Умные устройства для контроля здоровья: конец биологического суверенитета?

Смарт-часы и фитнес-трекеры: медицинское устройство, которое вы купили себе

Устройства Apple Watch, Samsung Galaxy Watch, Google Fitbit и Garmin в основном классифицируются как оздоровительные устройства, а не медицинские, что означает, что они сталкиваются с нерегулярным регуляторным контролем. Тем не менее, они собирают необычайный набор физиологических данных.

К ним относятся:

• данные фотоплетизмографии (PPG) для измерения частоты сердечных сокращений;
• данные акселерометра для активности и частоты дыхания;
• кислород в крови (SpO2) как во время сна, так и во время активности;
• анализ стадий сна (REM, глубокий и лёгкий сон, а также обнаружение храпа);
• отслеживание уровня глюкозы и менструального цикла по данным пользователя;
• а на более новых моделях — волновые формы электрокардиограммы (ЭКГ) и температура кожи.

Кому принадлежат эти данные? Согласно условиям использования, Apple заявляет, что может делиться (зашифрованными) медицинскими данными с «третьими лицами» для «исследовательских целей». Garmin оставляет за собой право продавать данные «коммерческим партнёрам». Samsung делится данными с «аффилиатами» и «выбранными партнёрами» для маркетинга.

Обещания анонимизации (даже если технически соответствуют закону) не являются жёсткой гарантией против повторной идентификации, особенно когда речь идёт о множестве данных и распознавании закономерностей.

Многие потребители соглашаются с этими условиями, не читая их и не корректируя соответствующие настройки конфиденциальности — и в любом случае такие условия далеко не безупречны. Сторонние наборы для разработки программного обеспечения (SDK) часто встроены в приложения, то есть ваши данные отправляются нескольким сторонам без вашего ведома или значимого согласия.

Расследование 2022 года, проведённое Организацией по обзору приложений для ухода и здоровья (ORCHA), показало, что из 25 приложений для повышения фертильности «84% позволили обмен личными и чувствительными медицинскими данными третьим лицам». 

(В 2023 году федеральный суд США постановил, что Premom Ovulation Tracker неправомерно передавал чувствительные медицинские данные.) Исследование Privacy International 2019 года выявило аналогичную торговлю личной информацией — на этот раз касающийся психического здоровья.

В отчете, подготовленном Организацией по надзору за приложениями в сфере здравоохранения и ухода (ORCHA), проанализирована политика конфиденциальности 25 приложений для отслеживания менструального цикла. Выяснилось, что 84% приложений разрешают передавать личные и конфиденциальные медицинские данные третьим лицам.

Из них 68 % поделились данными в маркетинговых целях, 40 % — для исследований, а 40 % — для улучшения сервисов разработчиков самого приложения.

Из этих 25 приложений только одно прямо запрашивало у пользователей разрешение на передачу их данных, в то время как остальные скрывали эту информацию в пользовательском соглашении, которое почти никто не читает внимательно.

Тим Эндрюс, главный операционный директор ORCHA, сказал: «Лучше всего, если в приложении будет страница с согласием на обработку персональных данных, на которую можно легко перейти из главного меню». 

Непрерывные мониторы глюкозы (CGM)

Устройства, такие как Dexcom, Freestyle Libre и Medtronic Guardian, постоянно измеряют уровень глюкозы в крови и могут передавать данные телефонам, врачам и — всё чаще — страховым компаниям.

Они собирают показатели глюкозы каждые одну-пять минут, что составляет ~288 показателей в день. С помощью интерпретации или ввода пользователя они также могут отслеживать время приёма пищи и оценки углеводов, дозы и время инсулина, влияние физической нагрузки на глюкозу и ночные модели глюкозы.

Кто имеет доступ к этим данным? Ваш врач имеет доступ с вашего «согласия» — хотя это согласие часто скрыто в документах, которые вы подписали при приёме.

Страховая компания может иметь доступ и использовать его для корректировки страховых взносов. Разработчики приложений имеют доступ и продают данные третьим лицам. Исследователи имеют доступ, часто без повторного согласия пациентов, чьи данные они используют. Люди, использующие эти устройства, часто не знают, кто следит за сахаром в крови, кроме своего врача.

