Se segui gli avvisi sulla sicurezza dei prodotti o gli ultimi titoli medici, potresti aver sentito che i vecchi microinfusori Medtronic vengono definiti non sicuri e vulnerabili agli attacchi informatici.
Sì, la FDA e la Medtronic hanno entrambe emesso notifiche di sicurezza sul campo sulle pompe più vecchie delle serie Revel e Paradigm, dispositivi che in alcuni casi hanno ormai da un decennio a quasi 20 anni. Ecco l'avviso della FDA e la lettera del paziente della stessa Medtronic.
I dispositivi interessati includono: Minimed 508 (lanciato per la prima volta nel 1999), i modelli Paradigm (511, 512/712, 515/715, 522/722 e versioni precedenti del 523/723), nonché il vecchio Minimed Paradigm Versioni Veo vendute al di fuori degli Stati Uniti
Nessun motivo per il panico
Prima che qualcuno vada fuori di testa sulla sicurezza del microinfusore, sia chiaro che sia la FDA che la Medtronic confermano che ci sono state segnalazioni ZERO di qualsiasi tipo di manomissione di queste pompe. Quindi, nonostante i titoli sensazionalistici, uno scenario spaventoso in cui qualche malvagio cyber-hacker riprogramma la pompa di qualcuno per fornire troppa insulina rimane foraggio per le trame televisive o cinematografiche. Mentre qualcosa del genere potrebbe teoricamente essere possibile, il rischio reale è molto più probabile che una lettura del sensore CGM difettosa che induca il microinfusore a erogare troppa o troppo poca insulina in questi modelli precedenti.
L'avviso ufficiale della FDA è semplicemente l'agenzia che fa il suo lavoro di avvertimento delle persone sui potenziali pericoli che potrebbero esistere. È l'ennesimo evento "zero day" - come l'avvertimento emesso sui microinfusori per insulina Animas nel 2016 - in cui il produttore è costretto a esporre la vulnerabilità che poteva creare rischio.
Ancora più importante, questo non è un nuovo sviluppo. L'idea che le pompe Medtronic siano vulnerabili è stata resa pubblica dal 2011, quando i media mainstream hanno riferito che l'hacker "cappello bianco" Jay Radcliffe era riuscito a violare il codice di un microinfusore per insulina, e i media mainstream erano dappertutto. Anche due membri del Congresso all'epoca furono coinvolti nel clamore e negli anni successivi questo e le relative questioni di sicurezza informatica sono circolate mentre la FDA e il governo federale hanno elaborato linee guida e protocolli per possibili problemi di sicurezza informatica nella tecnologia medica.
Non un richiamo tradizionale
Inoltre, nonostante la segnalazione nei media mainstream, Medtronic ci conferma che questo non è un richiamo di prodotto tradizionale. “Questa è solo una notifica di sicurezza. Le pompe colpite non devono essere restituite a causa di questa notifica ", afferma Pam Reese, Direttore delle comunicazioni globali e del marketing aziendale di Medtronic Diabetes.
Ci dice che le persone che utilizzano queste vecchie pompe possono ancora ordinare forniture da Medtronic e dai distributori.
Cosa dovresti fare effettivamente se hai una delle pompe colpite?
"Ti consigliamo di parlare con il tuo medico per discutere il problema della sicurezza informatica e le misure che puoi intraprendere per proteggerti. Nel frattempo, le istruzioni specifiche sono di mantenere il microinfusore e i dispositivi collegati al microinfusore sempre sotto il tuo controllo e di non condividere il numero di serie del microinfusore con nessuno ", afferma Reese.
Perché emettere un avviso ora?
Questa è la grande domanda su molte menti nella comunità dei pazienti.
Se Medtronic e FDA sono stati consapevoli di questa vulnerabilità per otto anni interi, e ora tutte queste pompe per insulina Minimed di vecchia generazione sono effettivamente interrotte e fuori mercato per i nuovi clienti negli Stati Uniti, cosa ha provocato un avviso in questo momento ?
Reese di Medtronic afferma: "È stata una conversazione in corso perché la protezione della sicurezza informatica è in continua evoluzione poiché la tecnologia continua a migliorare rapidamente ei dispositivi connessi devono tenere il passo con questo ritmo ... Ne siamo stati consapevoli alla fine del 2011 e abbiamo iniziato a implementare aggiornamenti di sicurezza alle nostre pompe in quel momento. Da allora, abbiamo rilasciato modelli di pompe più recenti che comunicano in modi completamente diversi. Con la crescente attenzione alla sicurezza informatica nel settore dei dispositivi medici oggi, abbiamo ritenuto che fosse importante per i nostri clienti comprendere i problemi e i rischi in modo più dettagliato ".
Può essere, ma ciò che è accaduto negli ultimi anni è la nascita e la crescita esponenziale del movimento tecnologico per il diabete #WeAreNotWaiting DIY; oggi migliaia di persone in tutto il mondo creano i propri sistemi a circuito chiuso fatti in casa. Molti di questi sono stati costruiti sulla base di questi esatti modelli precedenti di pompe Medtronic di cui l'azienda ha improvvisamente deciso di parlare.
