(Los acentos fueron
obviados por cuestiones tecnicas)
Los investigadores Billy Rios y Terry McCorkle de Cylance han reportado una
vulnerabilidad en la contraseña codificada que afecta alrededor de 300
dispositivos medicos a traves de aproximadamente 40 vendedores diferentes. Segun
su informe, la vulnerabilidad podria ser explotada para cambiar potencialmente
la configuracion critica y modificar el firmware del dispositivo.
Alert (ICS-ALERT-13-164-01)
Debido a la situacion critica y unica que los dispositivos medicos ocupan, ICS-CERT
ha estado trabajando en estrecha colaboracion con la Administracion de Alimentos
y Medicamentos (FDA) para abordar estas cuestiones. ICS-CERT y la FDA ha
notificado a los fabricantes afectados del informe y han pedido a los
proveedores que profundicen para confirmar la vulnerabilidad e identificar
medidas de mitigacion especificas. ICS-CERT emitio esta alerta de aviso temprano
con la intencion de identificar medidas de mitigacion de referencia para la
reduccion de riesgos a estos y otros ataques de ciberseguridad. ICS-CERT y la
FDA daran seguimiento con asesorias especificas.
Los dispositivos afectados tienen contraseñas incluidas en el codigo que se
puede utilizar para permitir el acceso privilegiado, tales como contraseñas que
normalmente se utilizan solo por un tecnico de servicio. En algunos casos, este
acceso podria permitir ajustes criticos y modificaciones en el firmware.
Los dispositivos afectados son fabricados por una amplia gama de proveedores y
son de las siguientes categorias:
·
Dispositivos quirurgicos y de anestesia,
·
Ventiladores,
·
Bombas de infusion de drogas,
·
Desfibriladores externos,
·
Los monitores de pacientes, y
·
Equipos de laboratorio y analisis.
ICS-CERT y la FDA son conscientes de que esta vulnerabilidad ha sido explotada,
y entienden los peligros a los que se exponen los pacientes.
MITIGACION
ICS-CERT coordina en la actualidad con varios proveedores, la FDA, y los
investigadores de seguridad para identificar medidas de mitigacion especificas a
traves de todos los dispositivos. En el interin, ICS-CERT recomienda a los
fabricantes de dispositivos, centros de salud y los usuarios de estos
dispositivos que tomen medidas preventivas para minimizar el riesgo de
explotacion de esta y otras vulnerabilidades. La FDA ha publicado las
recomendaciones y mejores practicas para ayudar a prevenir el acceso no
autorizado o modificaciones a los productos sanitarios.
Tomar medidas para limitar el acceso no autorizado al dispositivo, sobre todo
para aquellos que son de soporte vital o podrian estar directamente conectados a
redes hospitalarias.
Controles de seguridad apropiados pueden incluir: la autenticacion de usuario,
por ejemplo, ID de usuario y contraseña, tarjeta inteligente o biometricos y
limitar el acceso publico a las contraseñas utilizadas para acceder al
dispositivo tecnico; bloqueos fisicos y de lectores de tarjetas.
Estas estrategias deben incluir la implementacion oportuna de rutina, los
parches de seguridad validados y metodos para restringir las actualizaciones de
codigo autenticado. Nota: La FDA normalmente no revisa o aprueba los cambios de
software de dispositivos medicos fabricados exclusivamente para fortalecer la
seguridad cibernetica.
Usar enfoques de diseño que mantienen la funcionalidad critica de un
dispositivo, aun cuando la seguridad se ha visto comprometida, conocidos como
“los modos a prueba de fallos".
Proporcionar metodos para la retencion y recuperacion despues de un incidente en
el que la seguridad se ha visto comprometida. Incidentes de seguridad
cibernetica son cada vez mas comunes y los fabricantes deben tener en cuenta los
planes de respuesta a incidentes que abordan la posibilidad de funcionamiento
degradado y la restauracion y la recuperacion eficiente.
Para los centros de salud: La FDA recomienda que se tomen medidas para evaluar
la seguridad de su red y proteger su sistema hospitalario. En la evaluacion de
seguridad de la red, los hospitales y centros de salud deben tener en cuenta:
·
La restriccion del acceso no autorizado a la red y los dispositivos medicos
conectados.
·
Asegurarse de que el antivirus y cortafuegos estan actualizados.
·
Controlar la actividad de la red, evitando su uso no autorizado.
· La proteccion de los componentes individuales de la red mediante la evaluacion
rutinaria y periodica, incluyendo la actualizacion de parches de seguridad y
deshabilitar todos los puertos y servicios innecesarios.
Ponerse en contacto con el fabricante del dispositivo especifico, si usted cree
que puede tener un problema de seguridad cibernetica relacionada con un
dispositivo medico. Si usted es incapaz de determinar el fabricante o no puede
comunicarse con el fabricante, la FDA y el DHS ICS-CERT pueden ayudarlo en la
presentacion de informes y resolucion de vulnerabilidad.
ICS-CERT recuerda a los centros de salud que deben llevar a cabo analisis de
impacto adecuado y evaluaciones de riesgos antes de tomar medidas defensivas y
protectoras.
ICS-CERT tambien proporciona una seccion de practicas recomendadas para los
sistemas de control en el sitio web del US-CERT. Varias practicas recomendadas
estan disponibles para la lectura o descarga, incluyendo la mejora de los
sistemas de control industrial. Aunque los dispositivos medicos que no son
sistemas de control industrial, muchas de las recomendaciones de estos
documentos son aplicables.
Las organizaciones que observen cualquier sospecha de actividad maliciosa deben
seguir los procedimientos internos establecidos y reportar sus hallazgos a ICS-CERT
y la FDA para el seguimiento y la correlacion con otros incidentes.
La FDA tambien ha anunciado un servicio de comunicaciones de seguridad que pone
de relieve los puntos señalados en esta alerta.
Fuente: Blog Bacchuss.
No hay comentarios.:
Publicar un comentario