FDA сообщило об угрозе взлома мониторов Contec CMS8000 и Epsimed MN-120. Злоумышленники могут получить данные пациентов и доступ к управлению устройствами.
В алгоритмах работы пациентских мониторов компании Contec обнаружена уязвимость (бэкдор), позволяющая удаленно вмешиваться в их работу, отключать устройства и собирать данные, по которым можно идентифицировать пациента. Об этом сообщается на сайте Управления по санитарному надзору за качеством пищевых продуктов и лекарственных средств (FDA).
| Contec Medical Systems основана в Китае в 1996 году. Она занимается исследованиями, разработкой и производством медицинских устройств, включая пульсоксиметры, аппараты УЗИ, пациентские мониторы, тонометры и т.д. В 2020 году глава компании Ху Кунь попал в TOP10 новых миллиардеров, связанных со здравоохранением. |
Уязвимости обнаружены в мониторах Contec CMS8000 и Epsimed MN-120 (те же Contec CMS8000, выпущенные под другим брендом). Устройства позволяют отслеживать пульс, электрическую активность сердца, уровень кислорода и другие показатели пациента.
В сообщении регулятора подчеркивается, что разрешение было выдано на использование мониторов только с проводным подключением через ethernet. Но оказалось, что некоторые модели поддерживают и беспроводное подключение. FDA совместно с американским Агентством по кибербезопасности и защите инфраструктуры (CISA) и Contec работают над устранением уязвимости мониторов.
На данный момент FDA не располагает информацией об инцидентах, травмах или смертях, связанных с этими уязвимостями. Для медработников выпустили руководство по управлению рисками при использовании мониторов. В частности, рекомендовано деактивировать все связанные с WiFi функции и отсоединить кабель ethernet. Если это невозможно, лучше отказаться от использования монитора и перейти на более безопасные модели.
Ранее сообщалось, что здравоохранение в России стало лидером по частоте обнаружения вирусов и вредоносного ПО на компьютерах. Медучреждения составили 25% всех организаций, которые столкнулись с вирусами и шпионскими программами в своих корпоративных компьютерных сетях.