Português
English
Français
Deutsch
Español
Italiano
日本語
한국어
Русский
Dispositivos médicos descartados contêm inúmeras informações sobre instalações de saúde
Descobriu-se que as bombas de infusão vendidas em mercados secundários como o eBay ainda carregam uma grande quantidade de informações confidenciais sobre os hospitais que as possuíam, descobriram os pesquisadores.
O principal pesquisador de segurança da Rapid7, Deral Heiland, e vários outros examinaram 13 marcas de dispositivos de bombas de infusão, como Alaris, Baxter e Hospira, encontrando credenciais de acesso e dados de autenticação de seus proprietários anteriores. As máquinas são dispositivos cruciais que ficam próximos aos leitos hospitalares e transmitem fluidos, medicamentos ou nutrientes ao sistema circulatório do paciente.
O exame esclarece um problema persistente no campo dos dispositivos médicos: os dados críticos armazenados deixados nos dispositivos das bombas de infusão que não são devidamente eliminados antes da retirada da aquisição. Os dispositivos são frequentemente vendidos em mercados secundários quando os hospitais os atualizam ou os substituem por modelos mais novos.
Oito dos 13 dispositivos examinados continham informações confidenciais – o que Heiland disse ser uma evidência de que alguns dados haviam sido devidamente eliminados antes de serem vendidos em sites como o eBay.
As informações deixadas na maioria dos dispositivos ofereceriam a alguém senhas de WiFi com alta probabilidade de ainda serem válidas em organizações médicas nos EUA.
“Definir restrições sobre o que pode ou não ser vendido online torna-se difícil. Como o mercado – Ebay, por exemplo – policiaria isso para identificar se os dispositivos foram ou não eliminados?” Heiland disse ao Recorded Future News.
“Neste caso, acredito que a responsabilidade é de ambas as partes. Primeiro, os fornecedores de tecnologia médica incorporada devem fornecer um método simples e bem documentado para purgar os dispositivos antes do seu descomissionamento e transferência. Em segundo lugar, as organizações médicas que aproveitam estas tecnologias devem implementar processos e procedimentos (do berço ao túmulo) que garantam que os dados dos dispositivos sejam devidamente eliminados antes de serem desativados e vendidos ou transferidos para outra parte.”
As bombas de infusão têm sido uma fonte de preocupação para especialistas e fornecedores de segurança cibernética que passaram mais de uma década tentando melhorar sua segurança. O FBI alertou em setembro que as vulnerabilidades nos dispositivos estão deixando uma porta aberta para ataques cibernéticos.
Shawn Surber, diretor sênior e estrategista de saúde da empresa de segurança cibernética Tanium, disse que as instituições de saúde “deveriam ser tão disciplinadas no descarte de dispositivos quanto são com materiais biológicos”.
“Cenários como este são muito comuns, já que bombas médicas e outros dispositivos periféricos são frequentemente ignorados como vetores de ataque”, disse ele. “A exposição de credenciais e chaves de redes sem fio internas pode facilmente levar um invasor a obter acesso interno a uma rede e a explorar outros dispositivos vulneráveis nessa rede. A partir daí, o invasor pode facilmente distribuir malware ou ransomware, ou coletar e exfiltrar silenciosamente informações pessoais de saúde [PHI].”
Um ataque deste tipo exigiria proximidade física de um alvo, mas, disse Surber, poderia ser particularmente prejudicial “já que o invasor seria capaz de exfiltrar PHI em seu próprio dispositivo, em vez de enviar através de outros mecanismos que têm maior probabilidade de serem capturados”. por soluções de segurança de rede.”
Vários fabricantes de bombas de infusão mencionados no relatório da Rapid7 não responderam aos pedidos de comentários.
Um porta-voz da Becton, Dickinson and Company – a empresa por trás da marca de bombas de infusão Alaris – disse que os dados presentes nos Sistemas BD Alaris são “protegidos por controles presentes no sistema e pela adesão às melhores práticas de segurança da indústria em relação ao controle de acesso, identificação e autorização , segurança do pessoal e proteção física dos ativos.”
Os problemas documentados no relatório “foram previamente compartilhados com os clientes da BD e são remediados ou mitigados por meio de controles de compensação no mais recente sistema de infusão BD Alaris”, disse o porta-voz.
“Dados latentes sobre dispositivos médicos legados que não foram devidamente desativados são um problema conhecido em toda a indústria. A BD emitiu um boletim de segurança do produto sobre os dados residuais do Sistema BD Alaris em 2016 para chamar a atenção para este problema e fornecer aos clientes recomendações para proteger os dados dos pacientes.”