Chào mừng tới năm 2017: Bệnh nhân sử dụng máy điều hòa nhịp tim nên sớm gặp bác sĩ để được “vá bảo mật”

Những bệnh nhân sử dụng máy điều hòa nhịp tim của hãng Abbott - trước đây có tên là St. Jude Medical - được khuyến nghị nên đi khám để cập nhật bảo mật cho thiết bị y tế đang cấy trên người mình.

Cập nhật bảo mật sẽ sửa 3 lỗ hổng bảo mật được MedSec Holdings Ltd. phát hiện vào năm ngoái. Chi tiết về những lỗi này có trong cảnh báo được nhóm CERT (Trung tâm ứng cứu khẩn cấp máy tính Mỹ) của Bộ An ninh nội địa. https://ics-cert.us-cert.gov/advisories/ICSMA-17-241-01

Không dễ khai thác lỗ hổng

CERT nói rằng những lỗ hổng này cho phép kẻ tấn công có quyền can thiệp vào thiết bị và đưa ra lệnh, thay đổi các thiết lập hoặc can thiệp vào chức năng của thiết bị.

Hậu quả rất khủng khiếp nhưng US CERT cũng nói rằng không dễ mà tấn công được vì không có mã khai thác để kẻ tấn công tạo gói tấn công riêng. Việc khai thác cũng cần có kĩ năng cao mà ít người có được. Hơn thế nữa, kẻ tấn công phải ở khá gần (vài cm) đối tượng thì mới có thể giao tiếp bằng sóng radio.

Bệnh nhân sử dụng máy điều hòa nhịp tim được khuyến cáo đi gặp bác sĩ

Những lỗ hổng này được MedSec phát hiện ra. Vào tháng 9/2016, Abbott đã kiện MedSEc và công ty bảo mật Muddy Waters, cáo buộc 2 công ty này cố tình khuấy động báo giới về các lỗ hổng trên máy điều hòa nhịp tim. Những lỗ hổng này được nêu chi tiết tại đây http://d.muddywatersresearch.com/wp-content/uploads/2016/08/MW_STJ_08252016_2.pdf và đã được sửa vào 1/2017.

Các lỗ hổng hiện tại mà MedSec tìm ra cũng đã được sửa vào lúc đó nhưng Cục quản lý lương thực và dược phẩm Mỹ FDA hôm qua mới chấp thuận bản vá để phát hành ra công chúng.

Bệnh nhân nên đi gặp bác sĩ càng sớm càng tốt

FDA và Abbott khuyến khích bệnh nhân tới khám bác sĩ xem mình đang dùng máy nhãn hiệu nào và nếu cần thì cập nhật bảo mật ngay. Abbott đã đưa ra hướng dẫn cho cả bác sĩ https://www.sjm.com/~/media/galaxy/hcp/resources-reimbursement/technical-resources/product-adviseries-archive/cybersecurity-pacemaker-firmware/pacemaker-firmware-update-doctor-letter-aug2017-us.pdf?la và bệnh nhân. https://www.sjm.com/~/media/galaxy/patients/heart-vascular/arrhythmias/resources-support/cybersecurity/pacemaker-firmware-update-patient-guide-aug2017.pdf?la=en Theo FDA, các máy điều hòa nhịp tim dưới đây bị ảnh hưởng:

• Accent
• Anthem
• Accent MRI
• Accent ST
• Assurity
• Allure

Abbott ước tính sẽ mất khoảng 3 phút để cài đặt cập nhật. Các kịch bản tệ nhất có thể là:

• Tải lại bản firmware trước đó do cập nhật thiếu (0,161%).
• Mất các thiết lập đã được lập trình trên thiết bị (0,023%).
• Mất hoàn toàn chức năng của thiết bị (0,003%).
• Mất các dữ liệu chuẩn đoán (chưa được báo cáo).

Abbott, US CERT và FDA cho biết chưa phát hiện ra kẻ tấn công nào khai thác các lỗ hổng mà MedSec tìm ra. Theo dữ liệu của FDA, có khoảng 465.000 máy điều hòa nhịp tim trên khắp nước Mỹ bị ảnh hưởng bởi những lỗ hổng này.