Johnson&Johnson (J&J), insülin pompalarının birinde güvenlik zaafiyeti olduğunu hastaları ile paylaştı. Her ne kadar riskin düşük olduğu belirtilmişse de bu durum aslında hacklenen insülin pompalarından yüksek doz verilmesi gibi hayati riskler içermekte.
Medikal cihaz uzmanları böyle bir siber zaafiyeti için üreticilerin ilk defa hastalarını uyardıklarını söylemekteler. Benzer riskler defibrilatörler ve kalp pillerinde de geçtiğimiz aylarda gündeme gelmişti. J&J uzmanı Reuters’e verdiği açıklamalarda J&J Animas OneTouch Ping insülin pompasında böyle bir açık olduğunu ancak bu güne kadar her hangi bir hack tehdidi yaşanmadığını belirtti. Animas OneTouch Ping 2008’de piyasaya sürüldü. Kablosuz bağlantı ile çalışan bu cihazı Amerika’da 114,000 hasta kullanmakta.

Nisan ayında cihazdaki bu güvenlik zaafiyetini Rapid7.Inc şirketinde siber güvnlik uzmanı olarak çalışan diyabet hastası Jay Radcliffe raporlamış. Radcliffe Cihazla insülin pompası arasındaki iletişimin şifrelenmediğini ve bunun da açık yarattığını bulmuş. Bunun üzerine bu bulguları inceleyen J&J uzmanı Brian Levy durumu test etmiş ve yaklaşık 7,5 metre uzaklıktan hackerların cihaza müdehale edebileceğini ortaya çıkarmış. Ancak Levy durumun çok tehlikeli olmadığını böyle bir girişim için hackerın uzmanlaşmış olması ve özel donanımlar kullanması gerektiğini öne sürüyor. J&J ise bu durum karşısında hastaların maksimum insülin dozunu ayarlamaları ve cihazın kablosuz kullanımını kapatmaları önerilerinde bulunuyor.
Ancak tabi ki bu savunmalar yeterli değil. Çünkü aslında bu açığı siber güvenlik üzerine çalışan biri rahatlıkla ortaya çıkarmış ve iyi niyetli olduğu için J&J’ye raporlamış. Bunun yanı sıra hastalar bu cihazı otomatik ve kablosuz olduğu için tercih etmişler, bu sebeple “Kablosuz bağlantıyı kapatınca güvenli oluyor.” yaklaşımı pekte tatmin edici bulunmamakta.
Diğer ilaçlar ve medikal ürünlerde olduğu gibi medikal cihazlar içinde U.S. Food and Drug Administration (FDA) onayı gerekmekte. Daha önce bu cihaz için izin alınmış olsada FDA J&J’nın bu konuyu ele alışını çokta olumlu karşılamamakta. Her ne kadar J&J’nin diğer medikal cihazlarında böyle bir bug bulunmasa dahi, diyabetli bir çocuğun ebeveyni ya da bir diyabet hastasını için durum tedirgin edici.
FDA’de medikal cihazlardaki buglarla ilgilenen Suzanne Schwarts hastanın sağlığını önde tutarak tüm yüklenicilerin (cihaz üreticileri ve araştırmacılar) bu konularda dikkatli olması gerektiğini söylemekte.
NOT: J&J Animas® OneTouch® Ping® kullanan diyabet hastalarının, doktorlarının gözetimi ve tavsiyesine göre, J&J’ın doktorlara ve hastalara bildirdiği güvenlik tedbirlerini takip etmesi ve uyması önem kazanmakta.
J&J’nin Animas® OneTouch® Ping® için mektubu
Jim Finkle, REUTERS