FDA: Las bombas de insulina más antiguas de Medtronic no son ciberseguras

Si sigue los avisos de seguridad de los productos o los últimos titulares médicos, es posible que haya escuchado que las bombas de insulina Medtronic más antiguas se consideran inseguras y vulnerables a los ataques cibernéticos.

Sí, la FDA y Medtronic han emitido notificaciones de seguridad sobre el terreno sobre bombas más antiguas de las series Revel y Paradigm, dispositivos que en algunos casos tienen desde hace una década hasta casi 20 años. Aquí está el aviso de la FDA y la carta del paciente de Medtronic.

Los dispositivos afectados incluyen: el Minimed 508 (lanzado por primera vez en 1999), los modelos Paradigm (511, 512/712, 515/715, 522/722 y versiones anteriores del 523/723), así como el antiguo Minimed Paradigm. Versiones Veo vendidas fuera de EE. UU.

No hay motivo para el pánico

Antes de que alguien se asuste por la seguridad de las bombas de insulina, aclaremos que tanto la FDA como Medtronic confirman que ha habido CERO informes de cualquier tipo de manipulación de estas bombas. Entonces, a pesar de los titulares sensacionalistas, un escenario aterrador en el que algún infame ciber-pirata reprograma la bomba de alguien para administrar demasiada insulina sigue siendo tema de tramas de televisión o películas. Si bien, en teoría, algo así puede ser posible, es mucho más probable que el riesgo real sea una lectura defectuosa del sensor CGM que incite a la bomba a administrar demasiada o muy poca insulina en estos modelos más antiguos.

El aviso oficial de la FDA es simplemente la agencia que hace su trabajo de advertir a las personas sobre los peligros potenciales que podrían existir. Es otro evento de "día cero", como la advertencia emitida en las bombas de insulina Animas en 2016, en el que el fabricante se ve obligado a exponer la vulnerabilidad que pudo crear riesgo.

Más importante aún, este no es un desarrollo nuevo. La noción de que las bombas Medtronic son vulnerables ha sido pública desde 2011, cuando los principales medios informaron que el hacker de "sombrero blanco" Jay Radcliffe había logrado romper el código de una bomba de insulina, y los principales medios de comunicación estaban por todos lados. Incluso dos miembros del Congreso en ese momento se vieron atrapados en el bombo publicitario, y en los años siguientes ese y otros problemas de ciberseguridad relacionados han estado circulando a medida que la FDA y el gobierno federal elaboraban pautas y protocolos para posibles problemas de ciberseguridad en la tecnología médica.

No es un retiro tradicional

Además, a pesar de informar en los principales medios de comunicación, Medtronic confirma con nosotros que este no es un retiro de producto tradicional. “Esta es solo una notificación de seguridad. No es necesario devolver las bombas impactadas debido a esta notificación ”, dice Pam Reese, Directora de Comunicaciones Globales y Marketing Corporativo de Medtronic Diabetes.

Ella nos dice que las personas que usan estas bombas antiguas aún pueden pedir suministros a Medtronic y a los distribuidores.

¿Qué debe hacer realmente si tiene una de las bombas afectadas?

“Le recomendamos que hable con su proveedor de atención médica para discutir el tema de la seguridad cibernética y los pasos que puede tomar para protegerse. Mientras tanto, las instrucciones específicas son mantener su bomba de insulina y los dispositivos que están conectados a su bomba bajo su control en todo momento, y no compartir el número de serie de su bomba con nadie ”, dice Reese.

¿Por qué emitir una advertencia ahora?

Esta es la gran pregunta en muchas mentes en la comunidad de pacientes.

Si Medtronic y la FDA han sido conscientes de esta vulnerabilidad durante ocho años completos, y ahora todas estas bombas de insulina Minimed de generaciones anteriores están realmente descontinuadas y fuera del mercado para nuevos clientes en los Estados, lo que generó una alerta en este momento. ?

Reese de Medtronic dice: “Ha sido una conversación en curso porque la protección de la ciberseguridad está en constante evolución a medida que la tecnología continúa mejorando rápidamente y los dispositivos conectados deben mantenerse al día con este ritmo… Nos enteramos de esto a fines de 2011 y comenzamos a implementar actualizaciones de seguridad a nuestras bombas en ese momento. Desde entonces, hemos lanzado nuevos modelos de bombas que se comunican de formas completamente diferentes. Con la creciente atención a la ciberseguridad en la industria de dispositivos médicos en la actualidad, sentimos que era importante para nuestros clientes comprender los problemas y riesgos con mayor detalle ".

Eso puede ser, pero lo que también ha sucedido en los últimos años es el nacimiento y crecimiento exponencial del movimiento de tecnología de diabetes #WeAreNotWaiting DIY; hoy en día, miles de personas en todo el mundo están creando sus propios sistemas de circuito cerrado hechos en casa. Muchos de ellos se están construyendo sobre la base de estos modelos más antiguos exactos de bombas Medtronic de los que la compañía de repente decidió hablar.