Кардиостимуляторы и имплантируемые кардиовертер-дефибрилляторы (ICD)

Кардиостимуляторы больше не являются простыми электрическими импульсами. Современные устройства — это компьютерные импланты внутри вашей груди. Они собирают данные о сердечном ритме круглосуточно, 7 дней в неделю. Они фиксируют каждое событие аритмии с точными временными метками.

Они отслеживают уровень активности с помощью встроенных акселерометров. Они измеряют торакальный импеданс для оценки состояния жидкости и прогнозирования сердечной недостаточности. Они отслеживают состояние батареи устройства и целостность свинца.

Удалённый мониторинг означает, что большинство кардиостимуляторов теперь используют домашние мониторы, которые автоматически передают данные кардиологу через сотовую связь или WiFi. Те же данные доступны производителям устройств, таким как Medtronic, Abbott и Boston Scientific, а также — по определённым интерпретациям законов о владении данными — страховщикам.

Вопросы конфиденциальности — это одно. Но есть ещё один глубокий повод для беспокойства.

Имплантируемые кардиологические устройства — это не те герметичные, безопасные системы, как обычно предполагается. В нашу всё более сетевую эпоху они уязвимы к атакам. Уже в 2008 году Халперин и др.писали:

«Наше расследование показывает, что имплантируемый кардиовертер-дефибриллятор (1) потенциально уязвим к злонамеренным атакам, нарушающим конфиденциальность информации пациентов и медицинской телеметрии, и (2) может подвергаться злонамеренному изменению целостности информации или состояния, включая данные пациента и настройки терапии для определения времени и способа применения шоков.»

Четыре года спустя эксперт по безопасности Барнаби Джек показал, что кардиостимуляторы и ICD всё ещё можно легко взломать.

А в 2017 году BMJ сообщила:

«Три четверти миллиона пациентов по всему миру используют кардиостимуляторы с киберуязвимостями, которые потенциально могут быть удалённо саботированы хакерами с радиочастотным оборудованием, предупреждает Управление по контролю за продуктами и лекарствами США.»

Патчи выпускались, но для них требовался визит в клинику и обновления не были автоматически.

Таким образом, кардиостимулятор можно использовать как оружие. Те же функции удалённого программирования, позволяющие кардиологам корректировать ритм без вмешательства, могут использоваться злоумышленниками.

Самое тревожное то, что любой, кто может купить недорогое программно-определяемое радио и скачать публичный эксплойт-код, потенциально может иметь такую возможность.

Инсулиновые помпы

Современные инсулиновые насосы — такие как Medtronic 780G, Tandem Mobi и Omnipod 5 — представляют собой гибридные системы замкнутого цикла, которые беспроводно взаимодействуют с непрерывными мониторами глюкозы (CGM) для автоматической регулировки подачи инсулина. Они собирают данные о каждой дозе инсулина, включая время, количество и тип. Они отслеживают значения глюкозы в реальном времени, объявления о приёме пищи (на основе данных, введённых пользователями) и режимы упражнений.

То, что может пойти не так, пугает. В контролируемых условиях было продемонстрировано, что инсулиновые помпы можно использовать и управлять ними беспроводным способом, используя относительно дешёвое оборудование.

Векторы атак могут включать дистанционную передозировку инсулина, дистанционное приостановление инсулина, манипуляцию показаниями CGM для неправильной дозировки и захват беспроводной связи между насосом и CGM.

Пугающая вероятность заключается в том, что такие атаки могут быть совершены без оставления судебных доказательств. Журналы насоса будут показывать «болюс, инициированный пользователем», даже если пользователь никогда не прикасался к устройству. Убийство может выглядеть как медицинская ошибка, самоубийство или естественные причины.

Имплантируемые петлевые регистраторы (ILR)

Эти небольшие устройства, размером примерно с USB-накопитель, имплантируются под кожу грудной клетки для непрерывного контроля сердечного ритма до трёх лет. Их часто применяют для необъяснимых обмороков, сердцебиений или обнаружения фибрилляции предсердий.

Кто имеет доступ к ним? Кардиологи, производители устройств и — в некоторых системах здравоохранения — автоматизированные алгоритмы ИИ, которые отмечают «аномалии» без какого-либо человеческого обзора.

