Gli Stati Uniti. Food and Drug Administration (FDA) sta informando i pazienti, fornitori di assistenza sanitaria, e produttori sulla famiglia Sweyntooth di vulnerabilità della sicurezza informatica, che può introdurre rischi per alcuni dispositivi medici. La FDA non è a conoscenza di eventi avversi confermati relativi a queste vulnerabilità. Il software per sfruttare queste vulnerabilità in determinate situazioni è già pubblicamente disponibile.
I ricercatori della sicurezza hanno identificato 12 vulnerabilità, Chiamato "Sweyntooth,"Associata a una tecnologia di comunicazione wireless nota come Bluetooth a bassa energia (BLE). Ble consente a due dispositivi di "accoppiarsi" e scambiare informazioni per svolgere le funzioni previste preservando la durata della batteria.
I potenziali impatti delle vulnerabilità Sweyntooth rientrano in tre categorie. Un utente non autorizzato può sfruttare in modalità wireless queste vulnerabilità:
·Incidente il dispositivo. Il dispositivo può smettere di comunicare o smettere di funzionare.
· Deadlock il dispositivo. Il dispositivo può congelare e smettere di funzionare correttamente.
· Bypass Security Per accedere alle funzioni del dispositivo normalmente disponibili solo per un utente autorizzato.
La FDA è attualmente a conoscenza di diversi sistemi su un chip (SoC) produttori che sono interessati da queste vulnerabilità:
·Texas Instruments
·NXP
·Cipresso
·Semiconduttori dialoghi
·Microchip
·Stmicroelectronics
·Telink Semiconductor
Per ulteriori informazioni sulle vulnerabilità della sicurezza informatica di Sweyntooth, Vedere:
·ICS-Alert-20-063-01 Vulnerabilità SWEYNTOOTH – Dipartimento di sicurezza nazionale Cybersecurity Infrastructure Security Advisory, Marzo 3, 2020
I produttori di dispositivi medici stanno già valutando quali dispositivi sono interessati da Sweyntooth, Valutazione del rischio, e sviluppare azioni di risanamento.
Raccomandazioni per i produttori
·Se il tuo dispositivo o qualsiasi dispositivo che comunica con il tuo dispositivo utilizza la tecnologia BLE, Valuta come è influenzato da queste vulnerabilità.
·Condurre una valutazione del rischio, Come descritto nella guida post -mercato della sicurezza informatica della FDA, Valutare l'impatto di queste vulnerabilità ai dispositivi interessati e sviluppare piani di mitigazione del rischio.
·Le mitigazioni dovrebbero includere controlli compensativi mentre si sviluppano patch software.
·Lavorare con i fornitori di assistenza sanitaria, strutture, e i pazienti per determinare quali dispositivi medici sono interessati e intraprendere azioni per garantire che i rischi siano ridotti a livelli accettabili.
·Ove possibile, Monitorare i dispositivi medici per eventuali segni di comportamento insolito. Comunicare con i tuoi clienti e la comunità degli utenti per quanto riguarda la valutazione e le raccomandazioni per le strategie di mitigazione del rischio e eventuali controlli compensativi, in modo che i clienti possano prendere decisioni informate sull'uso del dispositivo. Condividi le comunicazioni dei tuoi clienti con un'organizzazione di analisi della condivisione delle informazioni (Io).
Nota sulla revisione del premaket: Generalmente, I controlli e le patch compensativi fatti per affrontare le vulnerabilità di Sweyntooth non influiscono significativamente sulla sicurezza o sull'efficacia del dispositivo e quindi probabilmente non avrebbero bisogno di una revisione del premaket della FDA prima dell'implementazione. Se le modifiche al dispositivo necessarie per affrontare le vulnerabilità potrebbero influire significativamente sulla sicurezza o l'efficacia del dispositivo, Tuttavia, È richiesta la revisione del premaket.
Per ulteriori informazioni sulle aspettative di invio pre -market e reporting post -market, Vedere le linee guida per la sicurezza informatica sulla pagina della sicurezza informatica della FDA.
Raccomandazioni per gli operatori sanitari e il personale delle strutture
·Collaborare con i produttori di dispositivi per determinare quali dispositivi medici nelle strutture o in uso dai pazienti potrebbero essere influenzati da queste vulnerabilità e sviluppare piani di mitigazione del rischio.
·Consiglia ai pazienti che utilizzano dispositivi medici interessati con passi che possono adottare per ridurre il rischio.
·Ricorda ai pazienti che usano i dispositivi medici per chiedere assistenza medica immediatamente se pensano che il funzionamento o la funzione del proprio dispositivo medico sia cambiato inaspettatamente.
·Ove possibile, Monitorare i dispositivi medici per eventuali segni di comportamento insolito.
Raccomandazioni per pazienti e caregiver
·Parla con il proprio medico per determinare se il tuo dispositivo medico potrebbe essere interessato o se si dovrebbe intraprendere azioni. I produttori di dispositivi condivideranno ulteriori informazioni man mano che diventa disponibile.
·Cerca subito un aiuto medico se pensi che il tuo dispositivo medico non funzioni come previsto.
Azioni della FDA
La FDA sta lavorando a stretto contatto con altre agenzie federali, produttori, e i ricercatori della sicurezza informatica da identificare, comunicare, e prevenire eventi avversi relativi alle vulnerabilità Sweyntooth.
La FDA continuerà a valutare nuove informazioni riguardanti le vulnerabilità di Sweyntooth e manterrà il pubblico informato se saranno disponibili nuove informazioni significative.
Segnalare problemi con il tuo dispositivo
Se pensi di avere un problema con il tuo dispositivo o un dispositivo che il tuo paziente utilizza, La FDA ti incoraggia a segnalare il problema attraverso il modulo di segnalazione volontario di MedWatch.
Il personale sanitario impiegato da strutture soggette ai requisiti di reporting della struttura utente della FDA dovrebbero seguire le procedure di segnalazione stabilite dalle loro strutture.
Ripubblicare da: FDA
Chatta adesso