2019年 10月 17日

Recommandations de la FDA étasunienne pour atténuer les vulnérabilités "URGENT/11" de cybersécurité des dispositifs médicaux

À la suite de l'identification récente de cyber-vulnérabilités dans des logiciels tiers utilisés par certains dispositifs médicaux pour les communications réseau, la Food and Drug Administration des États-Unis a émis plusieurs recommandations aux fabricants, aux fournisseurs de soins de santé et aux patients pour gérer et atténuer les risques découlant de ces vulnérabilités.

L'ensemble “URGENT/11” de 11 vulnérabilités concerne IPnet, un composant logiciel de communication tiers que l'on trouve dans divers types de dispositifs médicaux, et pourrait permettre à des tiers de commander des dispositifs et de modifier leurs fonctions ou de les désactiver, selon une communication de sécurité de la FDA.

Systèmes d'exploitation potentiellement affectés par URGENT/11

La FDA énumère plusieurs systèmes d'exploitation intégrant le logiciel IPnet dans au moins certaines versions, dont VxWorks de Wind River, le système embarqué d'ENEA, ThreadX de Microsoft et INTEGRITY de Green Hills.

La FDA note que certains fabricants de dispositifs ont déjà identifié des produits affectés par ces vulnérabilités et que les dispositifs affectés jusqu'à présent comprennent une pompe à perfusion, un système d'imagerie et un dispositif d'anesthésie ; la FDA prévoit que davantage de dispositifs seront affectés par les vulnérabilités URGENT/11.

Les recommandations FDA pour limiter les risques en cybersécurité

Pour les fabricants dont les dispositifs ont été ou ont pu être affectés, la FDA recommande des mesures d'atténuation des risques telles que :

  • Réalisation d'une évaluation des risques basée sur les directives FDA après la mise sur le marché en matière de cybersécurité :
  • Coordination avec les fournisseurs de systèmes d'exploitation pour déterminer si les correctifs sont disponibles et adéquats pour atténuer les cyber-risques URGENT/11 ;
  • Préparer des mises à jour des dispositifs qui incorporeront des systèmes d'exploitation non affectés par les vulnérabilités URGENT/11 ;
  • Coordonner les efforts avec les établissements de soins de santé afin d'identifier tout dispositif ou système utilisé et de mettre en œuvre des mesures d'atténuation des risques appropriées.

Tout dispositif identifié comme vulnérable aux menaces liées à URGENT/11 doit être signalé à la Cybersecurity and Infrastructure Security Agency du Département de la sécurité intérieure des États-Unis.

Emergo by UL fournira d'autres rapports sur les questions de cybersécurité URGENT/11 et les questions connexes liées à la cybersécurité des dispositifs médicaux à mesure que de nouvelles informations seront disponibles.

Autres ressources pour la cybersécurité des DM et la FDA des États-Unis :

  • Assistance à la cyber-règlementation pour les entreprises du Dispositif Médical
  • Assistance sûre de la gestion du cycle de vie des dispositifs médicaux
  • Conseil en procédures organisationnelles pour la cybersécurité des dispositifs médicaux

 

作者

  • Stewart Eisenhart

Related

Related Posts: 
FDA Adds UL 2900 for Medical Device Cybersecurity to List of Recognized Standards
US FDA recognizes AAMI/UL 2800 standard for medical device interoperability
US FDA Cybersecurity Requirements for Medical Devices

对Emergo能够为您提供什么服务有疑问?

联系我们