Los EE. UU.. Administración de Alimentos y Medicamentos (FDA) está informando a los pacientes, Proveedores de atención médica, y fabricantes sobre la familia de vulnerabilidades de ciberseguridad de Sweyntooth, que puede introducir riesgos para ciertos dispositivos médicos. La FDA no tiene conocimiento de los eventos adversos confirmados relacionados con estas vulnerabilidades. El software para explotar estas vulnerabilidades en ciertas situaciones ya está disponible públicamente.
Los investigadores de seguridad han identificado 12 vulnerabilidades, Llamado "Sweytooth,"Asociado con una tecnología de comunicación inalámbrica conocida como Bluetooth Low Energy (BLE). BLE permite que dos dispositivos "emparejen" e intercambien información para realizar sus funciones previstas mientras preservan la duración de la batería.
Los posibles impactos de las vulnerabilidades de Sweytooth se dividen en tres categorías. Un usuario no autorizado puede explotar de forma inalámbrica estas vulnerabilidades a:
·Chocar el dispositivo. El dispositivo puede dejar de comunicarse o dejar de funcionar.
·Punto muerto el dispositivo. El dispositivo puede congelarse y dejar de funcionar correctamente.
· Bustar la seguridad Para acceder a las funciones del dispositivo normalmente disponibles solo para un usuario autorizado.
La FDA está al tanto de varios sistemas en un chip (SoC) Fabricantes afectados por estas vulnerabilidades:
·Instrumentos de Texas
·NXP
·Ciprés
·Diálogo semiconductores
·Pastilla
·Stmicroelectronics
·Semiconductor de telink
Para obtener más información sobre las vulnerabilidades de seguridad cibernética de Sweyntooth, ver:
·ICS-Alert-20-063-01 Sweytooth Vulnerabilidades – Aviso de seguridad de infraestructura del Departamento de Seguridad Nacional de seguridad, Marzo 3, 2020
Los fabricantes de dispositivos médicos ya están evaluando qué dispositivos se ven afectados por SWEYNTOOTH, Evaluación del riesgo, y desarrollar acciones de remediación.
Recomendaciones para los fabricantes
·Si su dispositivo o algún dispositivo que se comunique con su dispositivo utiliza la tecnología BLE, Evaluar cómo se ve afectado por estas vulnerabilidades.
·Realizar una evaluación de riesgos, Como se describe en la guía del postal de seguridad cibernética de la FDA, evaluar el impacto de estas vulnerabilidades a los dispositivos afectados y desarrollar planes de mitigación de riesgos.
·Las mitigaciones deben incluir controles de compensación mientras desarrolla parches de software.
·Trabajar con proveedores de atención médica, instalaciones, y pacientes para determinar qué dispositivos médicos se ven afectados y tomar medidas para garantizar que los riesgos se reduzcan a niveles aceptables.
·Donde sea posible, Monitorear dispositivos médicos para cualquier signo de comportamiento inusual. Comuníquese con sus clientes y la comunidad de usuarios con respecto a su evaluación y recomendaciones para estrategias de mitigación de riesgos y cualquier control de compensación, para que los clientes puedan tomar decisiones informadas sobre el uso del dispositivo. Comparta las comunicaciones de sus clientes con una organización de análisis de intercambio de información (IO).
Nota sobre la revisión previa al mercado: En general, Los controles y parches compensatorios realizados para abordar las vulnerabilidades de Sweytooth no es probable que afecten significativamente la seguridad o la efectividad del dispositivo y, por lo tanto, no necesitarían la revisión previa al mercado de la FDA antes de la implementación. Si los cambios en el dispositivo necesarios para abordar las vulnerabilidades podrían afectar significativamente la seguridad o la efectividad del dispositivo, sin embargo, Se requiere una revisión previa al mercado.
Para obtener información adicional sobre la presentación previa al mercado y las expectativas de informes de postal, Consulte las guías de ciberseguridad sobre la página de ciberseguridad de la FDA.
Recomendaciones para proveedores de atención médica y personal de las instalaciones
·Trabajar con fabricantes de dispositivos para determinar qué dispositivos médicos en sus instalaciones o en uso por parte de sus pacientes podrían verse afectados por estas vulnerabilidades y desarrollar planes de mitigación de riesgos.
·Asesorar a los pacientes que usan dispositivos médicos afectados con pasos que pueden tomar para reducir el riesgo.
·Recuerde a los pacientes que usan dispositivos médicos que buscan ayuda médica de inmediato si creen que la operación o la función de su dispositivo médico cambió inesperadamente.
·Donde sea posible, Monitorear dispositivos médicos para cualquier signo de comportamiento inusual.
Recomendaciones para pacientes y cuidadores
·Hable con su proveedor de atención médica para determinar si su dispositivo médico puede verse afectado o si debe tomar alguna medida. Los fabricantes de dispositivos compartirán más información a medida que esté disponible.
·Busque ayuda médica de inmediato si cree que su dispositivo médico no funciona como se esperaba.
Acciones de la FDA
La FDA está trabajando en estrecha colaboración con otras agencias federales., fabricantes, y investigadores de ciberseguridad para identificar, comunicar, y prevenir eventos adversos relacionados con las vulnerabilidades de Sweytooth.
La FDA continuará evaluando nueva información sobre las vulnerabilidades de Sweytooth y mantendrá informado al público si hay información nueva significativa..
Informe de problemas con su dispositivo
Si cree que tuvo un problema con su dispositivo o un dispositivo que su paciente usa, La FDA lo alienta a informar el problema a través del formulario de informes voluntarios de Medwatch.
El personal de atención médica empleado por instalaciones que están sujetas a los requisitos de informes de la instalación de usuario de la FDA deben seguir los procedimientos de informes establecidos por sus instalaciones.
Volver a publicar de: FDA
Chatea ahora