SweynTooth-kwetsbaarheid BELANGRIJKE VEILIGHEIDSINFORMATIE

21 maart 2019

Samenvatting kwetsbaarheid

Achtergrond

Medtronic is zich bewust van en bewaakt een reeks Bluetooth Low Energy (BLE) cybersecurity-kwetsbaarheden, gezamenlijk bekend als "SweynTooth", die half februari openbaar werden gemaakt door beveiligingsonderzoekers van de ‘Singapore University of Technology and Design’.

Deze kwetsbaarheden komen voor in sommige vooraf gemaakte hardwarecomponenten die gebruikt zijn in producten binnen verschillende industrieën en kunnen de BLE-communicatieservice onderbreken.

Tot op heden is geen cyberaanval, datalek of patiëntenletsel met een product van Medtronic waargenomen of in verband gebracht met deze kwetsbaarheden.

Reactie van Medtronic

Onze technische teams hebben de situatie beoordeeld om mogelijke gevolgen voor de producten van Medtronic in kaart te brengen. Tot op heden heeft onze analyse bevestigd dat deze hardwarecomponenten aanwezig zijn in sommige producten van Medtronic in zowel onze Cardiac & Vascular- als Diabetes-productlijnen. Onze evaluatie laat echter zien dat de impact beperkt is tot een tijdelijke onderbreking van de communicatiefunctie en geen effect heeft op de therapie.

Compenserende maatregelen en aanbevolen acties

Hart- en vaatproducten:

  • Door het productontwerp van de Bluetooth-compatibele pacemakers en implanteerbare cardioverter defibrillatoren (ICD's) hebben de SweynTooth-kwetsbaarheden geen invloed op de therapieafgifte.
    De pacemakers en ICD's van Medtronic die BLE-communicatieprotocollen gebruiken, zijn beschermd via een ingebouwde beveiliging die de gevolgen van BLE-kwetsbaarheden voorkomen of aanzienlijk verminderen, inclusief de geïdentificeerde kwetsbaarheden zoals aangegeven in het SweynTooth-rapport. Dit hebben we kunnen bevestigen door middel van testen.
  • De impact van de SweynTooth-kwetsbaarheden is beperkt tot een tijdelijke onderbreking van de BLE-communicatie tussen de pacemaker/ICD en het mobiele apparaat of de BLE-monitor. DE normale communicatie kan worden hersteld tussen een pacemaker/ICD en een programmeerapparaat met behulp van diverse methodes, waaronder het gebruik van het programmeerapparaat, de softwareapplicatie of de programmeerkop. Gebruikers moeten de van toepassing zijnde instructies voor BLE-gebruik en probleemoplossing blijven volgen.
  • Hoewel de monitoring op afstand-functies via Bluetooth in deze hartimplantaten door een arts kunnen worden uitgeschakeld, raadt Medtronic patiënten en artsen aan de hartimplantaten te blijven gebruiken zoals bedoeld, waaronder de monitoring op afstand, omdat de voordelen van de therapie zwaarder wegen dan het mogelijke risico van deze kwetsbaarheden.

Diabetesproducten:

  • Hardwarecomponenten die chips met de SweynTooth-kwetsbaarheden bevatten, zijn aanwezig in sommige diabetesproducten die momenteel op de markt zijn. Een productlijst is hieronder opgenomen. Noch de insulinepompen noch de CGM-zenders (continue glucosemonitoring) die communiceren met de pomp, bevatten de betreffende hardwarecomponenten.
  • De SweynTooth-kwetsbaarheden hebben geen invloed op de therapie. De impact van de kwetsbaarheden van SweynTooth is beperkt tot een tijdelijke onderbreking van de BLE-communicatie tussen het diabetesproduct en het mobiele apparaat. Normale communicatie kan automatisch worden hersteld.
  • Diabetesproducten van Medtronic die BLE-communicatieprotocollen gebruiken, zijn beschermd via een ingebouwde beveiliging die de gevolgen van de BLE-kwetsbaarheden voorkomen of aanzienlijk verminderen, inclusief de geïdentificeerde kwetsbaarheden zoals aangegeven in het SweynTooth-rapport. Dit hebben we kunnen bevestigen door middel van testen.

Bij Medtronic nemen we cyberveiligheid serieus en hebben teams zich actief beziggehouden met deze zaken, inclusief het onderhouden van het contact met onze leveranciers voor updates. We controleren onze producten en systemen om de impact van cyberveiligheidsproblemen te beoordelen en passende maatregelen te nemen als de omstandigheden dat vereisen.

Bovendien blijft Medtronic de vaste communicatieprocessen volgen voor alle belangrijke beveiligingskwetsbaarheden in verband met onze producten of updates in verband met de SweynTooth-kwetsbaarheden.

Hart- en vaatproducten die hardwarecomponenten hebben met SweynTooth-kwetsbaarheden:

  • Azure™-pacemakerportfolio;
  • Percepta™-, Serena™-, Solera™-portfolio van pacemakers voor cardiale resynchronisatietherapie (CRT-P's);
  • Cobalt™- en Crome™-implanteerbare cardioverter defibrillatoren (ICD's) en
    -defibrillatoren voor cardiale resynchronisatietherapie (CRT-D's).

Diabetesproducten die hardwarecomponenten hebben met SweynTooth-kwetsbaarheden:

  • Guardian™ Connect-glucosesensor-zender (onderdeel van het losse Guardian™ Connect-CGM-systeem);
  • Envision™ Pro-glucoserecorder (onderdeel van het professionele Envision™ Pro-CGM-systeem);
  • MiniMed™ Connect-uploader (een tweede display-accessoire voor de MiniMed 530G-insulinepomp of het MiniMed Paradigm® REAL-Time Revel™-pompsysteem met sensor).

Noch onze insulinepompen noch de CGM-zenders (continue glucosemonitoring) die communiceren met de pomp, bevatten de betreffende hardwarecomponenten.

Meer informatie

Voor extra informatie kunt u contact opnemen met security@medtronic.com.

Disclaimer: Deze pagina bevat mogelijk informatie over producten die niet beschikbaar zijn in uw regio of land. Lees eerst de goedgekeurde indicaties voor gebruik. Informatie over specifieke producten van Medtronic is niet bestemd voor gebruikers in markten die geen toestemming voor het gebruik hebben.