FDA, Sağlık Hizmetlerini Ciddi Illumina Siber Güvenlik Açıklarını Düzeltmeye Çağırıyor
FDA, kuruluşları belirli Illumina tıbbi cihazlarını etkileyen siber güvenlik açıklarını derhal düzeltmeye çağırdı.
03 Haziran 2022- ABD Gıda ve İlaç Dairesi (FDA) , sağlık kuruluşlarını belirli Illumina tıbbi cihazlarını etkileyen ciddi siber güvenlik açıklarını derhal düzeltmeye çağırdı . Güvenlik açıkları, Local Run Manager (LRM) yazılımında çalışan bazı Illumina In Vitro Diagnostic cihazlarını etkiler.
FDA, kötüye kullanılması durumunda yetkisiz bir kullanıcının cihazın kontrolünü uzaktan ele geçirebileceğini, ayarları, konfigürasyonları ve müşterinin ağındaki verileri değiştirebilir veya cihazların hiçbir sonuç vermemesine, yanlış sonuçlara veya sonuçların değişmesine neden olarak hasta test sonuçlarını etkileyebilir, dedi FDA . Yayınlandığı tarihte, FDA ve Illumina bu güvenlik açıklarıyla ilgili herhangi bir istismar raporu almamıştı.
FDA, güvenlik açıklarının Illumina NextSeq 550Dx, MiSeqDx, NextSeq 500, NextSeq 550, MiSeq, iSeq ve MiniSeq’de bulunan LRM yazılımını etkilediğini açıkladı.
Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) , güvenlik açıkları hakkında ayrıntılı bir tavsiye yayınladı ve Illumina’nın uzaktan istismara karşı koruma sağlamak için bir yama geliştirdiğini ve “mevcut ve gelecekteki araçlar için kalıcı bir yazılım düzeltmesi sağlamak için aktif olarak çalıştığını” kaydetti.
CISA, kullanıcıların ağa maruz kalmayı en aza indirmek, cihazları güvenlik duvarlarının arkasından izole etmek ve uzaktan erişim gerektiğinde VPN kullanmak dahil olmak üzere riski en aza indirmek için savunma önlemleri almalarını tavsiye etti.
“Bu aletler, bir kişinin DNA’sını dizilemede veya çeşitli genetik koşulları test etmede klinik tanı amaçlı kullanım veya yalnızca araştırma amaçlı kullanım için (RUO) belirtilebilen tıbbi cihazlardır. FDA, bu cihazlardan bazılarının, kullanıcının bunları klinik tanı modunda veya RUO modunda çalıştırmasına olanak tanıyan ikili bir önyükleme moduna sahip olduğunu belirtti.
“RUO için tasarlanan cihazlar tipik olarak geliştirme aşamasındadır ve ‘Yalnızca Araştırma Kullanımı İçin’ olarak etiketlenmelidir. Teşhis prosedürlerinde kullanım için değil.’ – gerçi birçok laboratuvar bunları klinik tanı amaçlı testlerle birlikte kullanıyor olabilir.”
FDA, kullanıcıları Illumina’nın 3 Mayıs’ta etkilenen müşterilere gönderdiği Illumina’nın güvenlik bildirimini gözden geçirmeye çağırdı.
Bildirim, “FDA, bu siber güvenlik açığıyla ilgili olumsuz olayları belirlemek, iletmek ve önlemek için Illumina ile birlikte çalışıyor ve CISA ile koordine ediyor” dedi.
“FDA, yeni veya ek bilgiler elde edilirse sağlık hizmeti sağlayıcılarını ve laboratuvar personelini bilgilendirmeye devam edecek.”
Ulusal Standartlar ve Teknoloji Enstitüsü’nün (NIST) Ulusal Siber Güvenlik Mükemmeliyet Merkezi (NCCoE) , kuruluşların BT sistemlerinde güvenlik açıklarını ve istismarı önlemelerine yardımcı olmak için kurumsal yama yönetimine ilişkin nihai kılavuzu yayınlayarak anında yama uygulamasının önemini vurguladı .
NCCoE, yamayı “iş yapmanın maliyeti” olarak konumlandırdı ve olumsuz olaylardan kaçınmak için kurumsal çapta kapsamlı bir yama yönetimi stratejisinin çok önemli olduğunu vurguladı.
“Varsayılan olarak, bir kuruluş yazılımını kullanmaktan kaynaklanan riski kabul eder. NCCoE, yazılımın herhangi bir zamanda kuruluşun bilmediği güvenlik açıklarına sahip olabilir ve bazen daha önce bilinmeyen güvenlik açıklarından yararlanılır – bir sıfır gün saldırısı” dedi.
“Yeni bir güvenlik açığı herkes tarafından bilinir hale geldiğinde, risk genellikle artar çünkü saldırganların savunmasız yazılımı hedef alan açıklar geliştirmesi daha olasıdır.”
ICS Danışmanlığı (ICSA-22-153-02) Illumina Local Run Yöneticisi
ICS Tıbbi Danışmanlık (ICSMA-22-151-01) BD Pyxis
ICS Tıbbi Danışmanlık (ICSMA-22-151-02) BD Synapsys
Metnin aslına ulaşmak için: