Um monitor médico popular é o mais recente dispositivo produzido na China para receber escrutínio por seus possíveis riscos cibernéticos. No entanto, não é o único dispositivo de saúde com o qual devemos nos preocupar. Especialistas dizem que a proliferação de dispositivos de assistência médica chinesa no sistema médico dos EUA é motivo de preocupação em todo o ecossistema.
O Contec CMS8000 é um monitor médico popular que rastreia os sinais vitais de um paciente. O dispositivo rastreia eletrocardiogramas, freqüência cardíaca, saturação de oxigênio no sangue, pressão arterial não invasiva, temperatura e taxa de respiração. Nos últimos meses, o FDA e a agência de segurança de segurança cibernética e infraestrutura (CISA) ambos avisado sobre um “backdoor” No dispositivo, uma “vulnerabilidade fácil de explorar que poderia permitir que um ator ruim altere sua configuração”.
A equipe de pesquisa da CISA descreveu o “tráfego anômalo de rede” e o backdoor “, permitindo que o dispositivo faça o download e execute arquivos remotos não verificados” em um endereço IP não associado a um fabricante ou instalação médica de dispositivos médicos, mas uma universidade de terceiros-“características altamente incomuns” Isso vai contra práticas geralmente aceitas, “especialmente para dispositivos médicos”.
“Quando a função é executada, os arquivos no dispositivo são substituídos à força, impedindo o cliente final – como um hospital – da mantendo a conscientização sobre o que está em execução no dispositivo”, escreveu CISA.
Os avisos dizem que essa alteração de configuração pode levar, por exemplo, o monitor dizendo que os rins de um paciente estão com defeito ou respiração falhando, e isso pode fazer com que a equipe médica administre remédios desnecessários que possam ser prejudiciais.
A vulnerabilidade do Contec não surpreende os especialistas médicos e de TI que alertam há anos que a segurança dos dispositivos médicos é muito relaxada.
Os hospitais estão preocupados com os riscos cibernéticos
“Esta é uma enorme lacuna que está prestes a explodir”, disse Christopher Kaufman, professor de negócios da Westcliff University em Irvine, Califórnia, especializado em tecnologias de TI e perturbador, referindo -se especificamente à lacuna de segurança em muitos dispositivos médicos.
A American Hospital Association, que representa mais de 5.000 hospitais e clínicas nos EUA, concorda. Ele vê a proliferação de dispositivos médicos chineses como uma séria ameaça ao sistema.
Quanto aos monitores Contec especificamente, a AHA diz que o problema precisa ser resolvido com urgência.
“Temos que colocar isso no topo da lista para o potencial de danos ao paciente; temos que remendar antes que eles invadissem”, disse John Riggi, consultor nacional de segurança cibernética e risco para a American Hospital Association. Riggi também serviu em papéis de contraterrorismo do FBI antes de ingressar na AHA.
A CISA relata que nenhum patch de software está disponível para ajudar a mitigar esse risco, mas em seu aviso disse que o governo está atualmente trabalhando com a Contec.
O Contec, com sede em Qinhuangdao, China, não retornou um pedido de comentário.
Um dos problemas é que não se sabe quantos monitores existem nos EUA
“Não sabemos por causa do grande volume de equipamentos em hospitais. Especulamos que existem, conservadoramente, milhares desses monitores; essa é uma vulnerabilidade muito crítica”, disse Riggi, acrescentando que o acesso chinês aos dispositivos pode posar estratégico, Riscos técnicos e da cadeia de suprimentos.
A curto prazo, o FDA aconselhou sistemas médicos e pacientes a garantir que os dispositivos estejam funcionando apenas localmente ou a desativar qualquer monitoramento remoto; ou se o monitoramento remoto for a única opção, para parar de usar o dispositivo se houver uma alternativa disponível. O FDA disse que até o momento não está ciente de nenhum incidente de segurança cibernética, lesões ou mortes relacionadas à vulnerabilidade.
A American Hospital Association também disse a seus membros que até que um patch esteja disponível, os hospitais devem garantir que o monitor não tenha mais acesso à Internet e seja segmentado do restante da rede.
Riggi disse que, enquanto os monitores Contec são um excelente exemplo do que não consideramos frequentemente entre o risco de assistência médica, ele se estende a uma variedade de equipamentos médicos produzidos no exterior. Hospitais americanos sem dinheiro, explicou, muitas vezes compram dispositivos médicos da China, um país com um histórico de instalação de malware destrutivo dentro de infraestrutura crítica no equipamento de baixo custo dos EUA compra o acesso potencial chinês a um tesouro de informações médicas americanas que podem ser reaproveitado e agregado para todos os tipos de propósitos. Riggs diz que os dados são frequentemente transmitidos à China com o objetivo declarado de monitorar o desempenho de um dispositivo, mas pouco se sabe sobre o que acontece com os dados além disso.
