Pompy infuzyjne Sigma Spectrum z lukami bezpieczeństwa

Pompy infuzyjne Sigma Spectrum oraz akumulatorach Sigma Wi-Fi posiadają cztery luki w zabezpieczeniach – poinformowała organizacja Rapid7 zajmująca się cyberbezpieczeństwem. Wspomniany sprzęt produkcji firmy Baxter jest szeroko stosowany w szpitalach w USA i innych krajach, w tym także w Polsce. Wykorzystanie luk przebadanych przez Rapid7 mogłoby skutkować dostępem do poufnych danych przechowywanych na urządzeniu, a nawet zmianą konfiguracji systemu. Badanie wykazało, że nie mniej niż 75% pomp posiada takie błędy.

Luki w zabezpieczeniach pomp infuzyjnych

Wykryte uchybienia związane są w głównej mierze z bezpiecznym wycofywaniem z użytku modułów akumulatorowych. Urządzenia medyczne tego typu zazwyczaj posiadają zapisane dane uwierzytelniające sieci WiFi, do której były podłączone. Dane takie przed wycofaniem urządzenia z użytku powinny być najpierw usunięte. Jednak jak możemy się dowiedzieć, reset pompy do ustawień fabrycznych wcale ich ostatecznie nie usuwa. W przypadku sprzedaży baterii na rynku wtórnym dane uwierzytelniające mogą z łatwością przejść w ręce niepowołanych osób.

Deral Heiland – specjalista ds. urządzeń IoT zauważył, że posiadanie dostępu sieciowego do pompy umożliwiłoby przeprowadzenie ataku typu „man in the middle”. Atak taki charakteryzuje się podsłuchiwaniem wymiany danych między stronami komunikacji i modyfikacją jej, podszywając się pod jedną ze stron. Tak więc mogłoby to spowodować uniemożliwienie prawidłowego działania pompy, a w konsekwencji błędy w dawkowaniu pompowanych leków.

Luka nie została oceniona jako krytyczna, jednakże firma Baxter potraktowała ostrzeżenia poważnie i opracowała środki zapobiegawcze. Zaktualizowane zostały zabezpieczenia stosowane w tego typu sprzęcie, co pozwoliło wyeliminować lukę, która mogła prowadzić do wycieku danych uwierzytelniających. Uaktualnione zostały także instrukcje dla użytkowników dotyczące usuwania danych z urządzenia przed wycofaniem z eksploatacji. Producent poinformował także, że jesienią zostanie wydana aktualizacja dla platform pomp Spectrum i modułów akumulatorowych, która powinna wyeliminować pozostałe luki. 

Podsumowanie

Pompy infuzyjne i ich podatność na ataki hakerów od dawna znajdują się pod lupą ekspertów ds. cyberbezpieczeństwa. W marcu br. analitycy Palo Alto Networks odkryli podatność ponad 100 tysięcy pomp na dwie znane od 2019 r. luki. Amerykańska Agencja ds. Żywności i Leków (FDA) w 2021 r. siedmiokrotnie ogłosiła wycofanie pomp infuzyjnych lub ich komponentów. W 2020 r. miało to miejsce dziewięciokrotnie.

Koncern B.Braun w zeszłym roku (2021) również był zmuszony zaktualizować kilka partii wadliwych pomp dożylnych. Było to konsekwencją odkrycia przez badaczy z McAfee luk umożliwiających atakującym zmianę dawki podawanego leku.