Những lo ngại về an ninh mạng dường như dồn chúng ta vào một vòng lặp vô tận ngày nay. Trong số vô số báo cáo về vi phạm dữ liệu, vi phạm các thỏa thuận về quyền riêng tư và các cuộc tấn công mạng trong khu vực tư nhân và công cộng, thật khó để xác định đâu là thực sự an toàn.
Và sau một vài vụ hack máy bơm insulin vài năm trở lại đây, chúng ta không thể không tự hỏi: chúng ta đứng ở đâu về sự an toàn của các thiết bị tiểu đường của chúng ta (và thông tin chúng chứa) vào năm 2019?
Điều có rủi ro là nó đôi khi có thật và đôi khi được nhận thức. Giải quyết rủi ro thực sự dẫn đến an toàn. Trong khi ám ảnh về rủi ro nhận thức được dẫn đến sợ hãi. Vậy thực tế ở đây là gì? Và chính xác thì điều gì đang được thực hiện để giải quyết những lo ngại về an ninh mạng về công nghệ tiểu đường?
Tiến bộ về tiêu chuẩn an ninh mạng y tế
Vào tháng 10 năm 2018, Cơ quan Quản lý Thực phẩm và Dược phẩm Hoa Kỳ (FDA) đã ban hành hướng dẫn trước khi đưa ra thị trường đối với tất cả các thiết bị y tế có chứa rủi ro trên mạng. Sau đó vào mùa Thu, Bộ Y tế Canada cũng phát hành một tài liệu hướng dẫn chứa các khuyến nghị về an ninh mạng để các công ty công nghệ y tế sử dụng trong giai đoạn phát triển và thử nghiệm của họ. Ý tưởng tất nhiên là bằng cách tuân theo các nguyên tắc, các nhà cung cấp sẽ đưa các thiết bị đã được bảo mật ra thị trường, thay vì nhìn thấy các thiết bị có lỗ hổng được phát hiện sau khi phát hành trên thị trường thông qua việc bệnh nhân sử dụng.
Theo bản tin của Bộ Y tế Canada, trong số các khuyến nghị về an ninh mạng của thiết bị y tế trong hướng dẫn dự thảo của họ là: 1) kết hợp các biện pháp an ninh mạng vào quy trình quản lý rủi ro cho tất cả các thiết bị có cấu phần phần mềm, 2) thiết lập khuôn khổ để quản lý rủi ro an ninh mạng ở cấp độ doanh nghiệp, và 3) xác minh và xác nhận tất cả các quy trình kiểm soát rủi ro an ninh mạng. Họ đặc biệt khuyến nghị các biện pháp như thực hiện tiêu chuẩn an ninh mạng UL 2900 để giảm thiểu rủi ro và lỗ hổng bảo mật.
Ken Pilgrim, cố vấn cao cấp về các vấn đề quy định và đảm bảo chất lượng tại Emergo Group ở Vancouver, cho biết hướng dẫn mới sẽ chứng minh giá trị đối với các nhà sản xuất thiết bị y tế không chỉ ở Canada mà còn các khu vực pháp lý khác đang phát triển các yêu cầu tương tự về an ninh mạng.
Trong khi đó, các biện pháp nhằm giải quyết vấn đề an ninh mạng đối với các thiết bị tiểu đường cụ thể đang được triển khai tại Hoa Kỳ.
Vào cuối tháng 10, Hiệp hội Công nghệ Bệnh tiểu đường (DTS) đã thông báo rằng OmniPod DASH đã trở thành máy bơm insulin đầu tiên được FDA chứng nhận để nhận được chứng nhận theo tiêu chuẩn và chương trình đảm bảo an ninh mạng “Tiêu chuẩn cho thiết bị tiểu đường không dây” của DTS, được gọi là DTSec.
DTS được thành lập vào năm 2001 bởi Tiến sĩ David Klonoff với mục đích thúc đẩy việc sử dụng và phát triển công nghệ điều trị bệnh tiểu đường. DTSec về cơ bản là tiêu chuẩn bảo mật có tổ chức đầu tiên cho công nghệ điều trị bệnh tiểu đường. Hãy coi nó như một loại dấu an toàn, tương tự như cách chúng ta nhìn thấy một địa chỉ web https. Tiêu chuẩn được thiết lập vào năm 2016 sau khi nghiên cứu và đầu vào từ các học viện, ngành công nghiệp, chính phủ và các trung tâm lâm sàng. Giống như hầu hết các tiêu chuẩn, đó là hướng dẫn tự nguyện để các nhà sản xuất cân nhắc việc áp dụng và tuân theo.
Kể từ đó, tổ chức đã tiếp tục thúc đẩy nghiên cứu an ninh mạng và đánh giá rủi ro, tổ chức hội nghị và phát triển các biện pháp bảo vệ chuyên sâu hơn.
Tháng 6 năm ngoái, một vài tháng trước khi đưa ra thông báo về OmniPod sau DTSec, nhóm đã phát hành hướng dẫn bảo mật mới có tên DTMoSt, viết tắt của “Sử dụng thiết bị di động trong bối cảnh kiểm soát bệnh tiểu đường”.
Theo Klonoff, Giám đốc Y tế của Viện Nghiên cứu Đái tháo đường tại Trung tâm Y tế Mills-Peninsula, San Mateo, CA, các hướng dẫn DTMoSt được xây dựng dựa trên DTSec bằng cách trở thành tiêu chuẩn đầu tiên với cả yêu cầu về hiệu suất và yêu cầu đảm bảo đối với các nhà sản xuất thiết bị y tế được kết nối được kiểm soát bởi nền tảng di động.
DTMoSt xác định các mối đe dọa, chẳng hạn như các cuộc tấn công từ xa và dựa trên ứng dụng độc hại và “tài nguyên đói” để vận hành an toàn các giải pháp hỗ trợ thiết bị di động và cung cấp hướng dẫn cho các nhà phát triển, cơ quan quản lý và các bên liên quan khác để giúp quản lý những rủi ro này.
Các biện pháp an ninh không nên cản trở việc sử dụng
Ngày nay, ứng dụng điện thoại thông minh đo đường huyết, CGM và bệnh tiểu đường của một người đều có thể được kết nối với Internet và do đó có thể mở ra một số mức độ rủi ro.
Tuy nhiên, bất chấp những lời bàn tán liên tục về sự nguy hiểm của Internet of Things, các chuyên gia vẫn cảnh báo rằng rủi ro thực tế đối với công chúng là khá thấp. Khi nói đến bảo mật, những kẻ xấu không quan tâm đến dữ liệu đường huyết của ai đó (so với mật khẩu tài khoản ngân hàng của họ).
Điều đó nói lên rằng, đầu tư vào an ninh mạng là cần thiết như các biện pháp phòng ngừa các mối đe dọa và đảm bảo an ninh cơ bản của người dùng và khách hàng.
Nhưng mặt trái của nó là việc thực hiện các biện pháp an ninh mạng đôi khi có thể khiến một hệ thống trở nên rất khó hoặc không thể sử dụng để chia sẻ dữ liệu theo cách đã định. Bí quyết trong phương trình là không hạn chế khả năng vận hành và truy cập của những người có ý định.
Và những gì về quyền riêng tư? Một lần nữa chúng ta thấy rằng trong khi mọi người nói rằng họ ưu tiên quyền riêng tư, họ dường như hành động theo cách trái ngược, bằng cách đồng ý, cuộn, ký tắt, ký tên và cấp quyền truy cập vào thông tin và dữ liệu mà không có rất ít suy nghĩ hoặc mối quan tâm thực sự. Sự thật là, người tiêu dùng chúng tôi thường không đọc kỹ các chính sách bảo mật. Chúng tôi chỉ cần nhấn nút "tiếp theo".
Xoá đi nỗi sợ hãi và sự run sợ
Nhiều người trong ngành cảnh báo mặt bất lợi của an ninh mạng: tập trung vào nỗi sợ hãi biên giới với sự ám ảnh, nghiên cứu kiểu cách và cuối cùng có thể phải trả giá bằng mạng sống. Đây là những người nhận ra rằng thế giới mạng và các thiết bị điều trị bệnh tiểu đường của chúng ta luôn tiềm ẩn nguy cơ, nhưng cảm thấy rằng phản ứng thái quá có khả năng nguy hiểm hơn.
