To regeringsmeddelelser peger på sårbarheder i enheder til hjerteproblemer

Det amerikanske Department of Homeland Security (DHS) og U.S. Food and Drug Administration (FDA) udsendte meddelelser om, at der blev fundet cybersikkerhedssårbarheder i nogle Medtronic-enheder. Hundredvis af Medtronic hjerteenheder er sårbare over for cybersikkerhedshændelser, ifølge to amerikanske føderale regeringsmeddelelser.

Sårbarheden påvirkede også patienters sengeskærme hjemme, der læser data fra enheder og programmeringscomputere på kontoret, der bruges af læger, sagde Stjerne Tribune .

Ana Mulero, Regulativt fokus :FDA udsendte en FDA sikkerhedsmeddelelse; DHS Industrial Control Systems Cyber ​​Emergency Response Team (ICS-CERT) udsendte en vejledning for at markere cybersikkerhedssårbarheder. Disse blev detekteret i Medtronics Conexus telemetriprotokol. "Den trådløse teknologi bruges til at muliggøre kommunikation mellem producenten af ​​medicinsk udstyrs implanterbare hjerteenheder, klinikprogrammører og hjemmemonitorer."

Implanterede defibrillatorer er til behandling af hjerteproblemer. De er placeret under huden. De giver elektriske stød, hvis der registreres et uregelmæssigt hjerteslag, bemærket TechSpot.

To sårbarhedstyper blev nævnt vedrørende (1) formel godkendelses- eller autorisationsbeskyttelse, og (2) datakryptering. Mulero sagde, "Ukorrekt adgang blev tildelt en kritisk (9,3) score, og datatransmission har en medium (6,5) sårbarhedsscore."

Ifølge Mulero, "Både FDA og ICS-CERT rapporterede, at en angriber eller uautoriseret person kunne udnytte de opdagede cybersikkerhedssårbarheder til at få adgang til et af de berørte produkter i nærheden, påvirke enhedens funktionalitet og/eller opsnappe følsomme patientdata i telemetrikommunikationen."

Den officielle hjemmeside for Department of Homeland Security blev offentliggjort torsdag Medical Advisory (ICSMA-19-080-01), Medtronic Conexus Radio Frequency Telemetri Protocol. "Resultatet af vellykket udnyttelse af disse sårbarheder kan omfatte evnen til at læse og skrive enhver gyldig hukommelsesplacering på den berørte implanterede enhed og derfor påvirke den tilsigtede funktion af enheden."

En liste over specifikke produkter og versioner af Medtronic-enheder, der bruger Conexus-telemetriprotokollen, der er berørt, kan findes i det medicinske rådgivende opslag torsdag, 21. marts (En protokol bruges til at forbinde skærme trådløst til en implanteret enhed, sagde TechSpot .)

Homeland beskrev sårbarheder i forskellige modeller af Medtronic implanterbare defibrillatorer, sagde Stjerne Tribune .

TechCrunch og TechSpot diskuterede nogle tekniske detaljer om, hvad der udløste advarslen. Disse enheder med trådløs eller radiobaseret teknologi udgør fordelen ved at give patienterne mulighed for at overvåge deres tilstand og deres læger til at justere indstillinger uden at skulle udføre en invasiv operation. Medtronics proprietære radiokommunikationsprotokol, kendt som Conexus var ikke krypteret, og der var ingen godkendelsesproces.

Angribere, med radiointercepterende hardware, og inden for et bestemt område, kunne ændre data på en påvirket defibrillator, ændring af implantatindstillingerne.

Hackere skal være tæt på brugerne - omkring 20 fod, bemærkede Rob Thubron i TechSpot .

Medtronic oplyste i sin sikkerhedsbulletin torsdag, at "Fuldstændig udnyttelse af disse sårbarheder kræver omfattende og specialiseret viden om medicinsk udstyr, trådløs telemetri og elektrofysiologi."

Det Stjerne Tribune artiklen indeholdt citater fra Dr. Robert Kowal, overlæge for Medtronics hjerterytme- og hjertesvigtsprodukter. Han sagde, at "en hacker skal være inden for 20 fod eller deromkring fra patienten, ville have behov for detaljeret viden om enhedens indre funktion, og har besiddelse af specialiseret teknologi til at fjerne hacket."

Hvad skal patienterne gøre, derefter? Medtronic anbefalede, at patienter og læger fortsætter med at bruge disse enheder som foreskrevet og tilsigtet. "Fordelene ved fjernovervågning opvejer den praktiske risiko for, at disse sårbarheder kan blive udnyttet."

Diskutere afhjælpning, Medtronic sagde i sin bulletin, at de var ved at "udvikle opdateringer for at afbøde disse sårbarheder" og vil informere patienter og læger, når de er tilgængelige under forudsætning af regulatoriske godkendelser. Den medicinske rådgivning, der vises på Department of Homeland Securitys hjemmeside, sagde, at "Medtronic har anvendt yderligere kontroller til at overvåge og reagere på forkert brug af Conexus-telemetriprotokollen af ​​de berørte implanterede hjerteenheder. Yderligere begrænsninger er ved at blive udviklet og vil blive implementeret gennem fremtidige opdateringer , forudsat myndighedsgodkendelse."

Thubron i TechSpot tilføjede, at virksomheden overvågede sit netværk "for alle, der forsøgte at udnytte fejlene." Han sagde, at "defib'erne vil lukke ned for trådløs transmission ved modtagelse af usædvanlige anmodninger. Virksomheden arbejder på at rette op på sårbarhederne, som skulle ankomme senere i år."

Medtronic, i mellemtiden, udtalte, at "Hidtil har hverken et cyberangreb eller patientskade er blevet observeret eller forbundet med disse sårbarheder."

I det større billede, "Producenter af medicinsk udstyr har styrket indsatsen for at afbøde produktsikkerhedssårbarheder i de seneste år efter en byge af advarsler fra sikkerhedsforskere, der har identificeret fejl i enheder som Medtronic implantatprogrammører, " sagde Reuters.

© 2019 Science X Network