Om du följer produktsäkerhetsmeddelanden eller de senaste medicinska rubrikerna har du kanske hört att äldre Medtronic-insulinpumpar kallas osäkra och utsatta för cyberattacker.
Ja, FDA och Medtronic har båda utfärdat säkerhetsmeddelanden om äldre pumpar i Revel och Paradigm-serien, enheter som i vissa fall är från ett decennium upp till nästan 20 år gamla nu. Här är FDA-meddelandet och patientbrevet från Medtronic själv.
De påverkade enheterna inkluderar: Minimed 508 (först lanserades 1999), Paradigm-modellerna (511, 512/712, 515/715, 522/722 och äldre versioner av 523/723), liksom den äldre Minimed Paradigm Veo-versioner säljs utanför USA
Ingen anledning till panik
Innan någon blir orolig över insulinpumpens säkerhet, låt oss vara tydliga att både FDA och Medtronic bekräftar att det har rapporterats NOLL om någon form av manipulering med dessa pumpar. Så trots de sensationella rubrikerna är ett skrämmande scenario där någon skändlig cyberhacker omprogrammerar någons pump för att leverera för mycket insulin förblir foder för TV- eller filmplott. Medan något sådant teoretiskt sett kan vara möjligt, är den verkliga risken mycket mer sannolikt att en felaktig CGM-sensoravläsning uppmanar pumpen att leverera för mycket eller för lite insulin i dessa äldre modeller.
Det officiella meddelandet från FDA är helt enkelt byrån som gör sitt jobb med att varna människor om potentiella faror som kan finnas. Det är ännu en "zero day" -händelse - som varningen om Animas insulinpumpar 2016 - där tillverkaren är tvungen att avslöja sårbarhet som skulle kunna skapa risk.
Ännu viktigare är att detta inte är en ny utveckling. Uppfattningen att Medtronic-pumpar är sårbara har varit offentligt sedan 2011, då vanliga medier rapporterade att "vit hatt" -hacker Jay Radcliffe hade lyckats bryta sig in i koden för en insulinpump, och vanliga medier var överallt. Till och med två kongressmedlemmar vid den tiden fastnade i hype, och under de följande åren har relaterade cybersäkerhetsfrågor cirkulerat när FDA och den federala regeringen utformade riktlinjer och protokoll för eventuella cybersäkerhetsfrågor inom medicinsk teknik.
Inte en traditionell återkallelse
Trots rapporter i vanliga medier bekräftar Medtronic med oss att detta inte är en traditionell produktåterkallelse. ”Detta är endast en säkerhetsanmälan. Påverkade pumpar behöver inte returneras på grund av detta meddelande, säger Pam Reese, Medtronic Diabetes chef för global kommunikation och företagsmarknadsföring.
Hon berättar att personer som använder dessa äldre pumpar fortfarande kan beställa leveranser från Medtronic och från distributörer.
Vad ska du göra om du har en av de drabbade pumparna?
”Vi rekommenderar att du pratar med din vårdgivare för att diskutera cybersäkerhetsfrågan och de steg du kan vidta för att skydda dig själv. Under tiden är specifika instruktioner att hålla din insulinpump och de enheter som är anslutna till din pump hela tiden inom din kontroll, och att inte dela ditt pumpens serienummer med någon, säger Reese.
Varför utfärda en varning nu?
Det här är den stora frågan i många hjärnor i patientgemenskapen.
Om Medtronic och FDA har varit medvetna om denna sårbarhet i åtta hela år, och nu är alla dessa äldre generationers Minimed-insulinpumpar faktiskt avbrutna och utanför marknaden för nya kunder i staterna, vilket föranledde en varning just nu ?
Medtronics Reese säger: ”Det har varit en pågående konversation eftersom cybersäkerhetsskyddet ständigt utvecklas eftersom tekniken fortsätter att snabbt förbättras och anslutna enheter måste hålla jämna steg ... Vi blev medvetna om detta i slutet av 2011 och vi började genomföra säkerhetsuppgraderingar till våra pumpar vid den tiden. Sedan dess har vi släppt nyare pumpmodeller som kommunicerar på helt olika sätt. Med den växande uppmärksamheten mot cybersäkerhet i medicinteknikindustrin idag kände vi att det var viktigt för våra kunder att förstå frågorna och riskerna mer detaljerat. ”
Det kan vara, men det som också har hänt de senaste åren är födelsen och den exponentiella tillväxten av #WeAreNotWaiting DIY diabetesteknikrörelsen; idag skapar tusentals människor världen över sina egna hemlagade system med sluten slinga. Många av dessa byggs baserat på dessa exakt äldre modeller av Medtronic-pumpar som företaget plötsligt har bestämt sig för.
