martes, julio 16, 2013

Problemas de Ciberseguridad con Dispositivos Medicos.

(Los acentos fueron obviados por cuestiones tecnicas)
Los investigadores Billy Rios y Terry McCorkle de Cylance han reportado una vulnerabilidad en la contraseña codificada que afecta alrededor de 300 dispositivos medicos a traves de aproximadamente 40 vendedores diferentes. Segun su informe, la vulnerabilidad podria ser explotada para cambiar potencialmente la configuracion critica y modificar el firmware del dispositivo.
Alert (ICS-ALERT-13-164-01)
Debido a la situacion critica y unica que los dispositivos medicos ocupan, ICS-CERT ha estado trabajando en estrecha colaboracion con la Administracion de Alimentos y Medicamentos (FDA) para abordar estas cuestiones. ICS-CERT y la FDA ha notificado a los fabricantes afectados del informe y han pedido a los proveedores que profundicen para confirmar la vulnerabilidad e identificar medidas de mitigacion especificas. ICS-CERT emitio esta alerta de aviso temprano con la intencion de identificar medidas de mitigacion de referencia para la reduccion de riesgos a estos y otros ataques de ciberseguridad. ICS-CERT y la FDA daran seguimiento con asesorias especificas.
Los dispositivos afectados tienen contraseñas incluidas en el codigo que se puede utilizar para permitir el acceso privilegiado, tales como contraseñas que normalmente se utilizan solo por un tecnico de servicio. En algunos casos, este acceso podria permitir ajustes criticos y modificaciones en el firmware.
Los dispositivos afectados son fabricados por una amplia gama de proveedores y son de las siguientes categorias:
·          Dispositivos quirurgicos y de anestesia,
·          Ventiladores,
·          Bombas de infusion de drogas,
·          Desfibriladores externos,
·          Los monitores de pacientes, y
·          Equipos de laboratorio y analisis.
ICS-CERT y la FDA  son conscientes de que esta vulnerabilidad ha sido explotada, y entienden los peligros a los que se exponen los pacientes.
MITIGACION
ICS-CERT coordina en la actualidad con varios proveedores, la FDA, y los investigadores de seguridad para identificar medidas de mitigacion especificas a traves de todos los dispositivos. En el interin, ICS-CERT recomienda a los fabricantes de dispositivos, centros de salud y los usuarios de estos dispositivos que tomen medidas preventivas para minimizar el riesgo de explotacion de esta y otras vulnerabilidades. La FDA ha publicado las recomendaciones y mejores practicas para ayudar a prevenir el acceso no autorizado o modificaciones a los productos sanitarios.
Tomar medidas para limitar el acceso no autorizado al dispositivo, sobre todo para aquellos que son de soporte vital o podrian estar directamente conectados a redes hospitalarias.
Controles de seguridad apropiados pueden incluir: la autenticacion de usuario, por ejemplo, ID de usuario y contraseña, tarjeta inteligente o biometricos y limitar el acceso publico a las contraseñas utilizadas para acceder al dispositivo tecnico; bloqueos fisicos y de lectores de tarjetas.
Estas estrategias deben incluir la implementacion oportuna de rutina, los parches de seguridad validados y metodos para restringir las actualizaciones de codigo autenticado. Nota: La FDA normalmente no revisa o aprueba los cambios de software de dispositivos medicos fabricados exclusivamente para fortalecer la seguridad cibernetica.
Usar enfoques de diseño que mantienen la funcionalidad critica de un dispositivo, aun cuando la seguridad se ha visto comprometida, conocidos como “los modos a prueba de fallos".
Proporcionar metodos para la retencion y recuperacion despues de un incidente en el que la seguridad se ha visto comprometida. Incidentes de seguridad cibernetica son cada vez mas comunes y los fabricantes deben tener en cuenta los planes de respuesta a incidentes que abordan la posibilidad de funcionamiento degradado y la restauracion y la recuperacion eficiente.
Para los centros de salud: La FDA recomienda que se tomen medidas para evaluar la seguridad de su red y proteger su sistema hospitalario. En la evaluacion de seguridad de la red, los hospitales y centros de salud deben tener en cuenta:
·          La restriccion del acceso no autorizado a la red y los dispositivos medicos conectados.
·          Asegurarse de que el antivirus y cortafuegos estan actualizados.
·          Controlar la actividad de la red, evitando su uso no autorizado.
·     La proteccion de los componentes individuales de la red mediante la evaluacion rutinaria y periodica, incluyendo la actualizacion de parches de seguridad y deshabilitar todos los puertos y servicios innecesarios.
Ponerse en contacto con el fabricante del dispositivo especifico, si usted cree que puede tener un problema de seguridad cibernetica relacionada con un dispositivo medico. Si usted es incapaz de determinar el fabricante o no puede comunicarse con el fabricante, la FDA y el DHS ICS-CERT pueden ayudarlo en la presentacion de informes y resolucion de vulnerabilidad.
ICS-CERT recuerda a los centros de salud que deben llevar a cabo analisis de impacto adecuado y evaluaciones de riesgos antes de tomar medidas defensivas y protectoras.
ICS-CERT tambien proporciona una seccion de practicas recomendadas para los sistemas de control en el sitio web del US-CERT. Varias practicas recomendadas estan disponibles para la lectura o descarga, incluyendo la mejora de los sistemas de control industrial. Aunque los dispositivos medicos que no son sistemas de control industrial, muchas de las recomendaciones de estos documentos son aplicables.
Las organizaciones que observen cualquier sospecha de actividad maliciosa deben seguir los procedimientos internos establecidos y reportar sus hallazgos a ICS-CERT y la FDA para el seguimiento y la correlacion con otros incidentes.
La FDA tambien ha anunciado un servicio de comunicaciones de seguridad que pone de relieve los puntos señalados en esta alerta.

Fuente: Blog Bacchuss.

No hay comentarios.: