США. Управление по контролю за продуктами и лекарствами (FDA) информирует пациентов, поставщики медицинских услуг, и производители о семействе уязвимостей кибербезопасности SweynTooth, которые могут представлять опасность для определенных медицинских изделий. FDA не известно о каких-либо подтвержденных побочных эффектах, связанных с этими уязвимостями.. Программное обеспечение для использования этих уязвимостей в определенных ситуациях уже общедоступно..
Исследователи безопасности выявили 12 уязвимости, под названием «СвейнТут»,», связанный с технологией беспроводной связи, известной как Bluetooth Low Energy. (БЛЕ). BLE позволяет двум устройствам «спариваться» и обмениваться информацией для выполнения намеченных функций, сохраняя при этом срок службы батареи..
Потенциальные последствия уязвимостей SweynTooth делятся на три категории.. Неавторизованный пользователь может использовать эти уязвимости по беспроводной сети для:
·Крушение устройство. Устройство может перестать обмениваться данными или перестать работать.
· Тупик устройство. Устройство может зависнуть и перестать работать корректно.
·Обход безопасности для доступа к функциям устройства, обычно доступным только авторизованному пользователю.
В настоящее время FDA известно о нескольких системах на кристалле. (SoC) производители, которые подвержены этим уязвимостям:
·Техасские инструменты
·НХП
·Кипарис
·Диалог Полупроводники
·Микрочип
·СТМикроэлектроника
·Телинк Полупроводник
Для получения дополнительной информации об уязвимостях кибербезопасности SweynTooth, видеть:
·ICS-ALERT-20-063-01 Уязвимости SweynTooth – Консультации по безопасности инфраструктуры кибербезопасности Министерства внутренней безопасности, Маршировать 3, 2020
Производители медицинского оборудования уже оценивают, какие устройства подвержены воздействию SweynTooth., оценка риска, и разработка мер по исправлению ситуации.
Рекомендации для производителей
·Если ваше устройство или любое устройство, которое взаимодействует с вашим устройством, использует технологию BLE, оценить, как на него влияют эти уязвимости.
·Проведите оценку рисков, как описано в послепродажном руководстве по кибербезопасности FDA., оценить влияние этих уязвимостей на затронутые устройства и разработать планы снижения рисков..
·Меры по смягчению последствий должны включать компенсирующие меры контроля во время разработки исправлений программного обеспечения..
·Работайте с поставщиками медицинских услуг, удобства, и пациентов, чтобы определить, какие медицинские устройства затронуты, и принять меры для снижения рисков до приемлемого уровня..
·Где это возможно, следить за медицинскими устройствами на предмет каких-либо признаков необычного поведения. Общайтесь со своими клиентами и сообществом пользователей относительно вашей оценки и рекомендаций по стратегиям снижения рисков и любым компенсирующим средствам контроля., чтобы клиенты могли принимать обоснованные решения об использовании устройства. Поделитесь своими сообщениями с клиентами с аналитической организацией по обмену информацией (ИСАО).
Примечание о предварительном обзоре: В общем, компенсирующие меры контроля и исправления, созданные для устранения уязвимостей SweynTooth, вряд ли окажут существенное влияние на безопасность или эффективность устройства и, следовательно, вряд ли потребуют предварительной проверки FDA перед внедрением.. Если изменения в устройстве, необходимые для устранения уязвимостей, могут существенно повлиять на безопасность или эффективность устройства, однако, требуется предпродажная проверка.
Для получения дополнительной информации о предпродажной подаче и ожиданиях послепродажной отчетности, см. «Руководство по кибербезопасности» на странице «Кибербезопасность» FDA..
Рекомендации для поставщиков медицинских услуг и персонала учреждений
·Работайте с производителями устройств, чтобы определить, какие медицинские устройства в ваших учреждениях или которые используются вашими пациентами могут быть подвержены этим уязвимостям, и разработайте планы снижения рисков..
·Проконсультируйте пациентов, использующих затронутые медицинские устройства, о мерах, которые они могут предпринять для снижения риска..
·Напоминайте пациентам, которые используют медицинские устройства, о необходимости немедленно обратиться за медицинской помощью, если они считают, что работа или функция их медицинского устройства неожиданно изменились..
·Где это возможно, следить за медицинскими устройствами на предмет каких-либо признаков необычного поведения.
Рекомендации для пациентов и лиц, осуществляющих уход
·Поговорите со своим врачом, чтобы определить, может ли это повлиять на ваше медицинское устройство или вам следует предпринять какие-либо действия.. Производители устройств будут делиться дополнительной информацией по мере ее появления..
·Немедленно обратитесь за медицинской помощью, если вы считаете, что ваше медицинское устройство не работает должным образом..
Действия FDA
FDA тесно сотрудничает с другими федеральными агентствами., производители, и исследователи кибербезопасности для выявления, общаться, и предотвратить неблагоприятные события, связанные с уязвимостями SweynTooth.
FDA продолжит оценивать новую информацию об уязвимостях SweynTooth и будет информировать общественность, если станет доступна важная новая информация..
Сообщение о проблемах с вашим устройством
Если вы считаете, что у вас возникла проблема с вашим устройством или устройством, которое использует ваш пациент, FDA рекомендует вам сообщать о проблеме через форму добровольной отчетности MedWatch..
Медицинский персонал, работающий в учреждениях, на которые распространяются требования FDA по отчетности в отношении учреждений-пользователей, должен следовать процедурам отчетности, установленным в их учреждениях..
Репост от: FDA
Теперь говорите