As preocupações com a segurança cibernética parecem nos abordar em um loop infinito atualmente. Entre uma enxurrada de relatórios de violações de dados, acordos de privacidade violados e ataques cibernéticos nos setores público e privado, pode ser difícil determinar o que é realmente seguro.
E depois de alguns sustos de hackear a bomba de insulina alguns anos atrás, não podemos deixar de nos perguntar: qual é a nossa posição em relação à segurança de nossos dispositivos para diabetes (e as informações que eles contêm) em 2019?
O problema com o risco é que às vezes é real, às vezes é percebido. Lidar com o risco real leva à segurança. Enquanto a obsessão sobre o risco percebido leva ao medo. Então, o que é real aqui? E o que exatamente está sendo feito para lidar com as preocupações com a segurança cibernética da tecnologia do diabetes?
Progresso nos padrões de segurança cibernética médica
Em outubro de 2018, a Food and Drug Administration (FDA) dos EUA emitiu uma orientação de pré-comercialização para todos os dispositivos médicos que contêm riscos cibernéticos. Mais tarde, no outono, a Health Canada também lançou um documento de orientação contendo recomendações de segurança cibernética a serem usadas por empresas de tecnologia médica durante seus estágios de desenvolvimento e teste. A ideia, claro, é que, seguindo as diretrizes, os fornecedores trarão para o mercado dispositivos que já são seguros, em vez de ver dispositivos cujas vulnerabilidades são descobertas após a liberação do mercado por meio do uso do paciente.
De acordo com um comunicado à imprensa da Health Canada, entre as recomendações de segurança cibernética de dispositivos médicos em seu esboço de orientação estão: 1) incorporação de medidas de segurança cibernética em processos de gerenciamento de risco para todos os dispositivos com um componente de software, 2) estabelecimento de estruturas para gerenciar riscos de segurança cibernética em nível empresarial, e 3) verificação e validação de todos os processos de controle de risco de segurança cibernética. Eles recomendam especificamente medidas como a implementação do padrão de segurança cibernética UL 2900 para mitigar riscos e vulnerabilidades.
Ken Pilgrim, consultor sênior de Assuntos Regulatórios e Garantia de Qualidade do Grupo Emergo em Vancouver, disse que a nova orientação deve ser valiosa para fabricantes de dispositivos médicos não apenas no Canadá, mas também em outras jurisdições que desenvolvem requisitos de segurança cibernética semelhantes.
Enquanto isso, medidas para abordar a segurança cibernética de dispositivos para diabetes especificamente estão sendo implementadas nos Estados Unidos.
No final de outubro, a Diabetes Technology Society (DTS) anunciou que o OmniPod DASH havia se tornado a primeira bomba de insulina liberada pela FDA a receber a certificação sob o programa e padrão de garantia de segurança cibernética "Padrão para Segurança de Dispositivos de Diabetes Sem Fio" da DTS, conhecido como DTSec.
A DTS foi fundada em 2001 pelo Dr. David Klonoff com o objetivo de promover o uso e o desenvolvimento da tecnologia do diabetes. DTSec é essencialmente o primeiro padrão de segurança organizado para tecnologia de diabetes. Pense nisso como uma espécie de selo de segurança, semelhante a como vemos um endereço da web https. O padrão foi estabelecido em 2016 após pesquisas e contribuições da academia, indústria, governo e centros clínicos. Como a maioria dos padrões, é uma orientação voluntária para os fabricantes considerarem a adoção e o cumprimento.
Desde então, a organização continua promovendo pesquisas de segurança cibernética e avaliação de riscos, organizando conferências e desenvolvendo proteções mais detalhadas.
Em junho passado, alguns meses antes de ser feito o anúncio sobre OmniPod após DTSec, o grupo lançou uma nova orientação de segurança chamada DTMoSt, abreviação de “Uso de dispositivos móveis em contextos de controle de diabetes”.
De acordo com Klonoff, Diretor Médico do Instituto de Pesquisa de Diabetes do Mills-Peninsula Medical Center, San Mateo, CA, as diretrizes DTMoSt baseiam-se no DTSec, tornando-se o primeiro padrão com requisitos de desempenho e requisitos de garantia para fabricantes de dispositivos médicos conectados controlados por um plataforma móvel.
O DTMoSt identifica ameaças, como ataques maliciosos baseados em aplicativos e remotos e “escassez de recursos”, para a operação segura de soluções habilitadas para dispositivos móveis e oferece orientação para desenvolvedores, reguladores e outras partes interessadas para ajudar a gerenciar esses riscos.
Medidas de segurança não devem prejudicar o uso
Hoje, o glicosímetro, o CGM e o aplicativo de smartphone para diabetes podem estar todos conectados à Internet e, portanto, abertos a algum nível de risco.
