Johnson & Johnson mette in guardia contro il rischio di hacking della pompa insulinica

Anonim

SAN FRANCISCO - Un importante produttore di dispositivi medici ha emesso per la prima volta un avvertimento su un potenziale difetto di sicurezza del computer in un prodotto di consumo, ma avverte che il pericolo per i pazienti è estremamente basso.

La Johnson & Johnson ha lanciato martedì un avvertimento su un possibile problema di sicurezza informatica con la sua pompa per infusione di insulina OneTouch Ping Animas. Il problema è stato segnalato per la prima volta da Reuters.

Rapid 7, società di sicurezza informatica, ha scoperto che potrebbe essere possibile assumere il controllo della pompa tramite un sistema di comunicazione a radiofrequenza in chiaro che consente di inviare comandi e informazioni tramite un telecomando wireless. La società ha avvisato Johnson & Johnson, che ha emesso l'avvertimento.

L'assunzione di una dose di insulina troppo alta o troppo bassa potrebbe gravemente ammalarsi o addirittura uccidere.

Non ci sono stati casi di hacking delle pompe, ha detto Johnson & Johnson.

Le pompe di insulina sono utilizzate per controllare il diabete. Sono indossati sul corpo e forniscono insulina nel corpo tramite un catetere posto sotto la pelle. Sono utilizzati in modo schiacciante dai pazienti con diabete di tipo 1, il tipo meno comune negli Stati Uniti.

Nel dispositivo OneTouch Ping, l'utente può ordinare alla pompa di somministrare loro una dose di insulina tramite un telecomando wireless che comunica con la pompa di insulina tramite un sistema di comunicazione a radiofrequenza non crittografato.

Negli ultimi anni è sorta un'intera comunità di hacker che si concentra sull'hacking del diabete, anche se generalmente per modificare i propri dispositivi o per capire meglio come funzionano. Questo sembra essere il primo caso in cui una società ha intrapreso un'azione diretta a causa di ricerche esterne su di essi, tuttavia.

Per hackerare il sistema OneTouch Ping, qualcuno avrebbe bisogno di usare un monitor a radiofrequenza per rilevare che la persona aveva questa particolare pompa per insulina e quindi quale dei 16 possibili canali su cui stava trasmettendo. Potrebbero quindi registrare un comando per somministrare più insulina e ripetere questo comando più e più volte, con il conseguente potenziale di un dosaggio molto elevato di insulina, ha detto Jay Radcliffe, ricercatore senior della sicurezza con Rapid 7 che ha trovato il difetto.

"Qualcuno dovrebbe avere intenzioni malvagie, dovrebbero voler danneggiare un altro essere umano. E devono avere esperienza tecnica, devono avere antenne radio e devono essere entro 25 piedi, senza ostacoli ", ha detto Marene Allison, responsabile della sicurezza delle informazioni dell'azienda.

Tuttavia, fare ciò richiederebbe che il potenziale hacker fosse a meno di 25 piedi dal dispositivo e richiederebbe competenza tecnica e attrezzature sofisticate, ha detto Animas in una dichiarazione martedì. Animas è di proprietà di Johnson & Johnson.

Mentre ci sono molti diabetici negli Stati Uniti, 29, 1 milioni secondo l'American Diabetes Association, la stragrande maggioranza di loro ha il diabete di tipo 2. Solo il 4%, ovvero 1, 25 milioni di americani, ha il diabete di tipo 1, che è causato da una malattia autoimmune che distrugge le cellule che rilasciano l'insulina.

Ci sono 114.000 sistemi di somministrazione di insulina OneTouch Ping in circolazione negli Stati Uniti e in Canada, secondo Johnson e Johnson.

I diabetici di tipo 2 in genere non hanno bisogno della somministrazione di insulina sofisticata e frequente che offre una pompa per insulina, ha detto Sarah Kim, che dirige la clinica del diabete all'ospedale generale Zuckerberg di San Francisco.

"Qualcuno dovrebbe andare a misure estreme per hackerare e comandare la pompa di insulina senza la conoscenza della persona. A questo punto sembra una preoccupazione inutile ", ha detto.

Nella sua versione, Animas ha detto che gli utenti della sua pompa di insulina possono disattivare la funzione di frequenza radio. Possono anche impostare la pompa per vibrare quando inizia a erogare una dose di insulina, dando loro il tempo di annullare l'ordine se loro stessi non l'hanno dato.

Radcliffe ha affermato che è importante notare che le pompe per insulina e in effetti tutti i dispositivi medici operano su un ciclo di sviluppo molto più lungo rispetto ai telefoni cellulari. "Probabilmente questa pompa era stata progettata dieci o quindici anni fa, quando nessuno pensava alla sicurezza intorno ai protocolli di comunicazione", ha affermato.

Ha detto che Johnson & Johnson "ha fatto un ottimo lavoro" rispondendo al problema. "Se a mio figlio venisse diagnosticato il diabete oggi, non avrei problemi a metterli su una pompa Animas", ha detto.

Johnson & Johnson ha lavorato con Food and Drug Administration sulle linee guida per la sicurezza informatica dei dispositivi medici negli ultimi 18 mesi. Queste linee guida sono state pubblicate a gennaio, ha detto Allison.