramientas que sean menos costosas y las necesitamos rápidamente.
“El sello distintivo de los grandes dispositivos es la mejora continua, no la perfección”, dice Brown. "Eso requiere conectividad, interoperabilidad y actualización remota de software".
Si bien los dispositivos están expuestos a riesgos, los expertos parecen estar de acuerdo en que, en general, son bastante seguros. En el futuro a lo largo de 2019 y más allá, el consenso parece ser que, si bien es importante vigilar el riesgo cibernético, ese riesgo a menudo está sobrevalorado y potencialmente palidece frente a los riesgos para la salud de no tener herramientas avanzadas para la diabetes.