אזהרה: חולשות אבטחה URGENT/11 במכשירים רפואיים

מנהל המזון והתרופות האמריקני (ה-FDA) פרסם ביום שלישי האחרון אזהרה ליצרני אמ"ר (אביזרים ומכשירים רפואיים), ארגוני בריאות, נותני שירותי בריאות וחולים על חולשות אבטחת סייבר (cyber vulnerabilities) הידועות בשם URGENT/11 הנמצאות בליבת התקשורת של תכנת צד שלישי IPnet המאפשרת למחשבים לתקשר בתוך רשת.

חולשות אבטחה מסוג URGENT/11 מאפשרות למשתמש מרוחק להשתלט על מכשיר רפואי, לגרום למניעת שירות ( Denial-of-Service Attack – DoS), לגרום להדלפת מידע או לליקויים לוגיים- מה שעלול לשנות את תפקוד המכשיר הרפואי, למנוע ממנו לתפקד כראוי או לתפקד בכלל. הציבור האמריקני שמע לראשונה על חולשות ה-URGENT/11 בחודש יולי האחרון, בפרסום של המחלקה האמריקנית להגנת המולדת (U.S. Department of Homeland Security), השבוע גם ה-FDA הצטרפו לפרסום האזהרות.

מערכות ההפעלה הנגועות:

  • VxWorks (by Wind River)
  • Operating System Embedded (OSE) (by ENEA)
  • INTEGRITY (by GreenHills)
  • ThreadX (by Microsoft)
  • ITRON (by TRON)
  • ZebOS (by IP Infusion)

ה-FDA ממליץ ליצרני מכשירים רפואיים:

  1. בצעו הערכת (ניתוח) סיכונים באופן קבוע והכינו תכנית להפחתת סיכונים . ניתן להיעזר במדריך של ה-FDA להערכת סיכונים (הורידו כאן).
  2. זכרו שרוב החולשות מעניקות לתוקף גישה חשאית, לעיתים קרובות הוא יפעל מבלי שתשימו לב. ההתקפה על מכשירכם יכולה להתפרש על ידי המכשיר כתקשורת רשת תקינה מה שלא יפעיל את אמצעי האבטחה שלכם.
  3. וודאו שמערכת האבטחה שלכם לא נגועה (Firewalls & VNPs).
  4. הכינו תכנית להתקנת מערכת הפעלה חדשה אשר לא מושפעת מחולשת ה-URGENT/11.
  5. במידה וזיהיתם מכשירים רפואיים עם חולשת URGENT/11, עדכנו את המחלקה האמריקאית להגנת המולדת בכתובת המייל הבאה: ics-cert@hq.dhs.gov

לפרסום המלא באתר ה-FDA: https://www.fda.gov/medical-devices/safety-communications/urgent11-cybersecurity-vulnerabilities-widely-used-third-party-software-component-may-introduce

 

המחלקה הכלכלית-מסחרית בוושינגטון עוקבת אחר התפתחויות בעולם המכשור הרפואי והבריאות הדיגיטלית. צרו קשר עם שלי קורנבוים למידע נוסף או שאלות: shelly.korenboim@israeltrade.gov.il

——————————————————————————————-

האמור בפרסום זה אינו מהווה ייעוץ משפטי, ואינו יוצר מחויבות משפטית מצד כל מי שכתב, ערך, תרגם או מצוין בפרסום. כל פעולה שנעשית על סמך המידע והפרטים המופיעים בפרסום היא באחריות המשתמש בלבד. מומלץ לקרוא את הפרסומים במלואם בשפת המקור באתר הרשמי של ה-FDA.

 

צור קשר עם:

יפעת אלון-פרל

אהבתם? שתפו

שיתוף ב facebook
שתפו בפייסבוק
שיתוף ב twitter
שתפו בטוויטר
שיתוף ב linkedin
שתפו בלינקדאין
שיתוף ב email
שתפו במייל

השאירו תגובה