El Departamento de Seguridad Nacional de EE. UU. (DHS) y la Administración de Drogas y Alimentos de EE. UU. (FDA) emitieron comunicaciones de que se encontraron vulnerabilidades de seguridad cibernética en algunos dispositivos de Medtronic. Cientos de dispositivos cardíacos de Medtronic son vulnerables a incidentes de ciberseguridad, según dos avisos del gobierno federal de EE. UU.

La vulnerabilidad también afectó a los monitores de cabecera en el hogar de los pacientes que leen datos de los dispositivos y las computadoras de programación en el consultorio utilizadas por los médicos. dijo Tribuna de las estrellas .

Ana Mulero, Enfoque regulatorio :La FDA emitió un comunicado de seguridad de la FDA; El Equipo de Respuesta a Emergencias Cibernéticas de los Sistemas de Control Industrial del DHS (ICS-CERT) emitió un aviso para señalar las vulnerabilidades de la seguridad cibernética. Estos se detectaron en el protocolo de telemetría Conexus de Medtronic. "La tecnología inalámbrica se utiliza para permitir la comunicación entre los dispositivos cardíacos implantables del fabricante del dispositivo médico, programadores de clínicas y monitores domésticos ".

Los desfibriladores implantados se utilizan para tratar problemas cardíacos. Se colocan debajo de la piel. Entregan descargas eléctricas si se detecta un latido cardíaco irregular, señalado TechSpot.

Se mencionaron dos tipos de vulnerabilidad con respecto a (1) autenticación formal o protecciones de autorización, y (2) cifrado de datos. Mulero dijo, "Al acceso inadecuado se le asignó un puntaje crítico (9.3) y la transmisión de datos tiene un puntaje de vulnerabilidad medio (6.5)".

Según Mulero, "Tanto la FDA como el ICS-CERT informaron que un atacante o una persona no autorizada podría aprovechar las vulnerabilidades de ciberseguridad detectadas para acceder a uno de los productos afectados en las proximidades, impactar la funcionalidad del dispositivo y / o interceptar datos confidenciales del paciente dentro de la comunicación de telemetría ".

El sitio web oficial del Departamento de Seguridad Nacional publicado el jueves Aviso médico (ICSMA-19-080-01), Protocolo de telemetría de radiofrecuencia Conexus de Medtronic. "El resultado de la explotación exitosa de estas vulnerabilidades puede incluir la capacidad de leer y escribir cualquier ubicación de memoria válida en el dispositivo implantado afectado y, por lo tanto, afectar la función prevista del dispositivo".

Puede encontrar una lista de productos específicos y versiones de dispositivos de Medtronic que utilizan el protocolo de telemetría Conexus que se ven afectados en la publicación de avisos médicos del jueves, 21 de marzo (se utiliza un protocolo para conectar monitores de forma inalámbrica a un dispositivo implantado, dijo TechSpot .)

Homeland describió vulnerabilidades en diferentes modelos de desfibriladores implantables de Medtronic, dijo Tribuna de las estrellas .

TechCrunch y TechSpot discutió algunos detalles técnicos de lo que provocó la advertencia. Aquellos dispositivos que tienen tecnología inalámbrica o basada en radio presentan el beneficio de permitir que los pacientes monitoreen sus condiciones y que sus médicos ajusten la configuración sin tener que realizar una cirugía invasiva. Protocolo de comunicaciones por radio patentado de Medtronic, conocido como Conexus no estaba encriptado y no hubo proceso de autenticación.

Atacantes con hardware de interceptación de radio, y dentro de un cierto rango, podría modificar los datos de un desfibrilador afectado, cambiar la configuración del implante.

Los piratas informáticos tendrían que estar cerca de los usuarios, alrededor de 20 pies, señaló Rob Thubron en TechSpot .

Medtronic en su boletín de seguridad informó el jueves que "La explotación total de estas vulnerabilidades requiere un conocimiento completo y especializado de los dispositivos médicos, telemetría inalámbrica y electrofisiología ".

los Tribuna de las estrellas artículo contenía citas del Dr. Robert Kowal, director médico de productos para el ritmo cardíaco y la insuficiencia cardíaca de Medtronic. Dijo que "un pirata informático tendría que estar a unos 20 pies del paciente, necesitaría un conocimiento detallado del funcionamiento interno del dispositivo, y disponer de tecnología especializada para realizar el truco ".

¿Qué deben hacer los pacientes? ¿luego? Medtronic recomendó que los pacientes y los médicos continúen usando estos dispositivos según lo prescrito y previsto. "Los beneficios del monitoreo remoto superan el riesgo práctico de que estas vulnerabilidades puedan ser explotadas".

Discutiendo la mitigación, Medtronic dijo en su boletín que estaba "desarrollando actualizaciones para mitigar estas vulnerabilidades" e informará a los pacientes y médicos cuando estén disponibles, sujeto a las aprobaciones regulatorias. El aviso médico que aparece en el sitio web del Departamento de Seguridad Nacional dice que "Medtronic ha aplicado controles adicionales para monitorear y responder al uso inadecuado del protocolo de telemetría Conexus por parte de los dispositivos cardíacos implantados afectados. Se están desarrollando mitigaciones adicionales y se implementarán a través de actualizaciones futuras , asumiendo la aprobación regulatoria ".

Thubron en TechSpot agregó que la compañía estaba monitoreando su red "para cualquiera que intente explotar las fallas". Dijo que "las defibs apagarán la transmisión inalámbrica al recibir cualquier solicitud inusual. La compañía está trabajando en una solución para las vulnerabilidades, que debería llegar a finales de este año ".

Medtronic, mientras tanto , declaró que "Hasta la fecha, ni se ha observado ni asociado ningún ataque cibernético ni daño al paciente con estas vulnerabilidades ".

En el panorama general, "Los fabricantes de dispositivos médicos han reforzado sus esfuerzos para mitigar las vulnerabilidades de seguridad de los productos en los últimos años tras una serie de advertencias de los investigadores de seguridad que han identificado errores en dispositivos como los programadores de implantes de Medtronic, "dijo Reuters.

© 2019 Science X Network