FDA: les anciennes pompes à insuline de Medtronic ne sont pas cybersécurité

Si vous suivez les avis de sécurité des produits ou les derniers titres médicaux, vous avez peut-être entendu dire que les anciennes pompes à insuline Medtronic sont qualifiées de dangereuses et vulnérables aux cyberattaques.

Oui, la FDA et Medtronic ont tous deux émis des notifications de sécurité sur le terrain concernant les pompes plus anciennes des séries Revel et Paradigm, des appareils qui, dans certains cas, ont entre une décennie et près de 20 ans maintenant. Voici l'avis de la FDA et la lettre du patient de Medtronic lui-même.

Les appareils concernés comprennent: le Minimed 508 (lancé pour la première fois en 1999), les modèles Paradigm (511, 512/712, 515/715, 522/722 et les anciennes versions du 523/723), ainsi que les anciens modèles Minimed Paradigm Versions Veo vendues en dehors des États-Unis

Aucune raison de paniquer

Avant que quiconque ne s'inquiète de la sécurité des pompes à insuline, soyons clairs que la FDA et Medtronic confirment qu'il n'y a eu aucun rapport de toute sorte de falsification de ces pompes. Ainsi, malgré les gros titres sensationnalistes, un scénario effrayant dans lequel un cyber-hacker infâme reprogramme la pompe de quelqu'un pour délivrer trop d'insuline reste du fourrage pour les intrigues télévisées ou cinématographiques. Bien que quelque chose de ce genre soit théoriquement possible, le risque réel est beaucoup plus susceptible d'être une lecture défectueuse du capteur CGM incitant la pompe à administrer trop ou pas assez d'insuline dans ces modèles plus anciens.

L'avis officiel de la FDA est simplement l'agence qui fait son travail d'avertissement des personnes sur les dangers potentiels qui pourraient exister. C’est encore un autre événement «jour zéro» - comme l’avertissement émis sur les pompes à insuline Animas en 2016 - dans lequel le fabricant est obligé de révéler une vulnérabilité qui pouvait créer des risques.

Plus important encore, ce n’est pas un nouveau développement. L'idée que les pompes Medtronic sont vulnérables est devenue publique depuis 2011, lorsque les médias grand public ont rapporté que le hacker «chapeau blanc» Jay Radcliffe avait réussi à percer le code d'une pompe à insuline, et les médias grand public étaient partout. Même deux membres du Congrès à l'époque ont été pris dans le battage médiatique, et dans les années suivantes, cela et les problèmes de cybersécurité connexes ont circulé alors que la FDA et le gouvernement fédéral ont élaboré des lignes directrices et des protocoles pour d'éventuels problèmes de cybersécurité dans la technologie médicale.

Pas un rappel traditionnel

De plus, malgré les reportages dans les médias grand public, Medtronic confirme avec nous qu'il ne s'agit pas d'un rappel de produit traditionnel. «Ceci est une notification de sécurité uniquement. Les pompes concernées ne doivent pas être retournées en raison de cette notification », déclare Pam Reese, directrice des communications mondiales et du marketing d’entreprise de Medtronic Diabetes.

Elle nous dit que les personnes utilisant ces anciennes pompes peuvent toujours commander des fournitures auprès de Medtronic et de distributeurs.

Que devez-vous réellement faire si vous avez l'une des pompes concernées?

«Nous vous recommandons de parler à votre professionnel de la santé pour discuter du problème de cybersécurité et des mesures que vous pouvez prendre pour vous protéger. En attendant, les instructions spécifiques sont de garder votre pompe à insuline et les appareils connectés à votre pompe sous votre contrôle à tout moment, et de ne pas partager le numéro de série de votre pompe avec qui que ce soit », explique Reese.

Pourquoi émettre un avertissement maintenant?

C'est la grande question qui préoccupe de nombreux esprits dans la communauté des patients.

Si Medtronic et la FDA sont au courant de cette vulnérabilité depuis huit années complètes, et maintenant toutes ces pompes à insuline Minimed de l'ancienne génération sont en fait arrêtées et hors du marché pour les nouveaux clients aux États-Unis, ce qui a déclenché une alerte à ce moment précis. ?

Reese de Medtronic déclare: «Ce fut une conversation permanente car la protection de la cybersécurité évolue constamment alors que la technologie continue de s'améliorer rapidement et que les appareils connectés doivent suivre ce rythme… Nous en avons été informés fin 2011 et nous avons commencé à mettre en œuvre des mises à niveau de sécurité. à nos pompes à ce moment-là. Depuis lors, nous avons publié de nouveaux modèles de pompes qui communiquent de manière complètement différente. Avec l'attention croissante portée à la cybersécurité dans l'industrie des dispositifs médicaux aujourd'hui, nous avons estimé qu'il était important pour nos clients de comprendre plus en détail les problèmes et les risques. »

C'est peut-être le cas, mais ce qui s'est également produit au cours des dernières années, c'est la naissance et la croissance exponentielle du mouvement technologique du diabète DIY #WeAreNotWaiting; aujourd'hui, des milliers de personnes dans le monde créent leurs propres systèmes en boucle fermée. Beaucoup de ceux-ci sont construits sur la base de ces anciens modèles de pompes Medtronic dont la société a soudainement décidé de parler.