В автоматизированных системах алгоритм решает, вызывает ли подозрительный сердечный ритм, и стоит ли уведомлять врача. По сути, алгоритм может решать, отмечать ли ваше дело для проверки страховой. Человек вряд ли увидит ваши данные, если алгоритм не решит, что это стоит его времени.

Новые технологии продвигают биосенсорирование ещё дальше. Камеры, используемые в имплантах сетчатки (бионические глаза), потенциально могут стать ещё одним шагом к интеграции человека и машины.

Умные контактные линзы, разрабатываемые такими компаниями, как Mojo Vision и Google (через дочернюю компанию Verily), могут содержать миниатюрные дисплеи, сенсоры и беспроводные передатчики.

Это поднимает тревожную, но уже не неправдоподобную возможность постоянного визуального записи всего, что вы видите.

Кроме того, прототипы исследовали отслеживание внутриглазного давления с помощью умных контактных линз и обнаружение биомаркеров, таких как уровень глюкозы в слезах (Elsherif et al., 2022). Всё это указывает на то, что траектория становится более непрерывной, более интимной.

Кохлеарные импланты и слуховая манипуляция

Кохлеарные импланты, которые восстанавливают слух глухим, по сути являются компьютерами, которые преобразуют звук в электрические сигналы, передаваемые непосредственно слуховому нерву. Как компьютеры, эти устройства потенциально могут быть взломаны.

Злоумышленник может посылать сигналы, которые пациент воспринимает как звуки, которых нет: голоса, командующие им, предупреждения, которые никто другой не услышит, музыку, которая не прекращается. Грань между терапией и воздействием также стирается.

Умные таблетки и проглатываемые датчики

Proteus Digital Health (ныне несуществующая, но её технология была приобретена и переименована) создала проглатываемые датчики, которые после проглатывания связываются с носимым пластырем для подтверждения соблюдения лекарств.

Датчик активируется желудочной жидкостью и передаёт уникальный сигнал, который идентифицирует пациента, лекарство и время приёма. FDA одобрило эту технологию в 2017 году.

Таким образом, ваш врач может с уверенностью узнать, принимали ли вы таблетку. Ваша страховая компания тоже может знать об этом. И если вам назначают лекарства как условие условно-досрочного освобождения, испытательного срока или трудоустройства, власти тоже могут об этом знать.

Сторонники этой технологии с большим энтузиазмом говорят о «соответствии», которое она обеспечит.

Литвинова и др. (2022) сообщают:

«Согласно глобальной стратегии ВОЗ, цифровые технологии связаны с будущим мирового здравоохранения. Цифровизация может способствовать укреплению здоровья, поддержанию глобальной безопасности и предоставлять услуги самым уязвимым группам населения.

Цифровые таблетки занимают важное место среди цифровых медицинских решений. Цифровые таблетки содержат интегрированные датчики, позволяющие отслеживать ход фармакотерапии через взаимодействие с программным обеспечением, например, планшетов и смартфонов. Такой мониторинг имеет большое значение, поскольку низкий уровень соблюдения пациентов (отказ от медикаментов) является серьёзной проблемой для всех областей медицины.«

Альберт Бурла, генеральный директор Pfizer, также является сторонником «умной таблетки» с точки зрения «соответствия». Выступая на Всемирном экономическом форуме в 2018 году (см. видео ниже), он знаменитой фразой сказал:

«Представь, как это применит… Соблюдение. Страховые компании должны знать, что лекарства, которые должны принимать пациенты, действительно принимают.»

Нейроимпланты: Последний рубеж

Интерфейсы мозг–компьютер, или BCI (вспомните Neuralink Илона Маска), представляют собой самую прямую форму интеграции человека и машины, разработанную на сегодняшний день. Вместо того чтобы полагаться на внешние сенсоры, эти системы записывают электрическую активность из самого мозга и преобразуют её в цифровой выход.

В 2021 году Уиллетт и др.показал, что сигналы моторной коры можно декодировать для восстановления задуманного почерка. Это позволяло парализованному участнику общаться, «писать» своими мыслями — с высокой скоростью и точностью.

