Die Warnung besagt, dass das System anfällig für Cybersicherheits-Hacks ist, die die Dosierung kontrollieren können

Die FDA hat eine Warnung ausgegeben, warnt vor Cybersicherheitsschwachstellen in der Symbiq Infusionspumpe, die es Hackern ermöglichen könnten, die Kontrolle über die Medikamentenabgabe durch den Patienten außer Kraft zu setzen. Das Hospira Symbiq Infusionssystem ist eine computergestützte Pumpe, die eine kontinuierliche Infusionstherapie für eine breite Patientenpopulation ermöglicht.

Die Warnung warnt Gesundheitseinrichtungen, die dieses System eines potenziellen unbefugten Zugriffs und der unbefugten Kontrolle dieser Systeme nutzen, und enthält eine Empfehlung, dass die Benutzer bis auf weiteres auf alternative Infusionssysteme umsteigen und die betroffenen Pumpen nicht mehr verwenden. Der Warnhinweis lautet: "Die FDA, das Cyber ​​Emergency Response Team (CS-CERT) des US-amerikanischen Department of Homeland Security und Hospira sind sich der Sicherheitslücken im Zusammenhang mit dem Symbiq Infusionssystem bewusst. Hospira und ein unabhängiger Forscher bestätigten, dass das Symbiq-Infusionssystem von Hospira per Fernzugriff über ein Krankenhausnetz erreicht werden könne, "eine Aktion, die möglicherweise einem unbefugten Benutzer die Kontrolle über das Gerät und die Dosierung der Pumpe ermöglicht, was zu Über- oder Unterdosierung führen könnte Unterinfektion von kritischen Patiententherapien. "

Forscher Billy Rios entdeckte die Mängel in einer Reihe von Hospira Infusionssystemen, einschließlich Plum A +, Lifecare PCA und Symbiq Produkte, laut Sicherheitswoche. Bisher gibt es keine Anzeichen dafür, dass solche Handlungen stattgefunden haben, und es liegen keine Hinweise auf unerwünschte Ereignisse bei Patienten oder unbefugten Zugang vor.

Beim Übergang zu einem alternativen Infusionssystem sollten Gesundheitseinrichtungen die folgenden Schritte unternehmen, um das Risiko eines nicht autorisierten Systemzugriffs zu verringern:

• Trennen Sie das betroffene Produkt vom Netzwerk. Beachten Sie, dass die Trennung des betroffenen Produkts vom Netzwerk operative Auswirkungen hat und die manuelle Aktualisierung der Medikamentenbibliotheken erforderlich ist. Manuelle Aktualisierungen an jeder Pumpe können arbeitsintensiv und anfällig für Eingabefehler sein.
• Stellen Sie sicher, dass nicht verwendete Ports geschlossen sind, einschließlich Port 20 / FTP und Port 23 / TELNET.
• Überwachen und protokollieren Sie den gesamten Netzwerkverkehr, der versucht, das betroffene Produkt über Port 20 / FTP, Port 23 / TELNET und Port 8443 zu erreichen. Wenden Sie sich an den technischen Support von Hospira, um das Standardkennwort für den Zugriff auf Port 8443 zu ändern oder es zu schließen.

Hospira hat die Herstellung und den Vertrieb der betroffenen Infusionssysteme aufgrund von nicht damit zusammenhängenden Problemen eingestellt und arbeitet derzeit mit seinen Kunden zusammen, um auf alternative Systeme umzustellen. Die FDA unterstützt diese Übergänge so schnell wie möglich. Hospira hat auch ein Software-Aktualisierung um Schwachstellen während der Umstellung zu minimieren.

"Hospira war Teil der laufenden Diskussionen mit der FDA und dem Department of Homeland Security über aktuelle Entwicklungen rund um die Cybersicherheit von Geräten", so Hospira Sicherheitswoche im Mai. "Es ist auch erwähnenswert, dass das Ausnutzen von Schwachstellen mehrere Ebenen der Netzwerksicherheit durchdringen muss, die durch das Krankenhausinformationssystem, einschließlich sicherer Firewalls, erzwungen werden. Diese Netzwerksicherheitsmaßnahmen dienen als erste und stärkste Verteidigungslinie gegen Manipulationen und die Pumpen und Software bieten eine zusätzliche Sicherheitsebene. "

Zu den in Hospira-Infusionssystemen entdeckten Schwachstellen gehören ein Pufferüberlauf, unzulässige Autorisierung, unzureichende Verifizierung der Datenauthentizität, fest codierte Passwörter, unsachgemäße Speicherung sensibler Informationen, unkontrollierter Ressourcenverbrauch, Schlüssel- und Zertifikatsverwaltungsprobleme sowie die Verwendung gefährdeter Software von Drittanbietern.