Johnson og Johnson advarer mot insulinpumpens hackrisiko

Anonim

SAN FRANCISCO - En stor produsent av medisinske enheter har for første gang utstedt en advarsel om en potensiell datasikkerhetsfeil i et forbrukerprodukt, men advarer at faren for pasienter er ekstremt lav.

Johnson og Johnson utstedte tirsdag en advarsel om et mulig cybersecurity problem med sin Animas OneTouch Ping Insulin Infusion Pump. Problemet ble først rapportert av Reuters.

Datasikkerhetsfirma Rapid 7 oppdaget at det kan være mulig å ta kontroll over pumpen via et ukryptert radiofrekvenskommunikasjonssystem som gjør det mulig å sende kommandoer og informasjon via en trådløs fjernkontroll. Selskapet varslet Johnson & Johnson, som utstedte advarselen.

Hvis du blir for høy eller for lav, kan en dose insulin være alvorlig sicken eller til og med drepe.

Det har ikke vært tilfeller av at pumper blir hacket, sa Johnson & Johnson.

Insulinpumper brukes til å kontrollere diabetes. De bæres på kroppen og leverer insulin inn i kroppen via et kateter plassert under huden. De brukes overveldende av pasienter med type 1 diabetes, den minst vanlige typen i USA.

I OneTouch Ping-enheten kan brukeren bestille pumpen til å gi dem en dose insulin via en trådløs fjernkontroll som snakker til insulinpumpen via et ukryptert radiofrekvenskommunikasjonssystem.

Et helt fellesskap av hackere har oppstått de siste årene som fokuserer på diabetes hacking, men generelt å tilpasse sine egne enheter eller for bedre å forstå hvordan de fungerer. Dette ser ut til å være den første forekomsten der et selskap har tatt direkte tiltak på grunn av ekstern forskning på dem.

Å hacke inn i OneTouch Ping-systemet, ville noen trenge en radiofrekvensmonitor for å oppdage at personen hadde denne spesielle insulinpumpen og deretter hvilken av 16 mulige kanaler den overførte. De kunne da registrere en kommando for å levere mer insulin og gjenta denne kommandoen om og om igjen, noe som potensielt resulterte i en svært høy dose insulin, sa senior raske forsker med Rapid 7 som fant feilen.

"Noen ville måtte ha ondsinnet hensikt, de ville måtte skade et annet menneske. Og de må ha teknisk ekspertise, de må ha radioantenner, og de må være innenfor 25 meter, uhindret, sier Marene Allison, selskapets sjefsinformasjonssikkerhetsoffiser.

Men for å gjøre det ville det kreve at potensiell hacker var innen 25 meter av enheten og ville kreve teknisk kompetanse og sofistikert utstyr, sier Animas i en uttalelse tirsdag. Animas eies av Johnson & Johnson.

Mens det er mange diabetikere i USA, 29, 1 millioner ifølge American Diabetes Association, har de aller fleste av dem type 2 diabetes. Bare 4% eller 1, 25 millioner amerikanere har type 1 diabetes, som skyldes en autoimmun lidelse som ødelegger cellene som frigjør insulin.

Det er 114 000 OneTouch Ping-insulinleveringssystemer i omløp i USA og Canada, ifølge Johnson og Johnson.

Type 2 diabetikere trenger vanligvis ikke den sofistikerte og hyppige insulinleveransen som en insulinpumpe tilbyr, sier Sarah Kim, som leder diabetesklinikken på Zuckerberg San Francisco General Hospital.

"Noen ville måtte gå til ekstreme tiltak for å hack inn og beordre insulinpumpen uten personens kunnskap. På dette tidspunktet virker det som en unødvendig bekymring, sa hun.

I sin utgivelse sa Animas at brukere av insulinpumpen kan slå av radiofrekvensfunksjonen. De kan også sette pumpen til å vibrere når en insulindose begynner å bli levert, noe som gir dem tid til å avbryte bestillingen dersom de ikke selv gir det.

Radcliffe sa det er viktig å merke seg at insulinpumper og faktisk alle medisinske enheter opererer på en langt lengre utviklingssyklus enn si mobiltelefoner. "Denne pumpen ble trolig designet for ti eller 15 år siden, da ingen tenkte på sikkerhet rundt kommunikasjonsprotokoller, " sa han.

Han sa at Johnson & Johnson "har gjort en god jobb" å svare på problemet. "Hvis barnet mitt ble diagnostisert med diabetes i dag, ville jeg ikke ha noe problem å sette dem på en Animas-pumpe, " sa han.

Johnson & Johnson har faktisk jobbet med Food and Drug Administration om retningslinjer for medisinsk bruk av cybersikkerhet de siste 18 månedene. Disse retningslinjene ble publisert i januar, sa Allison.