Il Dipartimento per la sicurezza interna degli Stati Uniti (DHS) e la Food and Drug Administration (FDA) degli Stati Uniti hanno emesso comunicazioni secondo cui sono state rilevate vulnerabilità della sicurezza informatica in alcuni dispositivi Medtronic. Centinaia di dispositivi cardiaci Medtronic sono vulnerabili agli incidenti di sicurezza informatica, secondo due comunicazioni del governo federale degli Stati Uniti.

La vulnerabilità ha colpito anche i monitor da letto dei pazienti che leggono i dati dai dispositivi e dai computer di programmazione in ufficio utilizzati dai medici, disse Tribuna delle stelle .

Ana Mulero, Focus normativo :La FDA ha emesso una comunicazione sulla sicurezza della FDA; Il DHS Industrial Control Systems Cyber ​​Emergency Response Team (ICS-CERT) ha emesso un avviso per segnalare le vulnerabilità della sicurezza informatica. Questi sono stati rilevati nel protocollo di telemetria Conexus di Medtronic. "La tecnologia wireless viene utilizzata per consentire la comunicazione tra i dispositivi cardiaci impiantabili del produttore del dispositivo medico, programmatori clinici e monitor domestici."

I defibrillatori impiantati servono per il trattamento di problemi cardiaci. Sono posti sotto la pelle. Forniscono scariche elettriche se viene rilevato un battito cardiaco irregolare, notato TechSpot.

Sono stati menzionati due tipi di vulnerabilità riguardanti (1) l'autenticazione formale o le protezioni di autorizzazione, e (2) crittografia dei dati. Mulero ha detto, "Agli accessi impropri è stato assegnato un punteggio critico (9,3) e la trasmissione dei dati ha un punteggio di vulnerabilità medio (6,5)".

Secondo Mulero, "Sia FDA che ICS-CERT hanno riferito che un utente malintenzionato o un individuo non autorizzato potrebbe sfruttare le vulnerabilità della sicurezza informatica rilevate per accedere a uno dei prodotti interessati nelle vicinanze, influire sulla funzionalità del dispositivo e/o intercettare i dati sensibili del paziente all'interno della comunicazione di telemetria."

Il sito web ufficiale del Department of Homeland Security pubblicato giovedì Medical Advisory (ICSMA-19-080-01), Protocollo di telemetria a radiofrequenza Medtronic Conexus. "Il risultato di un corretto sfruttamento di queste vulnerabilità può includere la capacità di leggere e scrivere qualsiasi posizione di memoria valida sul dispositivo impiantato interessato e quindi avere un impatto sulla funzione prevista del dispositivo".

Un elenco di prodotti e versioni specifici dei dispositivi Medtronic che utilizzano il protocollo di telemetria Conexus interessati può essere trovato nel messaggio di avviso medico di giovedì, 21 marzo. (viene utilizzato un protocollo per collegare i monitor in modalità wireless a un dispositivo impiantato, disse TechSpot .)

Homeland ha descritto le vulnerabilità in diversi modelli di defibrillatori impiantabili Medtronic, disse Tribuna delle stelle .

TechCrunch e TechSpot discusso alcuni dettagli tecnici di ciò che ha scatenato l'avvertimento. Quei dispositivi dotati di tecnologia wireless o basata su radio presentano il vantaggio di consentire ai pazienti di monitorare le loro condizioni e ai loro medici di regolare le impostazioni senza dover eseguire un intervento chirurgico invasivo. protocollo di comunicazione radio proprietario di Medtronic, noto come Conexus non era crittografato e non vi era alcun processo di autenticazione.

attaccanti, con hardware di intercettazione radio, ed entro un certo intervallo, potrebbe modificare i dati su un defibrillatore interessato, modifica delle impostazioni dell'impianto.

Gli hacker dovrebbero essere vicini agli utenti, a circa 20 piedi, ha notato Rob Thubron in TechSpot .

Medtronic nel suo bollettino sulla sicurezza di giovedì ha informato che "Sfruttare appieno queste vulnerabilità richiede una conoscenza completa e specializzata dei dispositivi medici, telemetria wireless ed elettrofisiologia".

Il Tribuna delle stelle articolo riportava citazioni del Dr. Robert Kowal, direttore medico per i prodotti per il ritmo cardiaco e l'insufficienza cardiaca di Medtronic. Ha detto che "un hacker dovrebbe trovarsi a meno di 20 piedi dal paziente, avrebbe bisogno di una conoscenza dettagliata del funzionamento interno del dispositivo, e avere il possesso di una tecnologia specializzata per portare a termine l'hack."

Cosa dovrebbero fare i pazienti, poi? Medtronic ha raccomandato ai pazienti e ai medici di continuare a utilizzare questi dispositivi come prescritto e previsto. "I vantaggi del monitoraggio remoto superano il rischio pratico che queste vulnerabilità possano essere sfruttate".

Discutere di mitigazione, Medtronic ha affermato nel suo bollettino che sta "sviluppando aggiornamenti per mitigare queste vulnerabilità" e informerà pazienti e medici quando disponibili, previa approvazione delle normative. L'avviso medico che appare sul sito web del Department of Homeland Security afferma che "Medtronic ha applicato ulteriori controlli per il monitoraggio e la risposta all'uso improprio del protocollo di telemetria Conexus da parte dei dispositivi cardiaci impiantati interessati. Ulteriori mitigazioni sono in fase di sviluppo e verranno implementate attraverso futuri aggiornamenti , presupponendo l'approvazione normativa."

Thubron in TechSpot ha aggiunto che la società stava monitorando la sua rete "per chiunque cercasse di sfruttare i difetti". Ha detto che "i defibrillatori interromperanno la trasmissione wireless alla ricezione di richieste insolite. La società sta lavorando a una soluzione per le vulnerabilità, che dovrebbe arrivare entro la fine dell'anno".

Medtronic, nel frattempo , ha affermato che "Ad oggi, né un attacco informatico né un danno ai pazienti sono stati osservati o associati a queste vulnerabilità".

Nell'immagine più grande, "Negli ultimi anni i produttori di dispositivi medici hanno rafforzato gli sforzi per mitigare le vulnerabilità della sicurezza dei prodotti a seguito di una raffica di avvertimenti da parte dei ricercatori della sicurezza che hanno identificato bug in dispositivi come i programmatori di impianti Medtronic, ", ha detto Reuters.

© 2019 Scienza X Rete