Masalah keamanan siber tampaknya menyapa kita dalam lingkaran tanpa akhir akhir-akhir ini. Di antara banyaknya laporan pelanggaran data, pelanggaran perjanjian privasi, dan serangan dunia maya di sektor swasta dan publik, mungkin sulit untuk menentukan mana yang benar-benar aman.
Dan setelah beberapa kekhawatiran peretasan pompa insulin beberapa tahun yang lalu, kami tidak bisa tidak bertanya-tanya: di mana posisi kami terkait keamanan perangkat diabetes kami (dan informasi yang dikandungnya) pada tahun 2019?
Masalah dengan risiko adalah bahwa terkadang hal itu nyata, dan terkadang dirasakan. Mengatasi risiko nyata mengarah pada keselamatan. Sementara terobsesi dengan risiko yang dirasakan menyebabkan rasa takut. Jadi apa yang nyata disini? Dan apa sebenarnya yang dilakukan untuk mengatasi masalah keamanan siber teknologi diabetes?
Kemajuan dalam Standar Keamanan Siber Medis
Pada Oktober 2018, Badan Pengawas Obat dan Makanan AS (FDA) mengeluarkan panduan pra-pasar untuk semua perangkat medis yang mengandung risiko dunia maya. Kemudian di musim gugur, Health Canada juga merilis dokumen panduan yang berisi rekomendasi keamanan siber yang akan digunakan oleh perusahaan teknologi medis selama tahap pengembangan dan pengujian mereka. Idenya tentu saja bahwa dengan mengikuti pedoman, vendor akan membawa perangkat ke pasar yang sudah aman, versus melihat perangkat yang kerentanannya ditemukan pasca peluncuran pasar melalui penggunaan pasien.
Menurut rilis berita Health Canada, di antara rekomendasi keamanan siber perangkat medis dalam draf panduan mereka adalah: 1) menggabungkan langkah-langkah keamanan siber ke dalam proses manajemen risiko untuk semua perangkat dengan komponen perangkat lunak, 2) membangun kerangka kerja untuk mengelola risiko keamanan siber di tingkat perusahaan, dan 3) verifikasi dan validasi semua proses pengendalian risiko keamanan siber. Mereka secara khusus merekomendasikan langkah-langkah seperti penerapan standar keamanan siber UL 2900 untuk mengurangi risiko dan kerentanan.
Ken Pilgrim, konsultan Senior Regulatory Affairs & Quality Assurance di Emergo Group di Vancouver, mengatakan panduan baru itu harus terbukti bermanfaat bagi produsen perangkat medis tidak hanya di Kanada tetapi juga yurisdiksi lain yang mengembangkan persyaratan keamanan siber serupa.
Sementara itu, langkah-langkah untuk mengatasi keamanan siber perangkat diabetes secara khusus sedang dilakukan di Amerika Serikat.
Pada akhir Oktober, Diabetes Technology Society (DTS) mengumumkan bahwa OmniPod DASH telah menjadi pompa insulin pertama yang disetujui FDA yang menerima sertifikasi berdasarkan standar dan program jaminan keamanan siber “Standar untuk Keamanan Perangkat Diabetes Nirkabel” DTS, yang dikenal sebagai DTSec.
DTS didirikan pada tahun 2001 oleh Dr. David Klonoff dengan tujuan mempromosikan penggunaan dan pengembangan teknologi diabetes. DTSec pada dasarnya adalah standar keamanan terorganisir pertama untuk teknologi diabetes. Anggap saja sebagai semacam segel keamanan, mirip dengan bagaimana kita melihat alamat web https. Standar tersebut ditetapkan pada tahun 2016 setelah penelitian dan masukan dari akademisi, industri, pemerintah, dan pusat klinis. Seperti kebanyakan standar, ini adalah panduan sukarela bagi produsen untuk mempertimbangkan untuk mengadopsi dan mengikuti.
Sejak itu, organisasi ini terus mendorong penelitian keamanan siber dan penilaian risiko, menyelenggarakan konferensi, dan mengembangkan perlindungan yang lebih mendalam.
Juni lalu, beberapa bulan sebelum pengumuman dibuat terkait OmniPod setelah DTSec, grup tersebut merilis panduan keamanan baru yang disebut DTMoSt, singkatan dari "Penggunaan Perangkat Seluler dalam Konteks Pengendalian Diabetes."
Menurut Klonoff, Direktur Medis dari Diabetes Research Institute di Mills-Peninsula Medical Center, San Mateo, CA, pedoman DTMoSt dibangun di atas DTSec dengan menjadi standar pertama dengan persyaratan kinerja dan persyaratan jaminan untuk produsen perangkat medis terhubung yang dikendalikan oleh platform seluler.
DTMoSt mengidentifikasi ancaman, seperti serangan jarak jauh dan berbasis aplikasi yang berbahaya serta "kekurangan sumber daya", untuk pengoperasian yang aman dari solusi yang mendukung perangkat seluler dan menawarkan panduan kepada pengembang, pembuat peraturan, dan pemangku kepentingan lainnya untuk membantu mengelola risiko ini.
Tindakan Keamanan Seharusnya Tidak Menghalangi Penggunaan
Saat ini, aplikasi glukometer, CGM, dan diabetes smartphone semuanya mungkin terhubung ke Internet, dan oleh karena itu terbuka untuk beberapa tingkat risiko.
Namun, terlepas dari pembicaraan terus-menerus tentang bahaya Internet of Things, para ahli mengingatkan bahwa risiko sebenarnya bagi publik cukup rendah. Dalam hal keamanan, orang jahat tidak begitu tertarik dengan data glukosa darah seseorang (dibandingkan dengan sandi rekening bank mereka).
