W komunikacie o pompach insulinowych Health Canada wskazało, że ostrzeżenie dotyczy starszych modeli pomp firmy Medtronic, które trafiły do pacjentów w latach 2010–2015. Pompy działają normalnie, ale – jak ostrzegło ministerstwo – są podatne na przeprowadzany cyberatak. Pacjentom dla bezpieczeństwa polecono, by nie podawali numeru seryjnego urządzenia, nie korzystali z żadnego oprogramowania innego niż oryginalne, zaś pendrive używany do monitorowania danych o poziomie cukru we krwi odłączali po przesłaniu danych na komputer.

Zalecenia wydano, ponieważ istnieje ryzyko, że niepowołana osoba, która zna numer seryjny urządzenia, może podłączyć się zdalnie i zmienić parametry pracy pompy, na przykład zwiększyć podawanie insuliny. Health Canada zastrzegło, że nie jest znany żaden przypadek takiego cyberataku, ale zwróciło też uwagę, że Medtronic nie może zaktualizować oprogramowania stosowanego w typach pomp podatnych na cyberatak.

Komunikat w sprawie pomp insulinowych pojawił się wkrótce wejściu w życie federalnych przepisów dotyczących cyberbezpieczeństwa sprzętu medycznego. Alert na temat zagrożenia opublikowano równolegle na rządowej stronie Kanadyjskiego Centrum Cyberbezpieczeństwa. Użytkowników ostrzegła również amerykańska Agencję Żywności i Leków (FDA).

W nowych kanadyjskich przepisach o sprzęcie medycznym zwrócono uwagę, że coraz częściej nie jest on już połączony tylko z zapewniającą jego funkcjonowanie instalacją, ale działa w sieci, co jest wygodą dla pacjentów i lekarzy, ale może oznaczać również dostęp do sprzętu dla osób nieuprawnionych. Może mieć to "negatywne skutki dla bezpieczeństwa, pociągając za sobą błędy diagnostyczne lub terapeutyczne, lub też wpływając na proces leczenia" - napisano we wstępie do rozporządzenia.

Wprowadzone przepisy mają zastosowanie do sprzętu medycznego z oprogramowaniem oraz do samego oprogramowania. "Health Canada postrzega cyberbezpieczeństwo jako część procesu projektowania i czasu użytkowania sprzętu medycznego, który może wpłynąć na jego bezpieczeństwo i skuteczność. Producenci muszą brać to pod uwagę już na wstępnym etapie przygotowania sprzętu" - stanowią nowe przepisy. Podkreślono w nich też, że "producenci muszą włączyć cyberbezpieczeństwo w procedury zarządzania ryzykiem dla każdego typu wyposażenia, które bądź samo jest oprogramowaniem, bądź oprogramowanie zawiera".

W sprawie pomp insulinowych Medtronic zwiększoną ostrożność zalecono ok. 2,6 tys. pacjentów w Kanadzie i ok. 4 tys. w USA. Jak podała agencja Canadian Press, Medtronic przekazał, że o problemie z cyberbezpieczeństwem został poinformowany przez zewnętrzną firmę analityczną.

O ryzyku związanym z niewłaściwym poziomem bezpieczeństwa cyfrowego sprzętu medycznego specjaliści ostrzegają od lat. Raport firmy Deloitte opublikowany jeszcze w 2013 roku zaczyna się od przypomnienia odcinka serialu "Homeland" z grudnia 2012 roku: wiceprezydent USA zostaje w nim zamordowany przez organizację terrorystyczną, która zhakowała jego rozrusznik serca. Deloitte podkreśla, że taki scenariusz może wydawać się przesadzony, ale jednocześnie zwraca uwagę na setki tysięcy urządzeń w samych tylko USA, które funkcjonują np. z wykorzystaniem łączności bezprzewodowej, jak właśnie pompy insulinowe czy rozruszniki serca.

Przypomniano przypadki z czasów jeszcze sprzed techologii wi-fi, kiedy np. w jednym z amerykańskich szpitali urządzenia monitorujące pracę serca zostały zakłócone polem elektromagnetycznym, wytworzonym gdy znajdująca się w pobliżu stacja telewizyjna przełączyła się na nową częstotliwość.

Do głównych zagrożeń raport zaliczył hakerów, którzy chcą doprowadzić do zakłóceń w działaniu urządzeń, kradzież danych (w tym tożsamości), działalność grup przestępczych, które mogą chcieć wpływać na zdrowie polityków i złośliwe oprogramowanie, które choć nie jest wymierzone bezpośrednio w urządzenia medyczne, może mieć na nie wpływ.