Abbott: il nuovo aggiornamento del firmware del pacemaker risolve le vulnerabilità
(Tech Xplore) per quanto riguarda le vulnerabilità della sicurezza informatica identificate nei pacemaker cardiaci impiantabili di Abbott (ex St. Jude Medical), la Food and Drug Administration statunitense ha pubblicato un aggiornamento del firmware datato 29 agosto.
Il suo pubblico previsto è stato esplicitato. Sono pazienti con pacemaker impiantabile St. Jude Medical abilitato alla radiofrequenza (RF); operatori sanitari pertinenti di pazienti con pacemaker cardiaci impiantabili St. Jude Medical abilitati alla radiofrequenza; e cardiologi, elettrofisiologi, chirurghi cardiotoracici e medici di base che hanno pazienti con insufficienza cardiaca o problemi del ritmo cardiaco che utilizzano pacemaker cardiaci impiantabili St. Jude Medical abilitati a RF.
Il sito di St. Jude Medical ha anche affrontato un “Aggiornamento sulla sicurezza informatica” il 29 agosto:
“Abbott ha rilasciato un aggiornamento per i suoi pacemaker impiantabili come parte del suo impegno costante per migliorare continuamente l’assistenza ai pazienti. Questo aggiornamento pianificato del firmware del pacemaker (una specie di software) aggiunge ulteriori protezioni di sicurezza progettate per ridurre il rischio di accesso non autorizzato ai pacemaker dei pazienti. “
Un comunicato stampa del 29 agosto di Abbott affermava: “L’aggiornamento contiene una versione software che include crittografia dei dati, patch del sistema operativo e la possibilità di disabilitare le funzionalità di connettività di rete, oltre all’aggiornamento del firmware”.
Il comunicato stampa di Abbott elencava anche i prodotti.
Il sito di St. Jude Medical ha fornito un collegamento alle domande frequenti sulla guida per il paziente.
I dispositivi 攊 impiantati sotto la pelle con fili (“derivazioni”) che entrano nel cuore sono progettati per fornire stimolazione per ritmi cardiaci lenti o irregolari.
L’aggiornamento della FDA affermava che “Questa comunicazione NON si applica a nessun defibrillatore cardiaco impiantabile (ICD) o agli ICD a risincronizzazione cardiaca (CRT-D).”
La FDA ha spiegato: “Il 23 agosto 2017, la FDA ha approvato un aggiornamento del firmware che è ora disponibile ed è inteso come un richiamo, in particolare un’azione correttiva, per ridurre il rischio di danni ai pazienti a causa del potenziale sfruttamento delle vulnerabilità della sicurezza informatica per alcuni Abbott pacemaker (ex St. Jude Medical).”
Nel frattempo, anche il sito Web ufficiale del Dipartimento per la sicurezza interna ha emesso un avviso del 29 agosto, in cui affermava “Una società di ricerca sulla sicurezza di terze parti ha verificato che la nuova versione del firmware mitiga le vulnerabilità identificate”.
Nella descrizione delle vulnerabilità, l’avviso del DHS afferma che potrebbero essere sfruttate tramite una rete adiacente. “L’exploitability dipende dal fatto che un utente malintenzionato sia sufficientemente vicino al pacemaker bersaglio da consentire comunicazioni RF”.
L’aggiornamento del firmware è diventato disponibile a partire dal 29 agosto, quindi tutti i pacemaker prodotti a partire dal 28 agosto avranno già l’aggiornamento precaricato nel dispositivo, che a sua volta non richiede l’aggiornamento.
“Un firmware è fondamentalmente un software per un hardware e l’aggiornamento dovrebbe essere una soluzione più semplice per i pazienti rispetto a un intervento chirurgico per un nuovo dispositivo a prova di hacker”, ha affermato Natt Garun in Il confine.
Come notato da un rapporto della BBC, il vantaggio di consentire ai pacemaker di inviare e ricevere dati in modalità wireless è che i pazienti possono associarli a un trasmettitore domestico a casa monitorando i dispositivi mentre i pazienti dormono, avvisandoli potenzialmente di problemi medici.
L’aggiornamento del firmware richiede una visita del paziente di persona con un operatore sanitario, ha affermato la FDA; non può essere fatto da casa tramite Merlin.net. L’avviso del DHS ha anche rilevato che l’aggiornamento del firmware può essere applicato a un pacemaker impiantato tramite il programmatore Merlin PCS da un operatore sanitario.
L’aggiornamento del firmware FDA diceva che “Dopo aver installato questo aggiornamento, qualsiasi dispositivo che tenti di comunicare con il pacemaker impiantato deve fornire l’autorizzazione a farlo. Il programmatore Merlin e [email protected] Il trasmettitore fornirà tale autorizzazione.”
Inoltre, l’aggiornamento del firmware della FDA ha raccomandato ai pazienti e agli operatori sanitari di discutere i rischi e i benefici delle vulnerabilità della sicurezza informatica, nonché questo aggiornamento per affrontare le vulnerabilità, alla prossima visita regolarmente programmata.
Sia la FDA che la Abbott non hanno raccomandato la rimozione profilattica e la sostituzione dei dispositivi interessati.
L’aggiornamento prevede un processo che richiede circa 3 minuti per il completamento con il dispositivo che funziona in modalità backup. Le funzioni di sostegno vitale rimangono disponibili. Al termine, il dispositivo torna alle impostazioni di pre-aggiornamento.
Dalla comunicazione sull’aggiornamento del firmware della FDA: “St. Jude Medical ha sviluppato e convalidato questo aggiornamento del firmware come azione correttiva (richiamo) per tutti i suoi dispositivi pacemaker abilitati alla radiofrequenza, inclusi i pacemaker con risincronizzazione cardiaca. La FDA ha approvato il firmware di St. Jude Medical aggiornamento per garantire che affronti queste vulnerabilità della sicurezza informatica e riduca il rischio di sfruttamento e conseguente danno ai pazienti”.
Abbott il 29 agosto ha affermato di aver “notificato ai medici gli aggiornamenti sui suoi pacemaker e defibrillatori impiantabili come parte del suo impegno continuo per migliorare continuamente l’assistenza ai pazienti”.
