Несколько моделей инфузионных помп BD BodyGuard подвергаются умеренному риску взлома, сообщил производитель.
Инфузионные помпы используются в больницах для контроля внутривенной подачи лекарств, питательных веществ и других жидкостей пациенту. Ни одна из затронутых моделей BD BodyGuard, многие из которых достались BD в 2017 году от израильской компании Caesarea Medical Electronics, не одобрена для использования в США.
BD добровольно сообщила о потенциальной угрозе безопасности в Агентство по кибербезопасности и инфраструктурной безопасности, входящее в состав Министерства внутренней безопасности США.
В рассылке по кибербезопасности производитель устройств описал, как злоумышленник может получить доступ к уязвимым помпам BodyGuard через физическое подключение к последовательному порту устройства. Если это произойдет, хакер может изменить настройки устройства или полностью отключить его, прервав надлежащий поток необходимых процедур для пациента. На сегодняшний день, по данным CISA, ни одна из известных общественности попыток взлома не была специально нацелена на эту уязвимость.
BD присвоила потенциальному риску взлома оценку 5,3 из 10 по общей системе оценки уязвимостей — шкале, широко используемой для оценки рисков кибербезопасности, — обозначающей только «средний» уровень серьезности проблемы.
Во-первых, компания отметила, что в помпах не хранится защищенная или идентифицирующая личность медицинская информация, а это означает, что хакеры не смогут украсть данные пациента, получив доступ к устройствам. С другой стороны, такой взлом потребовал бы физического доступа, а также специализированного оборудования и, по крайней мере, некоторых знаний об устройствах BodyGuard для выполнения новых команд.
Однако «злоумышленнику не потребуется предварительная аутентификация для управления помпой», и они также могут лишить больницы доступа к кодам технического персонала, что потенциально сделает устройства более непригодными для использования.
В целом, компания определила, что «существует низкая вероятность причинения вреда» в результате выявленной проблемы. В расслыке рекомендуется, чтобы больницы подключали к помпам только оборудование, одобренное BD, и удаляли все оборудование из последовательных портов, когда помпы используются. Они также должны принять меры для защиты всех компьютерных систем больницы и «обеспечить наличие контроля физического доступа и только авторизованные конечные пользователи имеют доступ к насосам BD BodyGuard».
Инфузионные помпы особенно подвержены взлому. Исследование, опубликованное ранее в этом году, показало, что до 75% устройств, подключенных к больничным сетям, содержат известные недостатки кибербезопасности, которые дают хакерам доступ к элементам управления устройствами или к любым незашифрованным данным, которые передаются помпу или из нее.
BD — не единственный производитель медицинских технологий в этом году, обнаруживший уязвимость в своих насосах: в сентябре Baxter сообщила, что за предыдущие несколько месяцев она устранила несколько проблем с подключенными к Интернету инфузионными помпами Sigma Spectrum, которые оснащены программным обеспечением, автоматизирующим доставку жидкости пациентам.
