Resumo:

Alerta 3103 (Tecnovigilância) – GE Healthcare do Brasil – Estação Central Carescape; Centro de Informações Clínicas CIC – Possibilidade de vulnerabilidade para ataque cibernético.

Identificação do produto ou caso:

Nome Comercial: Estação Central Carescape (80071260340); Centro de Informações Clínicas CIC (80071260228). Nome Técnico: Central de Monitorização de Pacientes (80071260340); Central de Monitorizacao de Sinais Vitais (80071260228). Número de registro ANVISA: 80071260340; 80071260228. Tipo de produto: Equipamento. Classe de Risco: III. Modelo afetado: Central Carescape (80071260340); CIC PRO (80071260228). Números de série afetados: Ver anexo “Lista de números de série sob risco”.

Problema:

A empresa detentora dos registros informou que, quando conectadas às redes Mission Critical (MC) e/ou Information Exchange (IX), determinadas versões dos sistemas Estação Central Carescape versão 1 e sistemas Centro De Informações Clínicas CIC foram identificadas como tendo vulnerabilidades para um ataque cibernético. As redes MC e IX são isoladas de outras redes e tráfego hospitalares. Como resultado, para que esse problema ocorra, a pessoa não autorizada precisará obter acesso físico aos próprios dispositivos de monitoramento ou adquirir acesso direto às redes isoladas MC ou IX localizadas no hospital.

Se uma pessoa não autorizada obtiver esse nível de acesso, uma combinação de uma chave privada exposta, serviços expostos e componentes com vulnerabilidades de software identificadas poderá possivelmente ser explorada e combinada com ações maliciosas direcionadas a: 1) Fazer alterações no nível do sistema operacional do dispositivo com efeitos tais como tornar o dispositivo inutilizável e/ou 2) Utilizar os serviços usados para visualização remota e controle de dispositivos na rede para acessar a interface do usuário clínico e fazer alterações nas configurações do dispositivo e nos limites de alarme.

Nessa situação, tais ataques cibernéticos podem resultar em perda de monitoramento e/ou perda de alarmes durante o monitoramento ativo do paciente.

Uma exploração maliciosa das vulnerabilidades de cibersegurança identificadas pode resultar em perda de monitoramento ou funcionalidade de alarme do produto. Essa situação é clinicamente perigosa porque pode resultar em resposta tardia e no tratamento de um evento crítico com risco de vida.

Ação:

Ação de Campo Código FMI 36142 sob responsabilidade da empresa GE Healthcare do Brasil, Com. e Serv. para Equipamentos Médico-Hospitalares Ltda. Carta ao Cliente.

Histórico:

Notificação feita pela empresa em atendimento à RDC 23/2012 (que dispõe sobre a obrigatoriedade de execução e notificação de ação de campo por parte do detentor do registro do produto para a saúde).

Empresa detentora do registro: GE Healthcare do Brasil, Com. e Serv. para Equipamentos Médico-Hospitalares Ltda. - CNPJ: 00.029.372/0001-40 - Av. Magalhães de Castro, nº 4.800, 11º andar - Cidade Jardim - São Paulo - SP. Tel: 3004 2525 (Capitais e regiões metropolitanas) 0800 165 799 (Demais regiões). E-mail: tecnovigilancia@ge.com.

Fabricante do produto: GE Medical Systems Information Technologies Inc. - 8200 West Tower Avenue - Milwaukee/WI - Estados Unidos - EUA.

Recomendações:

A empresa detentora dos registros informou que os clientes podem continuar usando o produto. Devem seguir o Guia de Configuração de Rede de Monitoramento de Pacientes, o Guia de Configuração de Rede CARESCAPE e os Manuais Técnicos e de Manutenção do produto para obter informações sobre a configuração adequada das redes de monitores de pacientes.

Além de aplicar as práticas recomendadas de gerenciamento de rede, verificar se: 1) As Redes MC e IX são isoladas; 2) Os roteadores/firewalls MC e IX bloqueiam o tráfego recebido, se aplicável; 3) O acesso físico está restrito às estações centrais, servidores de telemetria, rede MC e rede IX; 4) As senhas padrão são alteradas, se aplicável; e 5) As melhores práticas de gerenciamento de senha são respeitadas

Garantir que as redes sejam configuradas e isoladas adequadamente protege-as contra essas possíveis preocupações e reduz o risco.

Caso queira notificar queixas técnicas e eventos adversos, informe o número do Alerta 3103 no texto da notificação ao utilizar os canais abaixo:

Notivisa: Notificações de eventos adversos (EA) e queixas técnicas (QT) para produtos sujeitos à Vigilância Sanitária devem ser feitos por meio do Sistema NOTIVISA (http://portal.anvisa.gov.br/notivisa). Para acessar o Sistema, é preciso se cadastrar e selecionar a opção Profissional de Saúde, se for um profissional liberal ou a opção Instituição/Entidade, se for um profissional de uma instituição/entidade.

Sistema de Tecnovigilância: Paciente ou cidadão pode notificar por meio do Sistema de Tecnovigilância/SISTEC acesso por meio do link <http://www.anvisa.gov.br/sistec/notificacaoavulsa/notificacaoavulsa1.asp>

Anexos:

Carta ao Cliente
Lista de números de série sob risco

Referências:

Informações Complementares:

 - Data de identificação do problema pela empresa: 20/09/2019

 - Data da entrada da notificação para a Anvisa: 18/12/2019

A empresa detentora do registro do produto afetado é responsável por contatar, oportunamente, seus clientes de modo a garantir a efetividade da Ação de Campo em curso.

Destaca-se a responsabilidade solidária da cadeia de distribuição e uso dos produtos para a saúde na manutenção de sua qualidade, segurança e eficácia, bem como da efetividade da Ação de Campo, expressa pela RDC 23/2012:

(...) Art. 2° Entende-se por detentor de registro de produto para a saúde o titular do registro/cadastro de produto para a saúde junto à Anvisa.

Parágrafo único. O detentor de registro, bem como os demais agentes envolvidos desde a produção até o uso do produto, ou descarte deste quando couber, são solidariamente responsáveis pela manutenção da qualidade, segurança e eficácia dos produtos para a saúde até o consumidor final.

Art. 12 Os distribuidores de produtos para a saúde devem encaminhar para o detentor de registro, em tempo hábil, o mapa de distribuição e outras informações solicitadas para a notificação e execução de ações de campo. (...)

OBS: O presente alerta poderá passar por um processo de atualização caso a Gerência de Tecnovigilância julgue necessário.