Een populaire medische monitor is het nieuwste apparaat dat in China wordt geproduceerd om controle te krijgen op zijn potentiële cyberrisico’s. Het is echter niet het enige gezondheidsapparaat waar we ons zorgen over moeten maken. Experts zeggen dat de proliferatie van Chinese gezondheidszorgapparaten in het Amerikaanse medische systeem een reden tot bezorgdheid is over het hele ecosysteem.
De Contec CMS8000 is een populaire medische monitor die de vitale tekenen van een patiënt volgt. Het apparaat volgt elektrocardiogrammen, hartslag, bloedzuurstofverzadiging, niet-invasieve bloeddruk, temperatuur en ademhalingssnelheid. In de afgelopen maanden, de FDA en de Cybersecurity and Infrastructure Security Agency (CISA) beide gewaarschuwd voor een “achterdeur” In het apparaat kan een “eenvoudig te exploiteren kwetsbaarheid waarmee een slechte acteur de configuratie kan wijzigen.”
Het onderzoeksteam van CISA beschreef “abnormaal netwerkverkeer” en de achterdeur “waardoor het apparaat niet-geverifieerde externe bestanden kan downloaden en uitvoeren” naar een IP-adres dat niet is geassocieerd met een fabrikant of medische faciliteit voor medische hulpmiddelen, maar een universiteit van derden-“zeer ongebruikelijke kenmerken” die ingaan tegen algemeen geaccepteerde praktijken, “vooral voor medische hulpmiddelen.”
“Wanneer de functie wordt uitgevoerd, worden bestanden op het apparaat gedwongen overschreven, waardoor de eindklant – zoals een ziekenhuis – van het handhaven van het bewustzijn van wat software op het apparaat wordt uitgevoerd,” CISA schreef.
De waarschuwingen zeggen dat een dergelijke configuratiewijziging zou kunnen leiden tot bijvoorbeeld de monitor die zegt dat de nieren van een patiënt niet goed werken of ademen falen, en dat kan ertoe leiden dat medisch personeel onnodige remedies toepaste remedies die schadelijk kunnen zijn.
De kwetsbaarheid van de ContEC verbaast niet medisch en IT -experts die jarenlang hebben gewaarschuwd dat de beveiliging van medische hulpmiddelen te laks is.
Ziekenhuizen maken zich zorgen over cyberrisico’s
“Dit is een enorme kloof die op het punt staat te ontploffen”, zegt Christopher Kaufman, een zakelijke professor aan de Westcliff University in Irvine, Californië, die gespecialiseerd is in IT- en verstorende technologieën, met name verwijzend naar de veiligheidskloof op veel medische hulpmiddelen.
De American Hospital Association, die meer dan 5.000 ziekenhuizen en klinieken in de VS vertegenwoordigt, is het daarmee eens. Het beschouwt de proliferatie van Chinese medische hulpmiddelen als een ernstige bedreiging voor het systeem.
Wat betreft de ContEC -monitors specifiek, de AHA zegt dat het probleem dringend moet worden aangepakt.
“We moeten dit bovenaan de lijst stellen voor het potentieel voor schade aan de patiënt; we moeten patchen voordat ze hacken”, zegt John Riggi, nationale adviseur voor cybersecurity en risico voor de American Hospital Association. Riggi diende ook in FBI terrorismebestrijdingsrollen voordat hij bij de AHA kwam.
CISA meldt dat er geen softwarepatch beschikbaar is om dit risico te verminderen, maar in haar advies zei dat de overheid momenteel samenwerkt met Contec.
Contec, met hoofdkantoor in Qinhuangdao, China, heeft geen verzoek om commentaar teruggestuurd.
Een van de problemen is dat het onbekend is hoeveel monitoren er in de VS zijn
“We weten het niet vanwege de enorme hoeveelheid apparatuur in ziekenhuizen. We speculeren dat er conservatief duizenden van deze monitoren zijn; dit is een zeer kritieke kwetsbaarheid,” zei Riggi, eraan toevoegend dat Chinese toegang tot de apparaten strategisch kan vormen, Technische en supply chain -risico’s.
Op de korte termijn adviseerde de FDA medische systemen en patiënten om ervoor te zorgen dat de apparaten alleen lokaal draaien of om een externe monitoring uit te schakelen; Of als monitoring op afstand de enige optie is, om te stoppen met het gebruik van het apparaat als een alternatief beschikbaar is. De FDA zei dat het tot op heden niet op de hoogte is van cybersecurity -incidenten, verwondingen of sterfgevallen met betrekking tot de kwetsbaarheid.
De American Hospital Association heeft haar leden ook verteld dat tot een patch beschikbaar is, ziekenhuizen ervoor moeten zorgen dat de monitor geen toegang meer heeft tot internet en wordt gesegmenteerd vanuit de rest van het netwerk.
Riggi zei dat terwijl de ContEC -monitors een goed voorbeeld zijn van wat we niet vaak beschouwen bij het risico op de gezondheidszorg, het zich uitstrekt tot een reeks in het buitenland geproduceerde medische apparatuur. Us-ziekenhuizen met contant geld vastgelopen, legde hij uit, vaak medische apparaten uit China kopen, een land met een geschiedenis van het installeren van destructieve malware in kritieke infrastructuur in de Amerikaanse goedkope apparatuur koopt de Chinese potentiële toegang tot een reeks Amerikaanse medische informatie die kan zijn die kan zijn hergebruikt en geaggregeerd voor allerlei doeleinden. Riggs zegt dat gegevens vaak naar China worden verzonden met het vermelde doel om de prestaties van een apparaat te bewaken, maar er is weinig anders bekend over wat er met de gegevens overkomt.
