この警告では、システムは投与量を制御できるサイバーセキュリティハッキングに対して脆弱であると述べている

FDAはアラートを発行しましたSymbiq Infusionポンプのサイバーセキュリティ脆弱性を警告し、ハッカーが患者の投薬の管理を無効にする可能性があります。 Hospira Symbiq Infusion Systemは、幅広い患者集団に対して一般的な輸液療法を継続的に提供するコンピュータ化されたポンプです。

このアラートは、これらのシステムの潜在的な不正侵入および制御システムを使用して医療施設に警告し、ユーザーが代替注入システムに移行し、さらに通知するまで影響を受けたポンプの使用を中止するよう勧告する。 アラートには、「FDA、米国国土安全保障省産業制御システムサイバー緊急対応チーム（CS-CERT）、およびHospiraは、Symbiq Infusion Systemに関連するサイバーセキュリティの脆弱性を認識しています。 Hospiraと独立した研究者は、HospiraのSymbiq Infusion Systemが病院のネットワークを介して遠隔からアクセスできることを確認しました。「許可されていないユーザーが装置を制御し、ポンプが供給する用量を変更する可能性があります。重大な患者の治療法の不十分な注入。

研究者Billy Riosは、Plum A +、Lifecare PCAおよびSymbiq製品を含むいくつかのHospira輸液システムの欠陥を発見しました。 セキュリティウィーク。 今日まで、そのような行為が起こったという兆候はなく、患者の有害事象または無許可のアクセスの証拠はない。

代替注入システムに移行する際、医療施設は、不正なシステムアクセスのリスクを低減するために、以下の手順を踏む必要があります。

• 影響を受ける製品をネットワークから切断します。 影響を受ける製品をネットワークから切り離すと、運用上の影響があり、薬物ライブラリを手動で更新する必要があることに注意してください。 各ポンプへの手動更新は労働集約的であり、入力ミスの可能性があります。
• ポート20 / FTPおよびポート23 / TELNETを含む未使用のポートが閉じていることを確認します。
• ポート20 / FTP、ポート23 / TELNET、およびポート8443経由で、該当する製品に到達しようとしているすべてのネットワークトラフィックを監視してログに記録します。 Hospiraのテクニカルサポートに連絡して、ポート8443にアクセスするためのデフォルトのパスワードを変更するか、閉じることができます。

Hospiraは関連のない問題のため影響を受けた輸液システムの製造および流通を中止し、代替システムに移行するために現在お客様と協力しており、FDAはこれらの移行を可能な限り早期に強く推奨しています。 ホスピラはまた、 ソフトウェアの更新 変更中の脆弱性を最小限に抑えます。

「ホスピラは、FDAと国土安全保障省との間で、デバイスのサイバーセキュリティに関する最近の進展について、進行中の議論の一部となっています。 SecurityWeek 5月。 「脆弱性を悪用するには、セキュリティ保護されたファイアウォールを含む、病院の情報システムによって実施されるネットワークセキュリティのいくつかの層に浸透する必要があることも注目に値する。 これらのネットワークセキュリティ対策は、改ざんに対する最強の防衛線としての役割を果たしており、ポンプとソフトウェアはセキュリティの追加層を提供しています。

Hospira注入システムで発見された脆弱性の中には、バッファオーバーフロー、不適切な承認、データの信頼性の検証、ハードコードされたパスワード、機密情報の不適切な格納、管理されていないリソースの消費、鍵と証明書管理の問題、脆弱なサードパーティソフトウェアの使用があります。