Alertas
Alerta 3768 (Tecnovigilância) - Comunicado da empresa Dräger Indústria e Comércio Ltda - Evita V300 - Ventilador de Terapia Intensiva; Ventilador Pulmonar; Babylog VN500 – Fragilidade na cibersegurança - Correção em campo.
Área: GGMON
Número: 3768
Ano: 2022
Resumo:
Alerta 3768 (Tecnovigilância) - Comunicado da empresa Dräger Indústria e Comércio Ltda - Evita V300 - Ventilador de Terapia Intensiva; Ventilador Pulmonar; Babylog VN500 – Fragilidade na cibersegurança - Correção em campo.
Identificação do produto ou caso:
Nome Comercial: Ventilador de Terapia Intensiva; Ventilador Pulmonar; Babylog VN500. Nome Técnico: Ventilador Pulmonar a Pressão/ Ventilador Pressão e Volume. Número de registro ANVISA: 10407370114; 10407370075; 10407370125. Tipo de produto: Equipamento. Classe de Risco: III. Modelo afetado: Evita V300 (10407370114/) Evita Infinity V500 (10407370075) e Babylog VN500 (10407370125). Números de série afetados: Ver anexo Lista de séries afetadas.
Problema:
Segundo relatado pela empresa, os ventiladores da família Evita V500/V300 e Babylog VN500 estão em uso em muitos países do mundo desde 2007. São ventiladores altamente aceitos e confiáveis, com um total de mais de 124 mil em funcionamento. Até ao momento, a Dräger não recebeu nenhum relatório ou evidência de nenhum caso de ciberataque. Apenas alguns clientes utilizam os seus ventiladores ligados em rede, o que permite a troca de informações entre os ventiladores e o Dräger Service Connect Gateway. A maioria dos equipamentos estão ligados através de uma interface série Medibus/Medibus X, que não é vulnerável a ataques cibernéticos. Dentro do nosso processo de melhoria contínua dos equipamentos comercializados, foi realizada uma análise de ameaças para os equipamentos mencionados acima. Dentro desta análise foi observado que existem vulnerabilidades, que teoricamente podem ser exploradas através das portas Ethernet, DVI e USB existentes (a porta RS232 não é afetada).
Um ataque de cibersegurança pode afetar a segurança e a eficácia dos equipamentos médicos.
Data de identificação do problema pela empresa: 28/01/2022.
Ação:
Ação de Campo Código PR114992 - TSB 275 sob responsabilidade da empresa Dräger Indústria e Comércio Ltda. Correção em Campo. Fechar/cobrir todas as interfaces USB, LAN e DVI não utilizadas.
Histórico:
Notificação feita pela empresa em atendimento à RDC Anvisa 551/2021 (que dispõe sobre a obrigatoriedade de execução e notificação de ação de campo por parte do detentor do registro do produto para a saúde).
Empresa detentora do registro: Dräger Indústria e Comércio Ltda - CNPJ: 02.535.707/0001-28 - Alameda Pucuruí, 51 - Tamboré - Barueri - SP. Tel: 11 4689-4415. E-mail: denise.souza@draeger.com.
Fabricante do produto: Drägerwerk AG & Co. KGaA - Moislinger Allee 53-55, 23542, Lübeck - Alemanha.
Recomendações:
A Dräger recomenda o seguinte:
• Siga as recomendações das instruções de utilização:
- Limite ou controle o acesso físico aos ventiladores mencionados acima.
- Não conecte equipamentos não aprovados às interfaces USB, LAN e DVI.
- Esteja atento às notificações, alarmes e alertas.
• Considere fechar/cobrir todas as interfaces USB, LAN e DVI não utilizadas. Caso decida fechar/cobrir as interfaces não utilizadas, a Dräger fornecerá ferramentas sob pedido para cobrir ou fechar gratuitamente estas interfaces de dados dos ventiladores, para o uso previsto e autorizado das interfaces, as proteções USB e as tampas das interfaces podem ser removidas com chaves ou ferramentas apropriadas.
Certifique-se de que estas importantes instruções de segurança sejam devidamente transmitidas a todos os utilizadores dos ventiladores acima mencionados e outras pessoas afetadas dentro da sua instituição. Se os equipamentos foram fornecidos a terceiros, reencaminhe por favor uma cópia desta informação.
Para notificar queixas técnicas e eventos adversos, informe o número do Alerta 3768 no texto da notificação ao utilizar os canais abaixo:
Notivisa: Notificações de eventos adversos (EA) e queixas técnicas (QT) de produtos sujeitos à Vigilância Sanitária devem ser feitos por meio do Sistema Notivisa (https://www.gov.br/anvisa/pt-br/assuntos/fiscalizacao-e-monitoramento/notificacoes).
Informações Complementares:
Data da entrada da notificação para a Anvisa: 08/02/2022.
A empresa detentora do registro do produto afetado é responsável por contatar, oportunamente, seus clientes de modo a garantir a execução e a efetividade da Ação de Campo em curso.
Destaca-se a responsabilidade solidária da cadeia de distribuição e uso dos produtos para a saúde na manutenção de sua qualidade, segurança e eficácia, bem como da efetividade da Ação de Campo, expressa pela RDC Anvisa 551/2021 (https://www.in.gov.br/web/dou/-/resolucao-rdc-n-551-de-30-de-agosto-de-2021-341672897).
O presente alerta será atualizado sempre que necessário.