Adam Brown, biên tập viên cấp cao tại đấu khẩu và tác giả của Điểm sáng & Mìn: Hướng dẫn về bệnh tiểu đường mà tôi ước ai đó đã giao cho tôi. “Chúng tôi cần các công ty di chuyển nhanh hơn hiện tại và an ninh mạng có thể gây ra nỗi sợ hãi không cần thiết. Trong khi đó, mọi người đang sử dụng nó mà không có dữ liệu, không kết nối, không tự động hóa và không hỗ trợ. "
Howard Look, Giám đốc điều hành của Tidepool, D-Dad, và một lực lượng quan trọng đằng sau phong trào #WeAreNotWaiting, nhìn nhận cả hai mặt của vấn đề, nhưng đồng ý với Brown và các chuyên gia trong ngành khác, những người lo ngại kiểm tra tốc độ tiến bộ y tế.
"Chắc chắn, các công ty thiết bị (bao gồm cả phần mềm như một công ty thiết bị y tế, như Tidepool) phải rất, rất nghiêm túc về an ninh mạng", Look nói. “Chúng tôi chắc chắn không muốn tạo ra một tình huống có nguy cơ xảy ra một cuộc tấn công hàng loạt vào các thiết bị hoặc ứng dụng có thể gây hại cho mọi người. Tuy nhiên, những bức ảnh về 'tin tặc mặc áo trùm đầu' với đầu lâu và xương chéo trên màn hình máy tính chỉ khiến những người không thực sự hiểu điều gì đang bị đe dọa. Nó khiến các công ty thiết bị chậm lại, vì họ sợ hãi. Nó không giúp họ hiểu được điều đúng đắn cần làm ”. Look đang đề cập đến các slide Powerpoint được trình chiếu trong các hội nghị y tế về bệnh tiểu đường với những hình ảnh kỳ lạ nhằm mục đích gây nguy hiểm trên mạng.
Hệ thống vòng kín OpenAPS và Loop đã trở nên phổ biến về mặt kỹ thuật dựa trên “lỗ hổng” trong các máy bơm Medtronic cũ hơn cho phép điều khiển từ xa không dây các máy bơm này. Để hack máy bơm, bạn cần biết số sê-ri, và bạn cần ở gần máy bơm trong 20 giây. "Có nhiều cách dễ dàng hơn để giết ai đó nếu đó là điều bạn muốn làm", Look nói.
Nhiều người cho rằng “lỗ hổng bảo mật” được đề xuất này, đáng sợ như trên lý thuyết, là một lợi ích to lớn vì nó đã cho phép hàng nghìn người chạy OpenAPS và Loop, cứu sống và cải thiện chất lượng cuộc sống và sức khỏe cộng đồng cho những người sử dụng chúng.
Phương pháp tiếp cận được đo lường đối với rủi ro
Các tổ chức DTS như vậy đang thực hiện công việc quan trọng. Các vấn đề về bảo mật thiết bị. Và các bài thuyết trình về nghiên cứu và hội nghị về chủ đề là hằng số của ngành - công nghệ tiểu đường và an ninh mạng sẽ là trọng tâm của một số yếu tố của Hội nghị quốc tế lần thứ 12 về Công nghệ & Phương pháp Điều trị Tiên tiến cho Bệnh tiểu đường (ATTD 2019) sẽ được tổ chức vào cuối tháng này tại Berlin. Nhưng những sự thật đó vẫn tiếp tục tồn tại cùng với thực tế rằng mọi người cần những công cụ tốt hơn mà ít tốn kém hơn và chúng ta cần chúng một cách nhanh chóng.
Brown nói: “Dấu hiệu của những thiết bị tuyệt vời là sự cải tiến liên tục chứ không phải sự hoàn hảo. "Điều đó yêu cầu kết nối, khả năng tương tác và cập nhật phần mềm từ xa."
Mặc dù các thiết bị luôn tiềm ẩn rủi ro, nhưng các chuyên gia dường như đồng ý rằng chúng nhìn chung khá an toàn và bảo mật. Trong suốt năm 2019 và hơn thế nữa, sự đồng thuận dường như là mặc dù theo dõi nguy cơ mạng là quan trọng, nhưng rủi ro đó thường được đánh giá quá cao và có khả năng bị đánh giá thấp so với các nguy cơ sức khỏe khi không có các công cụ tiểu đường tiên tiến.