2023年6月30日,美国网络安全和基础设施安全局(CISA)对美敦力(Medtronic)(纽约证券交易所代码:MDT)心脏设备数据工作流系统发出警告。
美敦力 Paceart Optima 系统存在技术漏洞
美敦力 (Medtronic) 的 Paceart Optima 心脏设备数据工作流系统存在技术漏洞,可能导致黑客入侵后访问该系统中存储的心脏设备数据。
心脏设备数据工作流系统是一个用于处理和管理心脏设备数据的工作流系统。该系统可以收集、存储和分析心脏设备产生的数据,如心脏起搏器、除颤器等。它可以帮助医生和医疗团队更好地监测和管理患者的心脏状况,以提供更准确的个性化治疗方案。
医疗服务提供者常将这项技术用作唯一的工具,来收集那些使用心脏设备的患者的健康数据。这一设备可接收来自植入器械、程序编制器和远程监控设备的传输数据,也包括在诊所和患者家中收集的数据。美敦力及其竞争对手如波士顿科学(Boston Scientific)和雅培(Abbott)等公司都制造这款设备。
▲图片源自公司官网(下同)
美敦力的 Paceart 系统在收集完所有信息后,还可以与医院现有的电子健康记录系统集成。
根据美敦力周四发布的安全公告,这一网络安全缺陷与 Paceart Optima 技术内置的可选消息传递功能有关,但在系统的默认配置中不会自动激活。
如果医疗服务提供者选择启用该功能,黑客或许可以利用其来访问系统中存储的数据,并修改、删除或窃取信息。此外,美敦力公司称,由于 Paceart 系统托管在医院的 Windows 服务器上,不法分子也可能利用该漏洞作为“进一步网络渗透”的途径。
该设备的制造商在例行监控过程中发现了这一漏洞,并将其报告给联邦网络安全和基础设施安全局(CISA)。CISA 在通用漏洞评分系统 (CVSS) 上给该漏洞评分为9.8,评分范围为1-10分。据CISA称,黑客可以远程利用这一漏洞,甚至无需直接访问医院的网络。
到目前为止,美敦力表示,尚未收到任何与网络安全缺陷相关的网络攻击、患者伤害或未经授权访问、丢失患者数据的报告。
美敦力已经更新了 Paceart Optima 系统的软件,通过删除消息服务功能来解决系统中的漏洞。所有使用1.11 版及更早版本系统的医疗服务提供者,应联系美敦力安排更新1.12版软件,以克服这一漏洞。
与此同时,在更新完成之前,美敦力在安全公告中作了说明,解释了如何禁用消息服务和消息队列功能,直到可以完全删除该功能。该公司表示,采取这些步骤后,易受攻击的代码仍将存在于应用程序中,但不会再被不法分子利用。
关于 PACEART OPTIMA 系统
(一)系统简介
Paceart Optima™ 是一款全面的心脏设备数据工作流系统,可有效收集并管理患者的心脏设备数据。该系统可以收集、存储和检索来自所有主要心脏设备制造商的程序编制器和远程监控系统的数据。
Paceart™ 系统从植入器械、诊所常规检查和远程传输中捕获数据,因此无论患者的数据是在医院、诊所还是由监护仪生成,都可以使用并存储在 Paceart 数据库中,然后发送至患者的电子病历(EHR)。
(二)系统用途
Paceart 卓越的搜索工具可深入研究数据,回答有关患者群体的关键问题。使用者可以借助 Paceart 提供的预构建搜索工具,也可以进行自定义搜索。数据搜索将能够判断患者是否遵循医嘱以及跟踪远程监控的使用情况。
(三)系统优势
Paceart 系统首创于1985年,业绩记录十分优秀:
可与28个EHR系统集成;
设备百科全书包括超过3300条条目;
有超过30年的设备管理经验。
关于美敦力
美敦力是全球领先的医疗科技公司,成立于1949年,总部位于美国明尼苏达州明尼阿波利斯市。公司主要致力于为心血管疾病、神经科、糖尿病、脊椎病等慢病患者提供终身治疗、诊断及监测方案,全球拥有员工近9万人,年收入达297亿美元。