Karena itu, investasi dalam keamanan siber diperlukan sebagai tindakan pencegahan terhadap ancaman dan memastikan keamanan dasar pengguna dan pelanggan.
Tetapi sisi negatifnya adalah bahwa menerapkan langkah-langkah keamanan siber terkadang berarti membuat sistem menjadi sangat sulit atau tidak mungkin digunakan untuk berbagi data dengan cara yang dimaksudkan. Trik dalam persamaan tersebut tidak membatasi kemampuan operasi dan akses oleh orang-orang yang dituju.
Dan bagaimana dengan privasi? Berulang kali kita melihat bahwa sementara orang mengatakan bahwa mereka memprioritaskan privasi, mereka tampaknya bertindak dengan cara yang kontradiktif, dengan menyetujui, menggulir, menginisialisasi, menandatangani, dan memberikan akses ke informasi dan data dengan pemikiran atau perhatian yang sangat sedikit. Sebenarnya, kita konsumen biasanya tidak membaca kebijakan privasi dengan sangat hati-hati. Kami baru saja menekan tombol 'selanjutnya'.
Mengimbangi Ketakutan dan Gentar
Banyak orang di industri memperingatkan sisi buruk keamanan siber: fokus pada ketakutan yang berbatasan dengan obsesi, menghalangi penelitian, dan pada akhirnya dapat mengorbankan nyawa. Mereka adalah orang-orang yang menyadari bahwa dunia maya, dan perangkat diabetes kita, terbuka terhadap risiko, tetapi merasa bahwa reaksi berlebihan berpotensi lebih berbahaya.
“Keseluruhan masalah 'keamanan siber di perangkat' mendapat perhatian yang jauh lebih besar daripada yang seharusnya,” kata Adam Brown, editor senior di cacian dan penulis Bintik-bintik Terang & Ranjau Darat: Panduan Diabetes yang Saya Ingin Seseorang Menyerahkan Saya. “Kami membutuhkan perusahaan untuk bergerak lebih cepat dari mereka, dan keamanan siber dapat menimbulkan ketakutan yang tidak perlu. Sementara itu, orang-orang di luar sana melakukannya tanpa data, tanpa konektivitas, tanpa otomatisasi, dan tanpa dukungan. "
Howard Look, CEO Tidepool, D-Dad, dan kekuatan utama di balik gerakan #WeAreNotWaiting, melihat kedua sisi masalah, tetapi setuju dengan Brown dan pakar industri lainnya yang takut memeriksa tingkat kemajuan medis.
"Tentu saja, perusahaan perangkat (termasuk perangkat lunak sebagai perusahaan perangkat medis, seperti Tidepool) harus menangani keamanan siber dengan sangat, sangat serius," kata Look. “Kami tentu tidak ingin menciptakan situasi di mana ada risiko serangan massal terhadap perangkat atau aplikasi yang dapat merugikan orang. Namun gambar 'peretas berkerudung' dengan tengkorak dan tulang bersilang di layar komputer hanya menakuti orang-orang yang tidak benar-benar memahami apa yang dipertaruhkan. Ini menyebabkan perusahaan perangkat melambat, karena mereka takut. Itu tidak membantu mereka memahami hal yang benar untuk dilakukan. " Penampilan mengacu pada slide Powerpoint yang ditampilkan dalam konferensi medis diabetes dengan gambar menakutkan yang menunjukkan bahaya dunia maya.
OpenAPS dan Loop sistem loop tertutup do-it-yourself yang telah menjadi populer secara teknis didasarkan pada "kerentanan" pada pompa Medtronic yang lebih lama yang memungkinkan kontrol jarak jauh nirkabel dari pompa-pompa ini. Untuk meretas pompa, Anda perlu mengetahui nomor serinya, dan Anda harus berada di dekat pompa selama 20 detik. “Ada cara yang lebih mudah untuk membunuh seseorang jika itu yang ingin Anda lakukan,” kata Look.
Banyak yang berpendapat bahwa "kerentanan" yang diusulkan dalam keamanan ini, sama menakutkannya dengan teori, adalah manfaat yang sangat besar karena telah memungkinkan ribuan orang untuk menjalankan OpenAPS dan Loop, menyelamatkan nyawa dan meningkatkan kualitas hidup dan kesehatan masyarakat bagi mereka yang menggunakan mereka.
Pendekatan Terukur terhadap Risiko
Organisasi seperti DTS sedang melakukan pekerjaan penting. Keamanan perangkat itu penting. Dan presentasi penelitian dan konferensi tentang topik tersebut adalah konstanta industri - teknologi diabetes dan keamanan siber akan menjadi fokus dari beberapa elemen Konferensi Internasional ke-12 tentang Teknologi Canggih & Perawatan untuk Diabetes (ATTD 2019) yang diadakan akhir bulan ini di Berlin. Tetapi kebenaran itu terus ada di samping kenyataan bahwa orang membutuhkan alat yang lebih baik yang lebih murah, dan kami membutuhkannya dengan cepat.
“Ciri dari perangkat hebat adalah peningkatan berkelanjutan, bukan kesempurnaan,” kata Brown. “Itu membutuhkan konektivitas, interoperabilitas, dan pembaruan perangkat lunak jarak jauh.”
Meskipun perangkat rentan terhadap risiko, para ahli tampaknya setuju bahwa perangkat tersebut umumnya cukup aman dan terlindungi. Ke depan sepanjang 2019 dan seterusnya, konsensus tampaknya adalah bahwa sementara mengawasi risiko dunia maya itu penting, risiko itu sering dilebih-lebihkan, dan berpotensi tidak sebanding dengan risiko kesehatan karena tidak memiliki alat diabetes yang canggih.