Os EUA. Food and Drug Administration (FDA) está informando os pacientes, prestadores de cuidados de saúde, e fabricantes sobre a família Sweyntooth de vulnerabilidades de segurança cibernética, que podem introduzir riscos para determinados dispositivos médicos. O FDA não está ciente de quaisquer eventos adversos confirmados relacionados a essas vulnerabilidades. Software para explorar essas vulnerabilidades em determinadas situações já está disponível ao público.
Pesquisadores de segurança identificaram 12 Vulnerabilidades, nomeado “Sweyntooth,”Associado a uma tecnologia de comunicação sem fio conhecida como Bluetooth Low Energy (BLE). O BLE permite que dois dispositivos “emparelhem” e trocem informações para executar as funções pretendidas, preservando a vida útil da bateria.
Os possíveis impactos das vulnerabilidades Sweyntooth se enquadram em três categorias. Um usuário não autorizado pode explorar sem fio essas vulnerabilidades a:
·Colidir o dispositivo. O dispositivo pode parar de se comunicar ou parar de funcionar.
·Impasse o dispositivo. O dispositivo pode congelar e parar de funcionar corretamente.
· Itimpere a segurança Para acessar as funções do dispositivo normalmente disponíveis apenas para um usuário autorizado.
O FDA está atualmente ciente de vários sistemas em um chip (SoC) Fabricantes afetados por essas vulnerabilidades:
·Texas Instruments
·NXP
·Cipreste
·Semicondutores de diálogo
·Microchip
·Stmicroelectronics
·Telink Semicondutor
Para mais informações sobre as vulnerabilidades de segurança cibernética de Sweyntooth, ver:
·ICS-ALERT-20-063-01 Vulnerabilidades Sweyntooth – Departamento de Segurança Interna de Segurança Cibernética Consultoria de Segurança de Infraestrutura, Marchar 3, 2020
Os fabricantes de dispositivos médicos já estão avaliando quais dispositivos são afetados pelo Sweyntooth, avaliando o risco, e desenvolvendo ações de remediação.
Recomendações para fabricantes
·Se o seu dispositivo ou qualquer dispositivo que se comunique com o seu dispositivo use a tecnologia BLE, Avalie como isso é impactado por essas vulnerabilidades.
·Conduzir uma avaliação de risco, Conforme descrito na orientação do pós -mercado de segurança cibernética da FDA, Para avaliar o impacto dessas vulnerabilidades nos dispositivos afetados e desenvolver planos de mitigação de riscos.
·As mitigações devem incluir controles de compensação enquanto você está desenvolvendo patches de software.
·Trabalhe com prestadores de cuidados de saúde, instalações, e pacientes para determinar quais dispositivos médicos são afetados e tomar ações para garantir que os riscos sejam reduzidos a níveis aceitáveis.
·Sempre que possível, Monitore dispositivos médicos para obter sinais de comportamento incomum. Comunique -se com seus clientes e a comunidade de usuários sobre sua avaliação e recomendações para estratégias de mitigação de riscos e quaisquer controles de compensação, para que os clientes possam tomar decisões informadas sobre o uso do dispositivo. Compartilhe suas comunicações de clientes com uma organização de análise de compartilhamento de informações (Io).
Nota sobre a revisão do pré -mercado: Em geral, Compensando controles e patches feitos para abordar as vulnerabilidades de Sweyntooth provavelmente não afetarão significativamente a segurança ou a eficácia do dispositivo e, portanto, provavelmente não precisariam de revisão pré -mercado do FDA antes da implementação. Se as alterações no dispositivo necessárias para abordar as vulnerabilidades poderiam afetar significativamente a segurança ou a eficácia do dispositivo, no entanto, A revisão do pré -mercado é necessária.
Para obter informações adicionais sobre o envio do pré -mercado e as expectativas de relatórios pós -mercado, Veja orientações de segurança cibernética na página de segurança cibernética do FDA.
Recomendações para prestadores de cuidados de saúde e equipe de instalações
·Trabalhe com os fabricantes de dispositivos para determinar quais dispositivos médicos em suas instalações ou em uso por seus pacientes podem ser afetados por essas vulnerabilidades e desenvolver planos de mitigação de riscos.
·Aconselhe os pacientes que usam dispositivos médicos afetados com etapas que podem tomar para reduzir o risco.
·Lembre os pacientes que usam dispositivos médicos para procurar ajuda médica imediatamente se acharem a operação ou a função de seu dispositivo médico mudado inesperadamente.
·Sempre que possível, Monitore dispositivos médicos para obter sinais de comportamento incomum.
Recomendações para pacientes e cuidadores
·Converse com seu médico para determinar se o seu dispositivo médico pode ser afetado ou se você deve tomar alguma ação. Os fabricantes de dispositivos compartilharão mais informações à medida que ficarão disponíveis.
·Procure ajuda médica imediatamente se você acha que seu dispositivo médico não está funcionando como esperado.
Ações da FDA
O FDA está trabalhando em estreita colaboração com outras agências federais, Fabricantes, e pesquisadores de segurança cibernética para identificar, comunicar, e evitar eventos adversos relacionados às vulnerabilidades Sweyntooth.
O FDA continuará avaliando novas informações sobre as vulnerabilidades Sweyntooth e manterá o público informado se novas informações significativas estiverem disponíveis.
Relatando problemas com seu dispositivo
Se você acha que teve um problema com seu dispositivo ou dispositivo que seu paciente usa, O FDA incentiva você a relatar o problema através do formulário de relatório voluntário do Medwatch.
Pessoal de saúde empregado por instalações sujeitas aos requisitos de relatório da instalação de usuários da FDA devem seguir os procedimentos de relatório estabelecidos por suas instalações.
Repassar de: FDA
Conversar Agora