Alertas Alertas

Voltar

Alerta 2946 (Tecnovigilância) - GE Healthcare do Brasil - Aparelhos de Anestesia - Vulnerabilidade de Segurança de certos Sistemas de Anestesia GE se conectados a um servidor de terminal insuficientemente protegido.

Área: GGMON

Número: 2946

Ano: 2019

Resumo:

Alerta 2946 (Tecnovigilância) - GE Healthcare do Brasil - Aparelhos de Anestesia - Vulnerabilidade de Segurança de certos Sistemas de Anestesia GE se conectados a um servidor de terminal insuficientemente protegido.


Identificação do produto ou caso:

Nome Comercial: Aparelho de Anestesia Aestiva 5 Induction (registro 80035360051); Aparelho de Anestesia Aespire S/5 (registro 80071260227); Aparelho de Anestesia Aestiva/5 MRI (registro 80071260331). Nome Técnico: Aparelho de Anestesia Número de registro ANVISA: 80035360051; 80071260227; 80071260331 Classe de Risco: III Modelo afetado: Aespire 7100/100 / Protiva / Carestation (Versão do software 1.x) - fabricado antes de outubro de 2010. (Número de registro ANVISA: 80071260227); Aestiva 7100 (versão de software 1.x) - fabricado antes de fevereiro de 2014. (Número de registro ANVISA: 80035360051); Aestiva 7900 (Versão de software 1.x, 2.x e 3.x) - fabricado antes de março de 2004. (Número de registro ANVISA: 80035360051); Aestiva MRI (Versão de software 3.x) - fabricado antes de julho de 2014. (Número de registro ANVISA: 80071260331) Números de série afetados: Ver anexo “Lista de números de série sob risco”


Problema:

A empresa detentora do registro informou que, em uma Orientação Médica ICS (ICSMA-19-190-01) 1, emitida em 9 de julho de 2019, em certos Sistemas de Anestesia Aespire e Aestiva foram observados uma vulnerabilidade teórica a um ataque cibernético quando conectados à rede hospitalar. Embora extremamente improvável, um servidor de terminal insuficientemente protegido pode fornecer oportunidade para um ator mal-intencionado penetrar na rede do hospital para enviar parâmetros fraudulentos de correção do sensor de fluxo. O servidor de terminal é um acessório que pode ser obtido de fornecedor terceirizado (não da GE Healthcare) fora da configuração padrão do produto.

A empresa afirmou que, se isso ocorrer sem intervenção clínica normal, teoricamente pode haver comprometimento da oxigenação ou da ventilação do paciente. Não houve nenhuma reclamação de ataque cibernético ou de lesão relatada como resultado deste problema.

A empresa ressaltou que os limites de pressão, monitoramento de CO2 e recursos de proteção do movimento do fole não são afetados e continuam funcionando normalmente e que a Orientação ICS está disponível em https://ww.us-cert.gov/ics/advisories/icsma-19-190-01.


Ação:

Ação de Campo Código FMI 34101 sob responsabilidade da empresa GE Healthcare do Brasil, Com. e Serv. para Equipamentos Médico-Hospitalares Ltda. Carta ao Cliente.


Histórico:

Notificação feita pela empresa em atendimento à RDC 23/2012 (que dispõe sobre a obrigatoriedade de execução e notificação de ação de campo por parte do detentor do registro do produto para a saúde).

Empresa detentora do registro: GE Healthcare do Brasil, Com. e Serv. para Equipamentos Médico-Hospitalares Ltda. - CNPJ: 00.029.372/0001-40 - Av. Magalhães de Castro, nº 4.800, 11º andar - Cidade Jardim - São Paulo - SP. Tel: 3004 2525 (Capitais e regiões metropolitanas) 0800 165 799 (Demais regiões). E-mail: tecnovigilancia.brasil@ge.com.

Fabricante do produto: DATEX-OHMEDA INC.  - Endereço: 3030 Ohmeda Drive, Madison, WI - USA - USA.


Recomendações:

A empresa detentora dos registros afirmou que os clientes podem continuar usando os produtos. Se optar por conectar as portas seriais do dispositivo de anestesia GE Healthcare às redes TCP/IP, certificar-se de que somente servidores de terminal suficientemente protegidos estão sendo usados. Os servidores de terminal protegidos fornecem recursos de segurança robustos que evitam esse problema.

Caso queira notificar queixas técnicas e eventos adversos utilize os canais abaixo:

Notivisa: Notificações de eventos adversos (EA) e queixas técnicas (QT) para produtos sujeitos à Vigilância Sanitária devem ser feitos por meio do Sistema NOTIVISA (http://portal.anvisa.gov.br/notivisa). Para acessar o Sistema, é preciso se cadastrar e selecionar a opção Profissional de Saúde, se for um profissional liberal ou a opção Instituição/Entidade, se for um profissional de uma instituição/entidade.

Sistema de Tecnovigilância: Paciente ou cidadão pode notificar por meio do Sistema de Tecnovigilância/SISTEC acesso por meio do link <http://www.anvisa.gov.br/sistec/notificacaoavulsa/notificacaoavulsa1.asp>




Informações Complementares:

 - Data de identificação do problema pela empresa: 14/07/2019

 - Data da entrada da notificação para a Anvisa: 02/08/2019

 

A empresa detentora do registro do produto afetado é responsável por contatar, oportunamente, seus clientes de modo a garantir a efetividade da Ação de Campo em curso.

Destaca-se a responsabilidade solidária da cadeia de distribuição e uso dos produtos para a saúde na manutenção de sua qualidade, segurança e eficácia, bem como da efetividade da Ação de Campo, expressa pela RDC 23/2012:

(...) Art. 2° Entende-se por detentor de registro de produto para a saúde o titular do registro/cadastro de produto para a saúde junto à Anvisa.

Parágrafo único. O detentor de registro, bem como os demais agentes envolvidos desde a produção até o uso do produto, ou descarte deste quando couber, são solidariamente responsáveis pela manutenção da qualidade, segurança e eficácia dos produtos para a saúde até o consumidor final.

Art. 12 Os distribuidores de produtos para a saúde devem encaminhar para o detentor de registro, em tempo hábil, o mapa de distribuição e outras informações solicitadas para a notificação e execução de ações de campo. (...)