Mesmo assim, apesar de se falar continuamente sobre os perigos da Internet das Coisas, os especialistas alertam que o risco real para o público é muito baixo. Quando se trata de segurança, pessoas más simplesmente não estão tão interessadas nos dados de glicose no sangue de alguém (em comparação com a senha de sua conta bancária).
Dito isso, os investimentos em segurança cibernética são necessários como medidas preventivas a ameaças e garantindo a segurança básica de usuários e clientes.
Mas a desvantagem é que implementar medidas de segurança cibernética às vezes pode significar tornar um sistema muito difícil ou impossível de usar para compartilhamento de dados da maneira pretendida. O truque da equação é não limitar a capacidade de operação e acesso das pessoas pretendidas.
E quanto à privacidade? Repetidamente, vemos que, embora as pessoas digam que priorizam a privacidade, elas parecem agir de maneira contraditória, consentindo, rolar, rubricar, assinar e dar acesso a informações e dados com muito pouco pensamento ou preocupação real. A verdade é que nós, consumidores, geralmente não lemos as políticas de privacidade com muito cuidado, se é que o fazemos. Acabamos de clicar no botão ‘próximo’.
Compensando o medo e a trepidação
Muitos na indústria alertam para o lado adverso da segurança cibernética: um foco no medo que beira a obsessão, bloqueia a pesquisa e pode, no final das contas, custar vidas. São pessoas que reconhecem que o mundo cibernético e nossos dispositivos para diabetes estão sujeitos a riscos, mas sentem que a reação exagerada é potencialmente mais perigosa.
“Toda a questão da‘ cibersegurança em dispositivos ’recebe muito mais atenção do que merece”, diz Adam Brown, editor sênior da diatribe e autor de Pontos brilhantes e minas terrestres: o guia sobre diabetes que eu gostaria que alguém tivesse me dado. “Precisamos que as empresas se movam mais rápido do que estão, e a segurança cibernética pode gerar temores desnecessários. Enquanto isso, as pessoas estão por aí improvisando sem dados, sem conectividade, sem automação e sem suporte ”.
Howard Look, CEO da Tidepool, D-Dad e uma das principais forças por trás do movimento #WeAreNotWaiting, vê os dois lados da questão, mas concorda com Brown e outros especialistas da indústria que temem verificações na taxa de avanço médico.
“Certamente, as empresas de dispositivos (incluindo empresas de software como dispositivos médicos, como a Tidepool) devem levar a segurança cibernética muito, muito a sério”, diz Look. “Certamente não queremos criar uma situação em que haja o risco de um ataque em massa a dispositivos ou aplicativos que podem prejudicar as pessoas. Mas as fotos de ‘hackers com capuz’ com caveira e ossos cruzados nas telas de computador apenas assustam as pessoas que não entendem realmente o que está em jogo. Isso faz com que as empresas de dispositivos diminuam o ritmo, porque estão com medo. Isso não os ajuda a entender a coisa certa a fazer. ” Look estava se referindo a slides do PowerPoint mostrados em conferências médicas sobre diabetes com imagens assustadoras que sugeriam perigos cibernéticos.
Os sistemas de loop fechado OpenAPS e Loop do-it-yourself que se tornaram populares são tecnicamente baseados em uma “vulnerabilidade” nas bombas mais antigas da Medtronic que permite o controle remoto sem fio dessas bombas. Para hackear as bombas, você precisa saber o número de série e ficar perto da bomba por 20 segundos. “Existem maneiras muito mais fáceis de matar alguém se é isso que você quer fazer”, diz Look.
Muitos argumentam que essa "vulnerabilidade" proposta em segurança, por mais assustadora que possa ser na teoria, é um grande benefício, pois permitiu que milhares de pessoas executassem OpenAPS e Loop, salvando vidas e melhorando a qualidade de vida e a saúde pública para aqueles que usam eles.
Uma abordagem medida para riscos
Organizações como a DTS estão fazendo um trabalho importante. A segurança do dispositivo é importante. E as apresentações de pesquisas e conferências sobre o assunto são constantes da indústria - tecnologia de diabetes e segurança cibernética serão o foco de vários elementos da 12ª Conferência Internacional sobre Tecnologias Avançadas e Tratamentos para Diabetes (ATTD 2019) que será realizada no final deste mês em Berlim. Mas essas verdades continuam existindo junto com a realidade de que as pessoas precisam de ferramentas melhores e mais baratas, e nós precisamos delas rapidamente.
“A marca registrada de grandes dispositivos é a melhoria contínua, não a perfeição”, diz Brown. “Isso requer conectividade, interoperabilidade e atualização remota de software.”
Embora os dispositivos estejam abertos a riscos, os especialistas parecem concordar que eles geralmente são bastante seguros e protegidos. Ao longo de 2019 e além, o consenso parece ser que, embora ficar de olho no risco cibernético seja importante, esse risco é frequentemente superestimado e potencialmente empalidece em comparação com os riscos à saúde de não ter ferramentas avançadas de diabetes.