Riggi diz que os indivíduos não estão em risco médico agudo, tanto quanto as informações coletadas e agregadas para redirecionar e colocar o sistema médico maior em risco. Ainda assim, ele ressalta que, pelo menos teoricamente, não pode ser descartado que os americanos proeminentes com dispositivos médicos poderiam ser alvo de interrupção.
“Quando conversamos com hospitais, os CEOs ficam surpresos, eles não tinham idéia dos perigos desses dispositivos, por isso estamos ajudando -os a entender. A pergunta para o governo é como incentivar a produção doméstica, longe do exterior”, disse Riggi.
Coleta de dados chinesa em americanos
O aviso do Contec é semelhante em nível geral a Tiktok, Deepseek, TP-Link Roteters e outros dispositivos e tecnologia da China que o governo dos EUA diz que estão coletando dados sobre os americanos. “E isso é tudo o que preciso ouvir ao decidir comprar dispositivos médicos da China”, disse Riggi.
Aras Nazarovas, pesquisador de segurança da informação da CyberNews, concorda que a ameaça da CISA levanta sérias questões que precisam ser abordadas.
“Temos muito a temer”, disse Nazarovas. Os dispositivos médicos, como o Contec CMS8000, geralmente têm acesso a dados de pacientes altamente sensíveis e estão diretamente conectados às funções de salvamento de vidas. Nazarovas diz que, quando os dispositivos são mal defendidos, eles se tornam presas fáceis para hackers que podem manipular os dados exibidos, alterar as configurações vitais ou desativar completamente o dispositivo.
“Em alguns casos, esses dispositivos são tão mal protegidos que os invasores podem obter acesso remoto e alterar a maneira como o dispositivo opera sem saber o hospital ou os pacientes”, disse Nazarovas.
As consequências da vulnerabilidade e vulnerabilidades Contec em uma variedade de dispositivos médicos fabricados em chinês podem facilmente ser com risco de vida.
“Imagine um monitor de pacientes que para de alertar os médicos sobre uma queda na frequência cardíaca de um paciente ou envia leituras incorretas, levando a um diagnóstico atrasado ou errado”, disse Nazarovas. No caso do Contec CMS8000 e EPSIMED MN-120 (uma marca diferente para a mesma tecnologia), alerta do governo, esses dispositivos foram configurados para permitir a execução do código remoto pelo servidor remoto.
“Essa funcionalidade pode ser usada como ponto de entrada na rede do hospital”, disse Nazarovas, levando ao perigo do paciente.
Mais hospitais e clínicas estão prestando atenção. O Hospital Regional de Bartlett, em Juneau, no Alasca, não usa os monitores Contec, mas está sempre procurando riscos. “O monitoramento regular é crítico, pois o risco de ataques de cibersegurança aos hospitais continua a aumentar”, diz Erin Hardin, porta -voz da Bartlett.
No entanto, o monitoramento regular pode não ser suficiente, desde que os dispositivos sejam feitos com pouca segurança.
Potencialmente piorando as coisas, diz Kaufman, é que o Departamento de Eficiência do Governo está ocultando departamentos encarregados de proteger esses dispositivos. De acordo com a Associated Press, Muitas das demissões recentes do FDA são funcionários que revisam a segurança dos dispositivos médicos.
Kaufman lamenta a provável falta de supervisão do governo sobre o que já é, ele diz, uma indústria vagamente regulamentada. Um escritório de prestação de contas do governo dos EUA relatório Em janeiro de 2022, indicava que 53% dos dispositivos médicos conectados e outros dispositivos da Internet das Coisas em hospitais conheciam vulnerabilidades críticas. Ele diz que o problema só piorou desde então. “Não tenho certeza do que será deixado administrando essas agências”, disse Kaufman.
“Os problemas de dispositivos médicos são generalizados e são conhecidos há algum tempo”, disse Silas Cutler, pesquisador de segurança principal da empresa de dados médicos Censys. “A realidade é que as consequências podem ser terríveis-e até mortais. Embora indivíduos de alto nível correm riscos, os mais impactados serão os próprios sistemas hospitalares, com efeitos em cascata nos pacientes comuns”.