O Departamento de Segurança Interna dos EUA (DHS) e a Food and Drug Administration (FDA) emitiram comunicações informando que vulnerabilidades de segurança cibernética foram encontradas em alguns dispositivos da Medtronic. Centenas de dispositivos cardíacos da Medtronic são vulneráveis ​​a incidentes de segurança cibernética, de acordo com dois avisos do governo federal dos EUA.

A vulnerabilidade também afetou os monitores de cabeceira da casa dos pacientes que lêem dados dos dispositivos e computadores de programação em consultório usados ​​por médicos, disse Star Tribune .

Ana Mulero, Foco Regulatório :O FDA emitiu uma comunicação de segurança do FDA; A Equipe de Resposta a Emergências Cibernéticas do DHS Industrial Control Systems (ICS-CERT) emitiu um comunicado para sinalizar vulnerabilidades de segurança cibernética. Estes foram detectados no protocolo de telemetria Conexus da Medtronic. "A tecnologia sem fio é usada para permitir a comunicação entre os dispositivos cardíacos implantáveis ​​do fabricante do dispositivo médico, programadores de clínicas e monitores domésticos. "

Desfibriladores implantados são para tratar problemas cardíacos. Eles são colocados sob a pele. Eles fornecem choques elétricos se um batimento cardíaco irregular for detectado, observado TechSpot.

Dois tipos de vulnerabilidade foram mencionados em relação a (1) autenticação formal ou proteções de autorização, e (2) criptografia de dados. Mulero disse, "O acesso impróprio foi atribuído a uma pontuação crítica (9,3) e a transmissão de dados tem uma pontuação de vulnerabilidade média (6,5)."

De acordo com Mulero, "Tanto a FDA quanto a ICS-CERT relataram que um invasor ou indivíduo não autorizado pode explorar as vulnerabilidades de segurança cibernética detectadas para acessar um dos produtos afetados nas proximidades, impactar a funcionalidade do dispositivo e / ou interceptar dados confidenciais do paciente na comunicação de telemetria. "

O site oficial do Departamento de Segurança Interna publicado na quinta-feira, Consultoria Médica (ICSMA-19-080-01), Protocolo de telemetria de radiofrequência Conexus da Medtronic. "O resultado da exploração bem-sucedida dessas vulnerabilidades pode incluir a capacidade de ler e gravar qualquer local de memória válido no dispositivo implantado afetado e, portanto, afetar a função pretendida do dispositivo."

Uma lista de produtos específicos e versões de dispositivos da Medtronic que usam o protocolo de telemetria Conexus que são afetados pode ser encontrada na postagem de aconselhamento médico desta quinta-feira, 21 de março. (Um protocolo é usado para conectar monitores sem fio a um dispositivo implantado, disse TechSpot .)

Homeland descreveu vulnerabilidades em diferentes modelos de desfibriladores implantáveis ​​da Medtronic, disse Star Tribune .

TechCrunch e TechSpot discutiu alguns detalhes técnicos do que desencadeou o aviso. Esses dispositivos com tecnologia sem fio ou baseada em rádio apresentam o benefício de permitir que os pacientes monitorem suas condições e seus médicos ajustem as configurações sem a necessidade de realizar uma cirurgia invasiva. Protocolo de comunicação de rádio proprietário da Medtronic, conhecido como Conexus não era criptografado e não havia processo de autenticação.

Atacantes, com hardware de interceptação de rádio, e dentro de um certo intervalo, poderia modificar os dados em um desfibrilador afetado, alterar as configurações do implante.

Os hackers precisariam estar perto dos usuários - cerca de 6 metros, observou Rob Thubron em TechSpot .

A Medtronic em seu boletim de segurança na quinta-feira informou que "Explorar totalmente essas vulnerabilidades requer conhecimento abrangente e especializado de dispositivos médicos, telemetria sem fio e eletrofisiologia. "

o Star Tribune artigo trazia citações do Dr. Robert Kowal, diretor médico para os produtos de ritmo cardíaco e insuficiência cardíaca da Medtronic. Ele disse que "um hacker teria que estar a cerca de 6 metros do paciente, precisaria de conhecimento detalhado do funcionamento interno do dispositivo, e possuir tecnologia especializada para realizar o hack. "

O que os pacientes devem fazer, então? A Medtronic recomendou que os pacientes e médicos continuem a usar esses dispositivos conforme prescrito e planejado. "Os benefícios do monitoramento remoto superam o risco prático de que essas vulnerabilidades possam ser exploradas."

Discutindo mitigação, A Medtronic disse em seu boletim que estava "desenvolvendo atualizações para mitigar essas vulnerabilidades" e informará os pacientes e médicos quando disponíveis, sujeitos a aprovações regulatórias. O aviso médico que aparece no site do Departamento de Segurança Interna disse que "a Medtronic aplicou controles adicionais para monitorar e responder ao uso impróprio do protocolo de telemetria Conexus pelos dispositivos cardíacos implantados afetados. Mitigações adicionais estão sendo desenvolvidas e serão implantadas por meio de atualizações futuras , assumindo a aprovação regulamentar. "

Thubron em TechSpot acrescentou que a empresa estava monitorando sua rede "para tentar explorar as falhas". Ele disse que "os desfibs desligarão a transmissão sem fio ao receber qualquer solicitação incomum. A empresa está trabalhando em uma correção para as vulnerabilidades, que deve chegar ainda este ano. "

Medtronic, Enquanto isso , afirmou que "Até o momento, nem um ataque cibernético nem danos ao paciente foram observados ou associados a essas vulnerabilidades. "

No quadro geral, "Os fabricantes de dispositivos médicos têm reforçado os esforços para mitigar as vulnerabilidades de segurança do produto nos últimos anos, após uma enxurrada de avisos de pesquisadores de segurança que identificaram bugs em dispositivos como os programadores de implantes da Medtronic, "disse a Reuters.

© 2019 Science X Network