作成日時
2022年7月3日9:14
更新日時
2022年7月3日9:14
BDは、薬剤調剤、ラボ管理技術で見つかったサイバーセキュリティリスクにパッチを当てます
BD(米Becton,Dickinson and Company)は、それぞれに個別のプライバシーの懸念と潜在的なハッキングのリスクを発見した後、2つの製品のソフトウェアアップデートを発行すると述べました。
影響を受けるテクノロジーは、BDの投薬管理および調剤用のPyxisシステムと、臨床診断ラボ用のSynapsysワークフロー管理ソフトウェアです。BDは、サイバーセキュリティの各問題をFDAおよび国土安全保障省のサイバーセキュリティおよびインフラストラクチャセキュリティ庁(CISA)を含むその他の関連当局に自主的に報告しました。
各懸念事項に関するCISAの 通知によると、一般的に知られているハッキングアプローチはどちらの脆弱性も特に対象とはしていません。
2つのうち、より深刻なのはPyxisテクノロジーに関するものです。火曜日に発行されたサイバーセキュリティ速報で、BDは、一部のシステムは、セットアップ時に使用されたデフォルトのクレデンシャルを使用して動作している可能性があると述べました。
ハッカーがデフォルトのログイン情報を追跡し、施設のネットワークを侵害できる場合、ハッカーはPyxisプラットフォームの基盤となるファイルシステムに保存されている機密の健康情報やその他の機密データにアクセスする可能性があります。
Common Vulnerability Scoring System(CVSS)で、リスクの評価は8.8になりました。これにより、スコア9.0から始まる「重大な」リスクの境界近くで、「高い」リスク評価の上限に配置されます。
BDは、Pyxisシステムのクレデンシャル管理機能の強化にすでに取り組んでおり、リスクのあるクレデンシャルの更新を支援するためにカスタマーサービスワーカーを派遣していると述べました。また、より厳しい認証要件を提供する新しい資格管理ソリューションを試験的に導入しています。
その間、同社は、Pyxisシステムを使用する医療施設は、許可された担当者のみにアクセスを制限し、システムへの不審なアクセスの試みに注意し、ファイアウォールやその他のセキュリティプロトコルの背後でシステムを保護し、システムのサイバーセキュリティおよびウイルス対策ソフトウェアを維持することを提案しています。
一方、 BDの別の速報によると、Synapsysの問題には5.7のCVSSスコアが与えられ、「中」のリスク範囲内にしっかりと収まっています。
これは、ソフトウェアとのセッションが期限切れになるまでの時間の脆弱性に起因し、同社はこれを「不十分」と分類しました。セッションはすぐには期限切れにならず、ユーザーはすぐにログアウトするため、ハッカーは電子的に保護された健康情報、保護された健康情報、個人を特定できる情報などの機密情報にアクセス、変更、または削除できるようになるまでの期間が長くなる可能性があります。
ただし、システムをハッキングするには、施設のSynapsysワークステーションに物理的にアクセスする必要があります。これは、リモートで悪用される可能性のあるPyxisの脆弱性とは異なり、リスクスコアが低いことを説明しています。
BDは、「標準の内部テスト」で問題を発見し、実際のラボ環境で悪用されたという報告は受けていないと述べました。
同社は6月、サイバーセキュリティリスクを修正するためのソフトウェアアップデートを展開することを計画しています。それまでは、Synapsysユーザーは、オペレーティングシステムの非アクティブセッションタイムアウトをソフトウェアのセッション有効期限タイムアウトに合わせ、Synapsysワークステーションへの許可されたアクセスを制限し、ワークステーションを離れるときにワークステーションから完全にログアウトまたはロックするようにすべてのユーザーに通知する必要があります。
影響を受けるテクノロジーは、BDの投薬管理および調剤用のPyxisシステムと、臨床診断ラボ用のSynapsysワークフロー管理ソフトウェアです。BDは、サイバーセキュリティの各問題をFDAおよび国土安全保障省のサイバーセキュリティおよびインフラストラクチャセキュリティ庁(CISA)を含むその他の関連当局に自主的に報告しました。
各懸念事項に関するCISAの 通知によると、一般的に知られているハッキングアプローチはどちらの脆弱性も特に対象とはしていません。
2つのうち、より深刻なのはPyxisテクノロジーに関するものです。火曜日に発行されたサイバーセキュリティ速報で、BDは、一部のシステムは、セットアップ時に使用されたデフォルトのクレデンシャルを使用して動作している可能性があると述べました。
ハッカーがデフォルトのログイン情報を追跡し、施設のネットワークを侵害できる場合、ハッカーはPyxisプラットフォームの基盤となるファイルシステムに保存されている機密の健康情報やその他の機密データにアクセスする可能性があります。
Common Vulnerability Scoring System(CVSS)で、リスクの評価は8.8になりました。これにより、スコア9.0から始まる「重大な」リスクの境界近くで、「高い」リスク評価の上限に配置されます。
BDは、Pyxisシステムのクレデンシャル管理機能の強化にすでに取り組んでおり、リスクのあるクレデンシャルの更新を支援するためにカスタマーサービスワーカーを派遣していると述べました。また、より厳しい認証要件を提供する新しい資格管理ソリューションを試験的に導入しています。
その間、同社は、Pyxisシステムを使用する医療施設は、許可された担当者のみにアクセスを制限し、システムへの不審なアクセスの試みに注意し、ファイアウォールやその他のセキュリティプロトコルの背後でシステムを保護し、システムのサイバーセキュリティおよびウイルス対策ソフトウェアを維持することを提案しています。
一方、 BDの別の速報によると、Synapsysの問題には5.7のCVSSスコアが与えられ、「中」のリスク範囲内にしっかりと収まっています。
これは、ソフトウェアとのセッションが期限切れになるまでの時間の脆弱性に起因し、同社はこれを「不十分」と分類しました。セッションはすぐには期限切れにならず、ユーザーはすぐにログアウトするため、ハッカーは電子的に保護された健康情報、保護された健康情報、個人を特定できる情報などの機密情報にアクセス、変更、または削除できるようになるまでの期間が長くなる可能性があります。
ただし、システムをハッキングするには、施設のSynapsysワークステーションに物理的にアクセスする必要があります。これは、リモートで悪用される可能性のあるPyxisの脆弱性とは異なり、リスクスコアが低いことを説明しています。
BDは、「標準の内部テスト」で問題を発見し、実際のラボ環境で悪用されたという報告は受けていないと述べました。
同社は6月、サイバーセキュリティリスクを修正するためのソフトウェアアップデートを展開することを計画しています。それまでは、Synapsysユーザーは、オペレーティングシステムの非アクティブセッションタイムアウトをソフトウェアのセッション有効期限タイムアウトに合わせ、Synapsysワークステーションへの許可されたアクセスを制限し、ワークステーションを離れるときにワークステーションから完全にログアウトまたはロックするようにすべてのユーザーに通知する必要があります。
USA
cyber security
記事一覧に戻る