Varningen säger att systemet är sårbart för cybersecurity hacks som kan styra doseringen

FDA har utfärdat en varning, varning för cybersecurity sårbarheter i Symbiq Infusion pumpen som kan tillåta hackare att åsidosätta kontrollen av patientmedicin leverans. Hospira Symbiq Infusion System är en datoriserad pump som ger kontinuerlig leverans av allmän infusionsterapi för en bred patientpopulation.

Varningen varnar hälso- och sjukvården med hjälp av detta system av potentiell obehörig åtkomst och kontroll av dessa system och innehåller en rekommendation att användarna övergår till alternativa infusionssystem och slutar använda de berörda pumparna tills vidare. Varningen säger delvis: "FDA, USA: s avdelning för hemlandsäkerhetssystem för industriellt kontrollsystem, Cyber ​​Emergency Response Team (CS-CERT) och Hospira är medvetna om cybersäkerhetsproblem i samband med Symbiq Infusion System. Hospira och en oberoende forskare bekräftade att Hospira Symbiq Infusion System skulle kunna nås via ett sjukhus nätverk, "en åtgärd som potentiellt" skulle tillåta en obehörig användare att kontrollera enheten och ändra dosen pumpen levererar, vilket kan leda till över- eller underinfusion av kritiska patientterapier. "

Forskare Billy Rios upptäckte bristerna i ett antal Hospira-infusionssystem, inklusive Plum A +, Lifecare PCA och Symbiq-produkter, enligt Säkerhetsvecka. Hittills finns det ingen indikation på att sådana åtgärder har inträffat och inga bevis på patientbiverkningar eller obehörig åtkomst.

Under övergången till ett alternativt infusionssystem bör sjukvården ta följande steg för att minska risken för otillåten systemåtkomst:

• Koppla bort den berörda produkten från nätverket. Var medveten om att bortkoppling av den berörda produkten från nätverket kommer att få operativa effekter och kräver att läkemedelsbibliotek uppdateras manuellt. Manuella uppdateringar för varje pump kan vara arbetsintensiva och benägna för inmatningsfel.
• Kontrollera att oanvända portar är stängda, inklusive Port 20 / FTP och Port 23 / TELNET.
• Övervaka och logga alla nätverkstrafik försöker nå den berörda produkten via Port 20 / FTP, Port 23 / TELNET och Port 8443. Kontakta Hospiras tekniska support för att ändra standardlösenordet som används för att komma till Port 8443 eller stänga det.

Hospira har avvecklat tillverkningen och distributionen av de drabbade infusionssystemen på grund av orelaterade problem och arbetar för närvarande med sina kunder för övergång till alternativa system, och FDA uppmuntrar dessa övergångar så snart som möjligt. Hospira har också tillhandahållit en programuppdatering för att minimera sårbarheter under övergången.

"Hospira har varit en del av pågående diskussioner med FDA och Department of Homeland Security när det gäller den senaste utvecklingen kring cybersäkerhet," sa Hospira. SecurityWeek i maj. "Det är också värt att notera att utnyttjandet av sårbarheter kräver att flera lag av nätverkssäkerhet trängs igenom sjukhusinformationssystemet, inklusive säkra brandväggar. Dessa nätverkssäkerhetsåtgärder tjänar som den första och starkaste försvarslinjen mot manipulering och pumparna och mjukvaran ger ytterligare ett lager av säkerhet. "

Bland de sårbarheter som upptäckts i Hospira är infusionssystem ett bufferflöde, felaktig behörighet, otillräcklig verifiering av dataintegritet, hårdkodade lösenord, felaktigt lagring av känslig information, okontrollerad resursförbrukning, problem med nyckel och certifikathantering och användningen av sårbar tredjepartsprogramvara.