Medtronic säger att de redan har identifierat 4 000 direktkunder som kan använda dessa äldre enheter som eventuellt är i riskzonen och kommer att arbeta med tredjepartsdistributörer för att identifiera andra.
Misstänkta sinnen kan tänka på två möjliga orsaker till en plötslig varning nu:
- FDA använder den här "potentiella risken" -varningen som ett sätt att trampa ner den växande användningen av DIY-teknik som inte är reglerad eller godkänd för kommersiell försäljning.
- Och / eller Medtronic gör ett konkurrenskraftigt schackdrag här och stöder en cybersäkerhetsvarning för att skrämma människor från att använda äldre enheter utan garanti och istället driva kunderna att uppgradera till nyare, "säkrare" enheter som 630G och 670G Hybrid Closed Loop-system.
För några veckor sedan vid vårt D-Data ExChange-evenemang den 7 juni lades det stora meddelandet att Medtronic skulle börja arbeta med öppen källkod utan vinstdrivande Tidepool för att skapa en ny version av sin insulinpump som kommer att vara driftskompatibel med andra produkter och med den framtida Tidepool Loop-appen som utvecklas för Apple Store. Det är möjligt att Medtronic hoppas lägga grunden för DIY-tillverkare att hålla fast vid Medtronic-produkter, inte bara de äldre versionerna de inte längre vill vara ansvariga för.
Inriktar du inte på DIY-system?
Glöm inte att FDA i maj 2019 utfärdade en varning om DIY-teknik och system som är "off-label", även om de använder FDA-godkända enheter i systemkomponenterna. Men byrån säger att dessa två varningar inte är relaterade.
”Det här är en separat fråga från varningen för DIY-teknik”, förklarar Alison Hunt i FDA: s Media Affairs Office. "FDA blev medveten om ytterligare sårbarheter i samband med dessa pumpar som, när de övervägs med de som avslöjades 2011, ledde till att vi utfärdade denna säkerhetskommunikation och Medtronic att utfärda den här senaste varningen."
Hon påpekar att den senaste säkerhetskommunikationen "specifikt diskuterar cybersäkerhetssårbarheten där en obehörig person potentiellt kan ansluta trådlöst till en närliggande MiniMed-insulinpump och ändra pumpens inställningar för att antingen överleverera insulin till en patient, vilket leder till lågt blodsocker (hypoglykemi) ), eller stoppa insulintillförseln, vilket leder till högt blodsocker och diabetisk ketoacidos. ”
Hunt säger att FDA har löpande diskussioner med tillverkare och när oro uppstår ”arbetar vi snabbt för att utveckla en handlingsplan inklusive hur man kan mildra eventuella cybersäkerhetsproblem och hur man effektivt kommunicerar med allmänheten så snabbt som möjligt.”
OK, men inget av detta förklarar exakt varför i det här fallet tog det år att ta itu med en känd cybersäkerhetsfråga ...?
Som nämnts ovan ser många inom D-gemenskapen detta som ett försök att rikta sig till DIY-teknik såväl som att få in nya kunder till den senaste Medtronic-tekniken. Inom #WeAreNotWaiting-communityn har många kritiserat de senaste FDA-åtgärderna - varningarna om DIY-teknik och denna äldre tekniska cybersäkerhet - som kortsynta, särskilt med tanke på förekomsten av felaktiga CGM-avläsningar och verkliga problem med kommersiellt reglerade diabetesenheter. där ute. En #WeAreNotWaiting-medlem grävde till och med in i en ny FDA-biverkningsrapport som utfärdades i juni 2019 och tittade på de senaste två decennierna av negativa händelser och fann att Medtronic-insulinpumpar bara 2018 var ansvariga för 11,5% av alla händelser.
Oj! Gör matematiken och det är tydligt att kommersiella, FDA-godkända enheter har problem helt och hållet.
Det är säkert möjligt att det här är precis vad det verkar vara på riktigt värde: officiellt erkännande av en cybersäkerhetsfel för gammal teknik som föregår Bluetooth-eran med datadelning och fjärrövervakning. Men varför tog det nästan ett decennium att bli verklighet?
Medan svaret "Varför nu?" på detta förblir oklart, vi vet att FDA har varit en vän till #WeAreNotWaiting-samhället genom åren. De har varit mottagliga för öppen kommunikation med patientgemenskapen. Vi vet också att det finns verkliga ansvars- och säkerhetsproblem med DIY-teknik, och att FDA har varit mycket uppmätt för att hantera dessa potentiella risker. Låt oss hoppas att den trenden fortsätter.
Under tiden är vi ganska säkra på att ingen hackar pumpar för att döda människor. Fear-mongering hjälper inte någon - varken DIY-communityn eller Pharma-företagen själva.