Les États-Unis. Food and Drug Administration (FDA) Informe les patients, fournisseurs de soins de santé, et fabricants sur la famille Sweyntooth de vulnérabilités de cybersécurité, qui peut présenter des risques pour certains dispositifs médicaux. La FDA n'est au courant d'aucun événement indésirable confirmé lié à ces vulnérabilités. Le logiciel pour exploiter ces vulnérabilités dans certaines situations est déjà accessible au public.
Les chercheurs en sécurité ont identifié 12 vulnérabilités, Nommé «Sweyntooth,«Associé à une technologie de communication sans fil appelée Bluetooth à faible énergie (BLE). BLE permet à deux appareils de «paire» et d'échanger des informations pour remplir leurs fonctions prévues tout en préservant la durée de vie de la batterie.
Les impacts potentiels des vulnérabilités de Sweyntooth se disent en trois catégories. Un utilisateur non autorisé peut exploiter sans fil ces vulnérabilités à:
·Accident l'appareil. L'appareil peut arrêter de communiquer ou arrêter de travailler.
·Impasse l'appareil. L'appareil peut geler et arrêter de fonctionner correctement.
· Sécurité de contournement Pour accéder aux fonctions de périphérique normalement disponibles uniquement pour un utilisateur autorisé.
La FDA est actuellement au courant de plusieurs systèmes sur puce (SoC) fabricants affectés par ces vulnérabilités:
·Texas Instruments
·Nxp
·Cyprès
·Semi-conducteurs de dialogue
·Puce
·Stmicroelectronics
·Semi-conducteur de Télink
Pour plus d'informations sur les vulnérabilités de cybersécurité Sweyntooth, voir:
·ICS-ALERT-20-063-01 Vulnérabilités Sweyntooth – Département de la sécurité intérieure Cybersecurity Infrastructure Security Advisory, Mars 3, 2020
Les fabricants d'appareils médicaux évaluent déjà quels appareils sont affectés par Sweyntooth, évaluer le risque, et développer des actions de correction.
Recommandations pour les fabricants
·Si votre appareil ou tout appareil qui communique avec votre appareil utilise la technologie BLE, Évaluez comment il est affecté par ces vulnérabilités.
·Effectuer une évaluation des risques, Comme décrit dans les directives du marché postal de la Cybersecurity de la FDA, Pour évaluer l'impact de ces vulnérabilités aux appareils affectés et élaborer des plans d'atténuation des risques.
·Les atténuations devraient inclure des contrôles de compensation pendant que vous développez des correctifs logiciels.
·Travailler avec les prestataires de soins de santé, installations, et les patients pour déterminer quels dispositifs médicaux sont affectés et prendre des mesures pour s'assurer que les risques sont réduits à des niveaux acceptables.
·Dans la mesure du possible, surveiller les dispositifs médicaux pour tout signe de comportement inhabituel. Communiquez avec vos clients et la communauté des utilisateurs concernant votre évaluation et vos recommandations pour les stratégies d'atténuation des risques et les contrôles compensateurs, afin que les clients puissent prendre des décisions éclairées sur l'utilisation de l'appareil. Partagez vos communications clients avec une organisation d'analyse de partage d'informations (Io).
Remarque sur la revue pré-market: En général, Les contrôles et correctifs de compensation effectués pour aborder les vulnérabilités de Sweyntooth ne sont pas susceptibles d'affecter de manière significative la sécurité ou l'efficacité de l'appareil et n'auraient donc pas probablement besoin d'une revue pré-market de la FDA avant la mise en œuvre. Si les modifications apportées à l'appareil nécessaire pour aborder les vulnérabilités peuvent affecter considérablement la sécurité ou l'efficacité de l'appareil, cependant, Un examen pré-market est requis.
Pour plus d'informations sur la soumission pré-market et les attentes de rapports sur le marché postal, Voir les directives de cybersécurité sur la page de cybersécurité de la FDA.
Recommandations pour les prestataires de soins de santé et le personnel de l'établissement
·Travailler avec les fabricants d'appareils pour déterminer quels dispositifs médicaux dans vos installations ou utilisés par vos patients pourraient être affectés par ces vulnérabilités et développer des plans d'atténuation des risques.
·Conseiller les patients qui utilisent des dispositifs médicaux affectés avec des étapes qu'ils peuvent prendre pour réduire le risque.
·Rappelez aux patients qui utilisent des dispositifs médicaux pour demander une aide médicale immédiatement s'ils pensent que l'opération ou la fonction de leur dispositif médical a changé de manière inattendue.
·Dans la mesure du possible, surveiller les dispositifs médicaux pour tout signe de comportement inhabituel.
Recommandations pour les patients et les soignants
·Parlez à votre fournisseur de soins de santé pour déterminer si votre dispositif médical peut être affecté ou si vous devez prendre des mesures. Les fabricants d'appareils partageront plus d'informations à mesure qu'elles deviendront disponibles.
·Recherchez un médecin immédiatement si vous pensez que votre dispositif médical ne fonctionne pas comme prévu.
Actions de la FDA
La FDA travaille en étroite collaboration avec d'autres agences fédérales, fabricants, et les chercheurs en cybersécurité pour identifier, communiquer, et éviter les événements indésirables liés aux vulnérabilités de Sweyntooth.
La FDA continuera d'évaluer de nouvelles informations concernant les vulnérabilités de Sweyntooth et tiendra le public informé si de nouvelles informations importantes deviennent disponibles.
Reporter des problèmes avec votre appareil
Si vous pensez avoir eu un problème avec votre appareil ou un appareil que votre patient utilise, La FDA vous encourage à signaler le problème via le formulaire de rapport volontaire MedWatch.
Le personnel des soins de santé employés par des établissements soumis aux exigences de déclaration des installations de la FDA devrait suivre les procédures de déclaration établies par leurs installations.
Republier de: FDA
Discuter maintenant