Italiano
English
Français
Deutsch
Español
Português
日本語
한국어
Русский
È stato scoperto che i dispositivi medici scartati contengono una grande quantità di informazioni sulle strutture sanitarie
I ricercatori hanno scoperto che le pompe per infusione vendute su mercati secondari come eBay contengono ancora una grande quantità di informazioni sensibili sugli ospedali che un tempo le possedevano.
Il ricercatore principale sulla sicurezza di Rapid7 Deral Heiland e molti altri hanno esaminato 13 marchi di dispositivi per pompe per infusione, come Alaris, Baxter e Hospira, trovando credenziali di accesso e dati di autenticazione per i loro precedenti proprietari. Le macchine sono dispositivi cruciali che si trovano accanto ai letti ospedalieri e trasmettono fluidi, farmaci o sostanze nutritive nel sistema circolatorio del paziente.
L’esame fa luce su un problema persistente nel campo dei dispositivi medici: i dati critici memorizzati lasciati sui dispositivi delle pompe di infusione che non vengono adeguatamente eliminati prima della disacquisizione. I dispositivi vengono spesso venduti sui mercati secondari quando gli ospedali li aggiornano o li sostituiscono con modelli più recenti.
Otto dei 13 dispositivi esaminati contenevano informazioni sensibili, che secondo Heiland erano la prova che alcuni erano stati effettivamente eliminati dai dati prima di essere venduti su siti come eBay.
Le informazioni lasciate sulla maggior parte dei dispositivi offrirebbero a qualcuno password WiFi che avevano un'alta probabilità di essere ancora valide presso le organizzazioni mediche negli Stati Uniti
“Diventa difficile definire restrizioni su ciò che può o non può essere venduto online. In che modo il mercato, ad esempio Ebay, potrebbe vigilare per identificare se i dispositivi sono stati o meno eliminati?" Heiland ha detto a Record Future News.
“In questo caso credo che la responsabilità sia di entrambe le parti. In primo luogo, i fornitori di tecnologie mediche integrate dovrebbero fornire un metodo semplice e ben documentato per eliminare i dispositivi prima della loro disattivazione e trasferimento. In secondo luogo, le organizzazioni mediche che sfruttano queste tecnologie dovrebbero implementare processi e procedure (dalla culla alla tomba) che garantiscano che i dispositivi vengano adeguatamente eliminati dai dati prima di essere smantellati, venduti o trasferiti a un’altra parte”.
Le pompe per infusione sono da tempo motivo di preoccupazione per gli esperti e i fornitori di sicurezza informatica che hanno trascorso più di un decennio cercando di migliorare la propria sicurezza. L’FBI aveva avvertito a settembre che le vulnerabilità dei dispositivi stavano lasciando una porta aperta agli attacchi informatici.
Shawn Surber, direttore senior e stratega sanitario presso la società di sicurezza informatica Tanium, ha affermato che le istituzioni sanitarie “dovrebbero essere altrettanto disciplinate nello smaltimento dei dispositivi quanto lo sono con i materiali biologici”.
“Scenari come questo sono fin troppo comuni, poiché le pompe mediche e altri dispositivi periferici vengono spesso trascurati come vettore di attacco”, ha affermato. “L’esposizione delle credenziali e delle chiavi della rete wireless interna potrebbe facilmente portare un utente malintenzionato ad ottenere l’accesso interno a una rete e a sfruttare altri dispositivi vulnerabili su quella rete. Da lì, l’aggressore potrebbe facilmente distribuire malware o ransomware o raccogliere ed esfiltrare silenziosamente informazioni sanitarie personali [PHI]”.
Un attacco di questo tipo richiederebbe una stretta vicinanza fisica a un bersaglio ma, ha affermato Surber, potrebbe essere particolarmente dannoso “poiché l’aggressore sarebbe in grado di esfiltrare PHI sul proprio dispositivo, piuttosto che inviare attraverso altri meccanismi che hanno maggiori probabilità di essere catturati”. dalle soluzioni di sicurezza della rete.”
Molti dei produttori di pompe per infusione menzionati nel rapporto di Rapid7 non hanno risposto alle richieste di commento.
Un portavoce di Becton, Dickinson and Company - la società dietro il marchio di pompe per infusione Alaris - ha affermato che i dati presenti su BD Alaris Systems sono "protetti dai controlli presenti all'interno del sistema e dall'adesione alle migliori pratiche di sicurezza del settore relative al controllo degli accessi, all'identificazione e all'autorizzazione". , la sicurezza del personale e la protezione fisica dei beni”.
I problemi documentati nel rapporto "sono stati precedentemente condivisi con i clienti BD e sono stati risolti o mitigati attraverso controlli compensativi nell'ultimo sistema di infusione BD Alaris", ha affermato il portavoce.
“I dati latenti sui dispositivi medici esistenti che non sono stati adeguatamente smantellati sono un problema noto in tutto il settore. BD ha pubblicato un bollettino sulla sicurezza del prodotto sui dati residui del sistema BD Alaris nel 2016 per attirare l'attenzione su questo problema e fornire ai clienti raccomandazioni per la salvaguardia dei dati dei pazienti."