Medtronic afferma di aver già identificato 4.000 clienti diretti che potrebbero utilizzare questi dispositivi meno recenti potenzialmente a rischio e che collaboreranno con distributori di terze parti per identificarne altri.
Le menti sospettose possono pensare a due possibili ragioni per un avvertimento improvviso ora:
- La FDA sta utilizzando questo avviso di "rischio potenziale" come mezzo per ridurre il crescente utilizzo della tecnologia fai-da-te che non è regolamentata o approvata per le vendite commerciali.
- E / o Medtronic sta facendo una mossa di scacchi competitiva qui, supportando un avviso di sicurezza informatica per spaventare le persone dall'utilizzo di dispositivi più vecchi e fuori garanzia e invece spingere i clienti ad aggiornarli a dispositivi più nuovi e "più sicuri" come il 630G e il 670G Sistema ibrido closed loop.
Poche settimane fa al nostro evento D-Data Exchange del 7 giugno, è stato fatto il grande annuncio che Medtronic avrebbe iniziato a lavorare con Tidepool senza scopo di lucro open source per creare una nuova versione del suo microinfusore per insulina che sarà interoperabile con altri prodotti e con la futura app Tidepool Loop in fase di sviluppo per l'Apple Store. È possibile che Medtronic speri di gettare le basi affinché i fai-da-te restino fedeli ai prodotti Medtronic, ma non alle versioni precedenti di cui non desiderano più essere responsabili.
Non stai mirando ai sistemi fai-da-te?
Non dimenticare che nel maggio 2019 la FDA ha emesso un avviso sulla tecnologia fai-da-te e sui sistemi "off-label", anche se utilizzano dispositivi approvati dalla FDA nei componenti del sistema. Ma l'agenzia dice che questi due avvisi non sono correlati.
"Questa è una questione separata dall'avvertimento sulla tecnologia fai-da-te", spiega Alison Hunt nell'ufficio per gli affari dei media della FDA. "La FDA è stata informata di ulteriori vulnerabilità associate a queste pompe che, se considerate con quelle divulgate nel 2011, ci hanno portato a emettere questa comunicazione sulla sicurezza e Medtronic a emettere questo ultimo avviso".
Sottolinea che questa ultima comunicazione sulla sicurezza "discute in modo specifico la vulnerabilità della sicurezza informatica in cui una persona non autorizzata potrebbe potenzialmente connettersi in modalità wireless a un vicino microinfusore MiniMed e modificare le impostazioni del microinfusore per erogare eccessivamente insulina a un paziente, portando a un basso livello di zucchero nel sangue (ipoglicemia ), o interrompere la somministrazione di insulina, che porta a livelli elevati di zucchero nel sangue e chetoacidosi diabetica ".
Hunt afferma che la FDA ha discussioni in corso con i produttori e, quando sorgono dubbi, "lavoriamo rapidamente per sviluppare un piano d'azione che includa come mitigare eventuali vulnerabilità della sicurezza informatica e come comunicare efficacemente con il pubblico il più rapidamente possibile".
OK, ma niente di tutto questo spiega esattamente perché in questo caso ci sono voluti anni per affrontare un noto problema di sicurezza informatica ...?
Come notato sopra, molti nella D-Community vedono questo come un tentativo di indirizzare la tecnologia fai-da-te e di portare nuovi clienti alla più recente tecnologia Medtronic. All'interno della comunità #WeAreNotWaiting, molti hanno criticato le recenti azioni della FDA - gli avvertimenti sulla tecnologia fai-da-te e questa vecchia sicurezza informatica tecnologica - come miopi, soprattutto data la prevalenza di letture CGM imprecise e problemi di vita reale con dispositivi per il diabete regolamentati commercialmente là fuori. Un membro di #WeAreNotWaiting ha persino scavato in un nuovo rapporto sugli eventi avversi della FDA pubblicato a giugno 2019 che esaminava gli ultimi due decenni di eventi avversi e ha scoperto che solo nel 2018 i microinfusori Medtronic erano responsabili dell'11,5% di tutti gli eventi.
Whoa! Fai i conti ed è chiaro che i dispositivi commerciali approvati dalla FDA hanno problemi da soli.
È certamente possibile che questo sia proprio quello che sembra essere al valore nominale: riconoscimento ufficiale di un difetto di sicurezza informatica per la vecchia tecnologia che precede l'era Bluetooth della condivisione dei dati e del monitoraggio remoto. Ma perché ci è voluto quasi un decennio per concretizzarsi in azione reale?
Mentre la risposta a "Perché adesso?" su questo non è chiaro, sappiamo che la FDA è stata amica della comunità #WeAreNotWaiting nel corso degli anni. Sono stati disponibili ad aprire la comunicazione con la comunità dei pazienti. Sappiamo anche che ci sono reali responsabilità e problemi di sicurezza con la tecnologia fai-da-te e che la FDA è stata molto misurata nell'affrontare questi potenziali rischi. Speriamo che questa tendenza continui.
Nel frattempo, rimaniamo abbastanza fiduciosi che nessuno stia hackerando le pompe per uccidere le persone. La paura non aiuta nessuno, né la comunità fai-da-te né le stesse aziende farmaceutiche.