Medtronic roept insulinepompen terug vanwege kwetsbaarheden

insulinepompOp 28 juni 2019 berichtte het online magazine www.theregister.co.uk een bericht over zeer recent ontdekte elektronische kwetsbaarheden. Het artikel, genaamd “Scumbags can program vulnerable Medtronic insulin pumps over the air to murder diabetics – insecure kit recalled” beschrijft de terugroepactie van het Amerikaanse bedrijf Medtronic van bepaalde typen insulinepompjes. Die bleken kwetsbaar voor beïnvloeding met radio-frequente signalen. Potentiële aanvallers kunnen met speciale technische vaardigheden en dito uitrusting contactloos van een in de buurt zijnde insulinepomp de instellingen veranderen en daarmee de insuline-afgifte beïnvloeden. Het gaat om de MiniMed 508 en de MiniMed Paradigm pompen. De Minimed 620G, 630G, 640G en 670G hebben die kwetsbaarheden niet. Het bedrijf Medtronic heeft in de Verenigde Staten aan gebruikers aangeboden de kwetsbare typen om te ruilen tegen de MiniMed 670G. Voor de duidelijkheid zij opgemerkt dat cybersecurity-onderzoekers de kwetsbaarheden ontdekt hebben, maar dat er geen tekenen zijn dat daadwerkelijke kwaadwillige beïnvloeding heeft plaatsgevonden.

Probleem

Het probleem zit hem in de draadloze verbinding die bestaat tussen de kwetsbare inulinepompen en CareLink-software. Daarmee kan de informatie van patiënten via hun diabetesapparaten verzameld worden verwerkt worden en omgezet worden in grafieken en tabellen. Daardoor krijgt de patiënt een beter zicht op zijn ziekte. Een aanvaller die fysiek voldoende dichtbij is, kan zich elektronisch voordoen als een CareLink-apparaat. Dan kan die een potentieel levensbedreigend commando naar de insulinepomp sturen. Door de pomp meer insuline te laten toedienen dan nodig is kan een levensbedreigende bloedsuikerdaling op gang gebracht worden.

Research

De kwetsbaarheden zijn ontdekt door een drietal externe cybersecurity-onderzoekers, Rios, Butts en Young die voortborduurden op eerder onderzoek van een groepje andere onzerzoekers( Paul, Radcliffe en Jack). Medtronic heeft het werk van de onderzoekers geverifieerd en aanvullend onderzoek gedaan en meldde het zelf in de V.S. aan de verantwoordelijke organisatie, de National Cybersecurity & Communications Integration Center (NCCIC).

Waarschuwingen

Daarna kwamen de waarschuwingen op gang. De kwetsbaarheid is gerubriceerd als CVE-2019-10964. Op de lijst van Common Weakness Enumerations staat het te boek onder de rubriek Improper Access Control. Ook bij het CyberInfrastructure Agency staat het beschreven.

Medtronic

Het bedrijf heeft een bulletin uitgegeven over dit onderwerp. Het biedt zoals eerder gezegd  de klanten in de V.S. aan om kwetsbare apparaten om te ruilen voor de MiniMed 670G. voor klanten buiten de V.S. geeft de firma aan dat die een brief zullen ontvangen met instructies die afhankelijk zijn van het land van herkomst. Men raadt de patiënten aan met hun zorgverleners dit probleem te bespreken en te bediscussiëren welke cybersecurity-maatregelen genomen kunnen worden om zich te beschermen. In landen waar geen nieuwer model pomp beschikbaar is raadt de firma aan om veiligheidsmaatregelen in acht te nemen die het in het persbulletin beschrijft.

Voorzorgen

Men raadt aan:

  • Houdt de insulinepomp en de daarmee verbonden apparatuur te allen tijde onder eigen controle.
  • Bewaar het serienummer van de pomp op een veilige wijze/plaats.
  • Let goed op meldingen, alarmen en waarschuwingen van de pomp.
  • Stop/onderbreek alle niet bedoelde bolussen van insuline met de pomp.
  • Houdt de bloedsuikerspiegel goed in de gaten handel dienovereenkomstig.
  • Verbindt de pomp niet apparaten en gebruik geen software die niet goedgekeurd zijn door Medtronic.
  • Ontkoppel elk apparaat met CareLink-software als het niet gebruikt wordt om data van de pomp te downloaden.
  • Roep medische hulp in als je symptomen van ernstige hypoglycaemie ondervindt of van ketoacidose. Of als je ontdekt dat de instellingen van de insulinepomp of de insuline afgifte onverwachts veranderd zijn.

Kwetsbaar

Elektronica heeft ons in de zorg veel revolutionaire veranderingen gebracht. Daar is de insulinepomp er één van, samen met het relatieve gemak van het bepalen van de bloedsuikerconcentratie in het bloed door de patiënt. Voornoemde kwetsbaarheden laten zien dat we continu ook alert moeten zijn op de gevaren die verbonden zijn met deze apparatuur.

W.J. Jongejan, 1 juli 2019