Такие системы по-прежнему очень специфичны и ограничены по охватам: в данном случае они основывались на задуманных движениях руки, а не на чтении мыслей в более общем смысле. Но что важно, это показывает, что перевод нейронной активности в внешне читаемую информацию больше не является научной фантастикой.

Возможность человеку с тяжелой инвалидностью снова писать — это, конечно, поразительное и достойное достижение. Как и во всех медицинских достижениях, ключевой вопрос: насколько далеко зайдёт технология и как её можно уберечь от тех, кто готов злоупотреблять ею? 

Может ли она расшириться настолько далеко, что расшифровать задуманную речь — включая мысли, которые вы никогда не произносите вслух? Будет ли твой внутренний монолог, последняя граница, последнее убежище уединения, наконец разорван?

От «взломаемого человека» к самосуверенитету

На фоне возможности мрачного будущего, управляемого алгоритмами, технократией и неустанным биомедицинским наблюдением… Нарастает контрдвижение.

Чаффер и коллеги (2025), например, продвигают концепцию «Самосуверенного пациента»: человека, который контролирует собственные медицинские данные и путь к уходу, поддерживаемый блокчейном, Интернетом вещей и искусственным интеллектом. Вопреки тому, чтобы быть пессимистичными относительно того, куда движется наше всё более технологическое общество, они пишут:

«В Здравоохранении 4.0 мы наблюдаем фундаментальный переход от систем, ориентированных на врача, к моделям, ориентированным на пациента, где индивиды берут на себя роль Самоуверенного Пациента.»

Например: доказательства с нулевой информацией — это криптографические методы, которые позволяют врачу подтвердить ваше здоровье, не видя вашей конкретной вирусной нагрузки или генетических маркеров. Математика подтверждает утверждение, не раскрывая данных. Ваша приватность сохраняется. Проверка всё ещё действительна.

Поэтому мы предлагаем Health-zkIDM — децентрализованную систему аутентификации личности, основанную на доказательствах с нулевым разглашением и технологии блокчейн. Она позволяет пациентам прозрачно и безопасно идентифицировать себя и подтверждать свою личность в различных сферах здравоохранения, а также способствует взаимодействию между поставщиками услуг по идентификации личности и пациентами.

Пользователи Health-zkIDM идентифицируются по одному зарегистрированному идентификатору. На стороне клиента используется технология доказательств с нулевым разглашением, которая предоставляет пользователю информацию, подтверждающую его личность, и автоматически проверяет личность пользователя после регистрации. Мы внедрили в Fabric цепные коды, в том числе функции загрузки идентификационных данных, идентификации и верификации. Опыт показывает, что производительность системы Health-zkIDM в Caliper может достигать более 400 транзакций в секунду.

Аналогично, Soulbound Tokens (SBT) — это непередаваемые цифровые токены, которые могут представлять проверяемые учетные данные, медицинские лицензии или записи согласия.

Их нельзя продать или передать. Они навсегда связаны с вашей цифровой идентификацией, подтверждая ваш статус, не раскрывая ваши данные.

В суверенном будущем активного сопротивления данные авторы предлагают самим управлять своей биологией и контролировать данные о здоровье. 

Само собой разумеется, что медицинский прогресс может принести пользу человечеству во многих аспектах. Но, как и любой прогресс, он уязвим к злоупотреблениям — будь то встроенные механизмы наблюдения или закулисные нарушения безопасности.

Поэтому нам нужно быть бдительными и разборчивыми — а не наивными. Технология нейтральна; её управление — нет.

Осознание реальности соблазнительно замаскированной машины слежки — первый шаг к возвращению контроля. Клетка невидима только если ты отказываешься смотреть. 

• Гидрогелевые интерфейсы для слияния людей и машин
• «Взломать человека, как машину» — цель DARPA BRAIN от ВЭФ
• 6G и Интернет био-нанотехнологий (IoBNT) — наступление на физическую неприкосновенность

Источник: Всемирный совет по здравоохранению

6G и Интернет био-нанотехнологий (IoBNT) - наступление на физическую неприкосновенность

В то время как широкие массы все еще обсуждают преимущества и недостатки 5G, лаборатории и стратегические отделы […]