चेतावनी बताती है कि सिस्टम साइबर सुरक्षा सुरक्षा हैक के लिए कमजोर है जो खुराक को नियंत्रित कर सकता है

एफडीए ने एक चेतावनी जारी की है, सिम्बिक इंफ्यूजन पंप में साइबर सुरक्षा कमजोरियों की चेतावनी जो हैकरों को रोगी दवा वितरण के नियंत्रण को ओवरराइड करने की अनुमति दे सकती है। होस्पिरा सिम्बिक इंफ्यूजन सिस्टम एक कम्प्यूटरीकृत पंप है जो व्यापक रोगी आबादी के लिए सामान्य जलसेक चिकित्सा की निरंतर डिलीवरी प्रदान करता है।

अलर्ट इन सिस्टमों की संभावित अनधिकृत पहुंच और नियंत्रण की इस प्रणाली का उपयोग करके स्वास्थ्य देखभाल सुविधाओं को चेतावनी देता है, और इसमें एक सिफारिश शामिल है कि उपयोगकर्ता वैकल्पिक जलसेक प्रणालियों में संक्रमण करते हैं और आगे की सूचना तक प्रभावित पंपों के उपयोग को बंद कर देते हैं। चेतावनी, कुछ हद तक, "एफडीए, अमेरिकी गृह विभाग सुरक्षा औद्योगिक नियंत्रण प्रणाली साइबर आपातकालीन प्रतिक्रिया टीम (सीएस-सीईआरटी), और होस्पिरा सिम्बिक इंफ्यूजन सिस्टम से जुड़े साइबर सुरक्षा कमजोरियों से अवगत हैं। होस्पिरा और एक स्वतंत्र शोधकर्ता ने पुष्टि की कि होस्पिरा के सिम्बिक इंफ्यूजन सिस्टम को अस्पताल के नेटवर्क के माध्यम से दूरस्थ रूप से एक्सेस किया जा सकता है, "एक ऐसी क्रिया जो संभावित रूप से" एक अनधिकृत उपयोगकर्ता को डिवाइस को नियंत्रित करने और पंप वितरित करने वाले खुराक को बदलने की अनुमति देती है, जिससे अधिक हो सकता है- या गंभीर रोगी उपचार के तहत जलसेक। "

शोधकर्ता बिली रियोस ने प्लम ए +, लाइफकेयर पीसीए और सिम्बिक उत्पादों समेत कई होस्पिरा जलसेक प्रणालियों में त्रुटियों की खोज की, सुरक्षा सप्ताह। आज तक, इस बात का कोई संकेत नहीं है कि इस तरह के कार्य हुए हैं और रोगी प्रतिकूल घटनाओं या अनधिकृत पहुंच का कोई सबूत नहीं है।

वैकल्पिक जलसेक प्रणाली में संक्रमण करते समय, अनधिकृत सिस्टम पहुंच के जोखिम को कम करने के लिए स्वास्थ्य देखभाल सुविधाओं को निम्नलिखित कदम उठाने चाहिए:

• प्रभावित उत्पाद को नेटवर्क से डिस्कनेक्ट करें। ध्यान रखें कि नेटवर्क से प्रभावित उत्पाद को डिस्कनेक्ट करने से परिचालन प्रभाव पड़ेंगे, और दवा पुस्तकालयों को मैन्युअल रूप से अपडेट करने की आवश्यकता होगी। प्रत्येक पंप के लिए मैन्युअल अपडेट श्रम गहन हो सकता है और प्रवेश त्रुटि के लिए प्रवण हो सकता है।
• सुनिश्चित करें कि अप्रयुक्त बंदरगाह बंद हैं, पोर्ट 20 / FTP और पोर्ट 23 / TELNET समेत।
• पोर्ट 20 / FTP, पोर्ट 23 / TELNET और पोर्ट 8443 के माध्यम से प्रभावित उत्पाद तक पहुंचने का प्रयास करने वाले सभी नेटवर्क यातायात की निगरानी करें और लॉग इन करें। पोर्ट 8443 तक पहुंचने या इसे बंद करने के लिए उपयोग किए जाने वाले डिफ़ॉल्ट पासवर्ड को बदलने के लिए होस्पिरा के तकनीकी समर्थन से संपर्क करें।

होस्पिरा ने असंतुलित मुद्दों के कारण प्रभावित जलसेक प्रणालियों के निर्माण और वितरण को बंद कर दिया है, और वर्तमान में अपने ग्राहकों के साथ वैकल्पिक प्रणालियों में संक्रमण के लिए काम कर रहा है, और एफडीए जल्द से जल्द इन संक्रमणों को प्रोत्साहित करता है। होस्पिरा ने भी एक प्रदान किया है सॉफ्टवेयर अपडेट परिवर्तन के दौरान भेद्यता को कम करने के लिए।

होस्पिरा ने बताया, "होस्पिरा डिवाइस साइबर सुरक्षा के आसपास हालिया घटनाओं के बारे में एफडीए और गृहभूमि सुरक्षा विभाग के साथ चल रही चर्चाओं का हिस्सा रहा है।" SecurityWeek मई में। "यह भी ध्यान देने योग्य है कि कमजोरियों का शोषण करने के लिए अस्पताल सूचना प्रणाली द्वारा सुरक्षित सुरक्षा फायरवॉल सहित लागू नेटवर्क सुरक्षा की कई परतों में प्रवेश की आवश्यकता होती है। ये नेटवर्क सुरक्षा उपाय छेड़छाड़ के खिलाफ रक्षा की पहली और सबसे मजबूत लाइन के रूप में कार्य करते हैं और पंप और सॉफ्टवेयर सुरक्षा की एक अतिरिक्त परत प्रदान करते हैं। "

होस्पिरा इंस्यूजन सिस्टम में खोजी जाने वाली कमजोरियों में से एक बफर ओवरफ्लो, अनुचित प्राधिकरण, डेटा प्रामाणिकता का अपर्याप्त सत्यापन, हार्डकोडेड पासवर्ड, संवेदनशील जानकारी का अनुचित भंडारण, अनियंत्रित संसाधन खपत, कुंजी और प्रमाण पत्र प्रबंधन के मुद्दों, और कमजोर तृतीय पक्ष सॉफ़्टवेयर का उपयोग है।