Medtronic affirme avoir déjà identifié 4 000 clients directs susceptibles d’utiliser ces appareils plus anciens susceptibles d’être à risque, et qu’elle travaillera avec des distributeurs tiers pour en identifier d’autres.

Les esprits suspects peuvent maintenant penser à deux raisons possibles pour un avertissement soudain:

• La FDA utilise cet avertissement de «risque potentiel» comme un moyen de freiner l'utilisation croissante de la technologie de bricolage qui n'est pas réglementée ou approuvée pour les ventes commerciales.

• Et / ou Medtronic fait un mouvement d'échecs compétitif ici, prenant en charge une alerte de cybersécurité pour effrayer les gens d'utiliser des appareils plus anciens et hors garantie et pousser à la place les clients à mettre à niveau leurs appareils plus récents et plus sécurisés comme les 630G et 670G Système hybride en boucle fermée.

Il y a quelques semaines à peine, lors de notre événement D-Data Exchange le 7 juin, la grande annonce a été faite que Medtronic commencerait à travailler avec Tidepool à but non lucratif open source pour créer une nouvelle version de sa pompe à insuline qui sera interopérable avec d'autres produits et avec la future application Tidepool Loop en cours de développement pour l'Apple Store. Il est possible que Medtronic espère jeter les bases pour que les bricoleurs s'en tiennent aux produits Medtronic, mais pas aux anciennes versions dont ils ne souhaitent plus être responsables.

Vous ne ciblez pas les systèmes de bricolage?

N'oubliez pas qu'en mai 2019, la FDA a émis un avertissement concernant la technologie de bricolage et les systèmes «non conformes», même s'ils utilisent des appareils approuvés par la FDA dans les composants du système. Mais l'agence précise que ces deux alertes ne sont pas liées.

«Il s’agit d’un problème distinct de l’avertissement concernant la technologie du bricolage», explique Alison Hunt du bureau des affaires médiatiques de la FDA. «La FDA a été informée de vulnérabilités supplémentaires associées à ces pompes qui, prises en compte avec celles divulguées en 2011, nous ont amenés à émettre cette communication de sécurité et Medtronic à émettre cette dernière alerte.»

Elle souligne que cette dernière communication sur la sécurité «traite spécifiquement de la vulnérabilité de cybersécurité où une personne non autorisée pourrait potentiellement se connecter sans fil à une pompe à insuline MiniMed à proximité et modifier les paramètres de la pompe pour administrer trop d'insuline à un patient, entraînant une hypoglycémie (hypoglycémie ), ou arrêter l'administration d'insuline, entraînant une glycémie élevée et une acidocétose diabétique. »

Hunt dit que la FDA a des discussions en cours avec les fabricants et que lorsque des préoccupations surviennent, «nous travaillons rapidement pour développer un plan d'action comprenant comment atténuer les vulnérabilités de cybersécurité et comment communiquer efficacement avec le public le plus rapidement possible.»

OK, mais rien de tout cela n'explique exactement pourquoi dans ce cas il a fallu des années pour résoudre un problème de cybersécurité connu…?

Comme indiqué ci-dessus, de nombreux membres de la communauté D considèrent cela comme une tentative de cibler la technologie de bricolage et d'attirer de nouveaux clients vers la dernière technologie Medtronic. Au sein de la communauté #WeAreNotWaiting, beaucoup ont critiqué les récentes actions de la FDA - les avertissements concernant la technologie de bricolage et cette technologie plus ancienne de cybersécurité - comme étant à courte vue, en particulier compte tenu de la prévalence de lectures CGM inexactes et de problèmes de la vie réelle avec les dispositifs de diabète réglementés commercialement. là-bas. Un membre de #WeAreNotWaiting a même fouillé dans un nouveau rapport sur les événements indésirables de la FDA publié en juin 2019 sur les deux dernières décennies d'événements indésirables, et a constaté qu'en 2018 seulement, les pompes à insuline Medtronic étaient responsables de 11,5% de tous les événements.

Whoa! Faites le calcul, et il est clair que les appareils commerciaux approuvés par la FDA ont des problèmes à eux seuls.

Il est certainement possible que ce soit exactement ce qu'il semble être à sa valeur nominale: la reconnaissance officielle d'une faille de cybersécurité pour une technologie ancienne qui est antérieure à l'ère Bluetooth du partage de données et de la surveillance à distance. Mais pourquoi a-t-il fallu près d'une décennie pour se concrétiser en action réelle?

Alors que la réponse à "Pourquoi maintenant?" sur cela reste incertain, nous savons que la FDA a été un ami de la communauté #WeAreNotWaiting au fil des ans. Ils ont été réceptifs à une communication ouverte avec la communauté des patients. Nous savons également qu'il existe de réels problèmes de responsabilité et de sécurité avec la technologie du bricolage, et que la FDA a été très mesurée dans la gestion de ces risques potentiels. Espérons que cette tendance se poursuivra.

En attendant, nous restons convaincus que personne ne pirate les pompes pour tuer des gens. La peur n'aide personne - ni la communauté du bricolage ni les entreprises pharmaceutiques elles-mêmes.