Riggi zegt dat individuen niet zoveel in het acuut medisch risico staan als de informatie die wordt verzameld en geaggregeerd voor het herbestemmen en het grotere medische systeem in gevaar brengen. Toch wijst hij erop dat, althans theoretisch, niet kan worden uitgesloten dat prominente Amerikanen met medische hulpmiddelen het doelwit kunnen zijn voor verstoring.
“Als we met ziekenhuizen praten, zijn CEO’s verrast, ze hadden geen idee over de gevaren van deze apparaten, dus we helpen hen te begrijpen. De vraag voor de overheid is hoe de binnenlandse productie te stimuleren, weg van het buitenland,” zei Riggi.
Chinese gegevensverzameling bij Amerikanen
De ContEC-waarschuwing is vergelijkbaar op algemeen niveau met Tiktok, Deepseek, TP-Link-routers en andere apparaten en technologie uit China waarvan de Amerikaanse regering zegt dat het gegevens over Amerikanen verzamelt. “En dat is alles wat ik moet horen bij het beslissen of ik medische apparaten uit China moet kopen,” zei Riggi.
Aras Nazarovas, onderzoeker van informatiebeveiliging bij CyberNews, is het ermee eens dat de CISA -dreiging ernstige problemen oproept die moeten worden aangepakt.
“We hebben veel te vrezen,” zei Nazarovas. Medische hulpmiddelen, zoals de Contec CMS8000, hebben vaak toegang tot zeer gevoelige patiëntgegevens en zijn direct verbonden met levensreddende functies. Nazarovas zegt dat wanneer de apparaten slecht worden verdedigd, ze een gemakkelijke prooi worden voor hackers die de weergegeven gegevens kunnen manipuleren, vitale instellingen kunnen wijzigen of het apparaat volledig kunnen uitschakelen.
“In sommige gevallen zijn deze apparaten zo slecht beschermd dat aanvallers externe toegang kunnen krijgen en veranderen hoe het apparaat werkt zonder het ziekenhuis of de patiënten die ooit weten,” zei Nazarovas.
De gevolgen van de kwetsbaarheid en kwetsbaarheden van ContEC in een scala aan door Chinees gemaakte medische hulpmiddelen kunnen gemakkelijk levensbedreigend zijn.
“Stel je voor dat een patiëntmonitor stopt met het waarschuwen van artsen voor een daling van de hartslag van een patiënt of onjuiste metingen verzendt, wat leidt tot een vertraagde of verkeerde diagnose,” zei Nazarovas. In het geval van de Contec CMS8000 en EPSIMED MN-120 (een andere merknaam voor dezelfde technologie), waarschuwing van de overheid, werden deze apparaten geconfigureerd om externe code-uitvoering door de externe server mogelijk te maken.
“Deze functionaliteit kan worden gebruikt als een toegangspunt in het netwerk van het ziekenhuis,” zei Nazarovas, wat leidt tot gevaar van de patiënt.
Meer ziekenhuizen en klinieken letten op. Bartlett Regional Hospital in Juneau, Alaska, gebruikt de ContEC -monitors niet, maar is altijd op zoek naar risico’s. “Regelmatige monitoring is van cruciaal belang omdat het risico op cybersecurity -aanvallen op ziekenhuizen blijft toenemen”, zegt Erin Hardin, een woordvoerster van Bartlett.
Regelmatige monitoring is echter mogelijk niet voldoende zolang apparaten worden gemaakt met een slechte beveiliging.
Mogelijk maken van zaken erger, zegt Kaufman, is dat het ministerie van overheidsefficiëntie afdelingen uitholt die verantwoordelijk zijn voor het beschermen van dergelijke apparaten. Volgens de Associated Press, Veel van de recente ontslagen bij de FDA zijn werknemers die de veiligheid van medische hulpmiddelen beoordelen.
Kaufman betreurt het waarschijnlijke gebrek aan overheidstoezicht over wat al is, zegt hij, een losjes gereguleerde industrie. Een bureau voor verantwoording van de Amerikaanse overheid rapport Vanaf januari 2022 gaf aan dat 53% van de verbonden medische hulpmiddelen en andere Internet of Things -apparaten in ziekenhuizen kritische kwetsbaarheden had gekend. Hij zegt dat het probleem sindsdien alleen maar erger is geworden. “Ik weet niet zeker wat er aan deze agentschappen zal worden gerund,” zei Kaufman.
“Kwesties van medische hulpmiddelen zijn wijdverbreid en zijn nu al enige tijd bekend”, zegt Silas Cutler, hoofdbeveiligingsonderzoeker bij Medical Data Company Censys. “De realiteit is dat de consequenties verschrikkelijk kunnen zijn-en zelfs dodelijk. Hoewel spraakmakende individuen een verhoogd risico lopen, worden de meest getroffen ziekenhuissystemen zelf, met trapsgewijze effecten op dagelijkse patiënten.”
