美国. 食品药品监督管理局 (FDA) 正在告知患者, 医疗保健提供者, 和制造商了解 SweynTooth 系列网络安全漏洞, 这可能会给某些医疗器械带来风险. FDA 不知道与这些漏洞相关的任何已确认的不良事件. 在某些情况下利用这些漏洞的软件已经公开可用.
安全研究人员已经确定 12 漏洞, 命名为“SweynTooth,”与称为蓝牙低功耗的无线通信技术相关 (低功耗蓝牙). BLE 允许两个设备“配对”并交换信息以执行其预期功能,同时保持电池寿命.
SweynTooth 漏洞的潜在影响分为三类. 未经授权的用户可以无线利用这些漏洞:
·碰撞 该设备. 设备可能会停止通信或停止工作.
·僵局 该设备. 设备可能会冻结并停止正常工作.
·绕过安全 访问通常只有授权用户才能使用的设备功能.
FDA 目前已知多种片上系统 (片上系统) 受这些漏洞影响的制造商:
·德州仪器
·恩智浦
·柏
·戴格半导体
·微芯片
·意法半导体
·泰凌半导体
有关 SweynTooth 网络安全漏洞的更多信息, 看:
·ICS-ALERT-20-063-01 SweynTooth 漏洞 – 国土安全部网络安全基础设施安全咨询, 行进 3, 2020
医疗设备制造商已经在评估哪些设备受到 SweynTooth 的影响, 评估风险, 并制定补救措施.
对制造商的建议
·如果您的设备或与您的设备通信的任何设备使用 BLE 技术, 评估这些漏洞如何影响它.
·进行风险评估, 如 FDA 网络安全上市后指南中所述, 评估这些漏洞对受影响设备的影响并制定风险缓解计划.
·缓解措施应包括在开发软件补丁时进行补偿控制.
·与医疗保健提供者合作, 设施, 和患者确定哪些医疗设备受到影响,并采取措施确保风险降低到可接受的水平.
·如有可能, 监控医疗设备是否有任何异常行为迹象. 与您的客户和用户社区就您对风险缓解策略和任何补偿控制的评估和建议进行沟通, 以便客户可以就设备使用做出明智的决定. 与信息共享分析组织共享您的客户通信 (国际审计组织).
关于上市前审查的注意事项: 一般来说, 为解决 SweynTooth 漏洞而进行的补偿控制和补丁不太可能显着影响设备的安全性或有效性,因此在实施前不太可能需要 FDA 进行上市前审查. 如果解决漏洞所需的设备更改可能会严重影响设备的安全性或有效性, 然而, 需要上市前审查.
有关上市前提交和上市后报告期望的更多信息, 请参阅 FDA 网络安全页面上的网络安全指南.
对医疗保健提供者和设施工作人员的建议
·与设备制造商合作,确定您的设施中或患者使用的哪些医疗设备可能受到这些漏洞的影响,并制定风险缓解计划.
·向使用受影响医疗设备的患者提供建议,告知他们可以采取哪些措施来降低风险.
·提醒使用医疗器械的患者如认为医疗器械的操作或功能发生意外变化,应立即寻求医疗帮助.
·如有可能, 监控医疗设备是否有任何异常行为迹象.
对患者和护理人员的建议
·与您的医疗保健提供者交谈,以确定您的医疗设备是否可能受到影响或您是否应该采取任何措施. 设备制造商将在可用时分享更多信息.
·如果您认为您的医疗设备未按预期工作,请立即寻求医疗帮助.
FDA 行动
FDA 正在与其他联邦机构密切合作, 制造商, 和网络安全研究人员确定, 交流, 并防止与 SweynTooth 漏洞相关的不良事件.
FDA 将继续评估有关 SweynTooth 漏洞的新信息,并在出现重大新信息时随时向公众通报.
报告您的设备问题
如果您认为您的设备或患者使用的设备有问题, FDA 鼓励您通过 MedWatch 自愿报告表报告问题.
受 FDA 用户设施报告要求约束的设施所雇用的卫生保健人员应遵循其设施制定的报告程序.
转发自: FDA
现在聊天