Medtronic dice que ya han identificado 4.000 clientes directos que pueden estar usando estos dispositivos más antiguos que posiblemente estén en riesgo, y trabajarán con distribuidores externos para identificar a otros.

Las mentes sospechosas pueden pensar en dos posibles razones para una advertencia repentina ahora:

• La FDA está utilizando esta advertencia de "riesgo potencial" como un medio para reducir el uso creciente de la tecnología de bricolaje que no está regulada ni aprobada para las ventas comerciales.

• Y / o Medtronic está haciendo un movimiento de ajedrez competitivo aquí, respaldando una alerta de ciberseguridad para asustar a las personas y evitar que usen dispositivos antiguos fuera de garantía y, en cambio, empujar a los clientes a actualizarlos a dispositivos más nuevos y "más seguros" como el 630G y el 670G Sistema híbrido de circuito cerrado.

Hace solo unas semanas, en nuestro evento D-Data ExChange el 7 de junio, se hizo el gran anuncio de que Medtronic comenzaría a trabajar con Tidepool de código abierto sin fines de lucro para crear una nueva versión de su bomba de insulina que será interoperable con otros productos y con la futura aplicación Tidepool Loop que se está desarrollando para Apple Store. Es posible que Medtronic esté esperando sentar las bases para que los aficionados al bricolaje se queden con los productos de Medtronic, pero no con las versiones anteriores de las que ya no desean ser responsables.

¿No se dirige a los sistemas de bricolaje?

No olvide que en mayo de 2019, la FDA emitió una advertencia sobre la tecnología y los sistemas de bricolaje que están "fuera de etiqueta", incluso si utilizan dispositivos aprobados por la FDA en los componentes del sistema. Pero la agencia dice que estas dos alertas no están relacionadas.

"Este es un problema independiente de la advertencia sobre la tecnología de bricolaje", explica Alison Hunt en la Oficina de Asuntos de Medios de la FDA. "La FDA fue consciente de las vulnerabilidades adicionales asociadas con estas bombas que, cuando se consideraron con las divulgadas en 2011, nos llevaron a emitir esta comunicación de seguridad y a Medtronic a emitir esta última alerta".

Ella señala que esta última comunicación de seguridad "analiza específicamente la vulnerabilidad de la ciberseguridad en la que una persona no autorizada podría conectarse de forma inalámbrica a una bomba de insulina MiniMed cercana y cambiar la configuración de la bomba para administrar insulina en exceso a un paciente, lo que lleva a un nivel bajo de azúcar en la sangre (hipoglucemia ), o detener la administración de insulina, lo que provoca un nivel alto de azúcar en sangre y cetoacidosis diabética ".

Hunt dice que la FDA tiene discusiones continuas con los fabricantes y cuando surgen inquietudes, "trabajamos rápidamente para desarrollar un plan de acción que incluya cómo mitigar cualquier vulnerabilidad de ciberseguridad y cómo comunicarnos de manera efectiva con el público lo más rápido posible".

Está bien, pero nada de esto explica exactamente por qué en este caso se necesitaron años para abordar un problema conocido de ciberseguridad ...

Como se señaló anteriormente, muchos en la D-Community ven esto como un intento de apuntar a la tecnología de bricolaje, así como atraer nuevos clientes a la última tecnología de Medtronic. Dentro de la comunidad #WeAreNotWaiting, muchos han criticado las acciones recientes de la FDA (las advertencias sobre la tecnología de bricolaje y esta ciberseguridad tecnológica más antigua) por ser miopes, especialmente dada la prevalencia de lecturas de MCG inexactas y problemas de la vida real con dispositivos para la diabetes regulados comercialmente. allí afuera. Un miembro de #WeAreNotWaiting incluso investigó un nuevo informe de eventos adversos de la FDA emitido en junio de 2019 que analiza las últimas dos décadas de eventos adversos, y descubrió que solo en 2018, las bombas de insulina de Medtronic fueron responsables del 11.5% de todos los eventos.

¡Guau! Haga los cálculos y está claro que los dispositivos comerciales aprobados por la FDA tienen problemas por sí mismos.

Ciertamente, es posible que esto sea justo lo que parece ser literalmente: el reconocimiento oficial de una falla de seguridad cibernética para la tecnología antigua que es anterior a la era de Bluetooth de intercambio de datos y monitoreo remoto. Pero, ¿por qué tardó casi una década en materializarse en acción real?

Mientras que la respuesta a "¿Por qué ahora?" Si esto no está claro, sabemos que la FDA ha sido amiga de la comunidad #WeAreNotWaiting a lo largo de los años. Han sido receptivos a la comunicación abierta con la comunidad de pacientes. También sabemos que existen preocupaciones reales de responsabilidad y seguridad con la tecnología de bricolaje, y que la FDA ha sido muy mesurada al abordar esos riesgos potenciales. Esperemos que esa tendencia continúe.

Mientras tanto, seguimos confiando en que nadie está pirateando bombas para matar gente. Fomentar el miedo no ayuda a nadie, ni a la comunidad de bricolaje ni a las propias empresas farmacéuticas.