U.S. flag An official website of the United States government

On Oct. 1, 2024, the FDA began implementing a reorganization impacting many parts of the agency. We are in the process of updating FDA.gov content to reflect these changes.

U.S. Food and Drug Administration
  1. Home
  2. Medical Devices
  3. Medical Device Safety
  4. Safety Communications
  5. Mga Cybersecurity Vulnerability sa Ilang Patient Monitor mula sa Contec at Epsimed: Komunikasyon Pangkaligtasan ng FDA
  1. Safety Communications

Mga Cybersecurity Vulnerability sa Ilang Patient Monitor mula sa Contec at Epsimed: Komunikasyon Pangkaligtasan ng FDA

Petsa ng Paglabas: Enero 30, 2025

Itinataas ng U.S. Food and Drug Administration (FDA) ang kamalayan ng mga tagapagbigay ng pangangalagang pangkalusugan, pasilidad ng pangangalagang pangkalusugan, mga pasyente, at tagapag-alaga sa mga kahinaan ng cybersecurity sa Contec CMS8000 na mga pangpasiyenteng monitor at Epsimed MN-120 na mga pangpasienteng monitor (ang Contec CMS8000 na mga pangpasiyenteng monitor na ginawang MN-120 ang pananda) na maaaring maglagay sa mga pasyente sa panganib pagkatapos na maikonekta ang mga ito sa internet.

Tatlong kahinaan ng proteksiyon laban sa kriminal na paggamit ng elektronikong datos ang natukoy:

  • Maaaring kinokontrol mula sa malayo ng isang hindi awtorisadong gumagamit ang pangpasiyenteng monitor o hindi gumana gaya ng inaasahan.
  • May kasamang backdoor ang software sa mga pangpasiyenteng monitor na maaaring mangahulugan na ang aparato o ang network kung saan nakakonekta ang aparato ay maaaring nakompromiso o maaaring makompromiso.
  • Kapag nakakonekta na sa internet ang pangpasiyenteng monitor, magsisimula itong mangalap ng datos ng pasyente, kabilang ang personal na pagkakakilanlan ng impormasyon (o daglat na PII sa Ingles) at protektadong impormasyon sa kalusugan (PHI), at maglabas (pag-withdraw) ng datos palayo sa sistema ng paghahatid ng pangangalagang pangkalusugan.

Maaaring magbigay-daan ng mga kahinaan ng cybersecurity na ito sa mga hindi awtorisadong tao na malagpasan ang mga kontrol sa cybersecurity, magkaroon ng kakayahang mabuksan at potensyal na manipulahin ang aparato.

Walang alam ang FDA na anumang mga insidente sa cybersecurity, pinsala, o pagkamatay na may kaugnayan sa mga kahinaan ng cybersecurity sa ngayon. 

Mga Rekomendasyon para sa mga Pasyente at Tagapag-alaga  

  • Makipag-usap sa iyong tagapagbigay ng pangangalagang pangkalusugan upang malaman kung nakadepende ang iyong aparato sa mga kakayahan ng malayuang pagsubaybay. Ang malayuang pagsubaybay ay nangangahulugan na gumagamit ang aparato ng koneksyon sa internet upang payagan ang isang tagapagbigay ng pangangalagang pangkalusugan na suriin ang mga vital sign ng pasyente mula sa isa pang lokasyon (tulad ng isang sistema ng malayuang pagsubaybay o sistema ng sentral na pagsubaybay).
    • Kung kinumpirma ng iyong tagapagbigay ng pangangalagang pangkalusugan na nakadepende ang iyong aparato sa mga kakayahan ng malayuang pagsubaybay, tanggalin sa pagkakasaksak ang aparato at ihinto ang paggamit nito. Makipag-usap sa iyong tagapagbigay ng pangangalagang pangkalusugan tungkol sa paghahanap ng alternatibong monitor na pangpasyente. 
    • Kung hindi nakadepende ang iyong aparato sa mga kakayahan ng malayuang pagsubaybay, gamitin lang ang mga lokal na kakayahan ng pagsubaybay ng monitor napangpasyente. Nangangahulugan ito ng pagtanggal ng ethernet cable ng aparato at di-pagpapagana ng wireless (iyon ay, WiFi o cellular) na mga kakayahan, upang ang mga vital sign ng pasyente ay maobserbahan lamang ng isang tagapag-alaga o tagapagbigay ng pangangalagang pangkalusugan sa pisikal na presensya ng isang pasyente. 
      • Kung hindi mo mapahinto ang mga wireless na kakayahan, tanggalin sa pagkakasaksak ang aparato at ihinto ang paggamit nito. Makipag-usap sa iyong tagapagbigay ng pangangalagang pangkalusugan tungkol sa paghahanap ng alternatibong monitor na pangpasyente.   
  • Bilang paalala, walang alam ang FDA na anumang insidente sa cybersecurity, pinsala, o pagkamatay na may kaugnayan sa kahinaang ito sa ngayon.
  • Mag-ulat ng anumang mga problema o komplikasyonsa iyong Contec CMS8000 na pangpasyenteng monitor o Epsimed MN-120 na pangpasyenteng monitor sa FDA. 

Mga Rekomendasyon para sa Mga Tagapagbigay ng Pangangalagang Pangkalusugan

  • Makipagtulungan sa mga kawani ng pasilidad ng pangangalagang pangkalusugan upang matukoy kung maaaring maapektuhan ang Contec CMS8000 na pangpasiyenteng monitor o Epsimed MN-120 na pangpasyenteng monitor at kung paano bawasan ang anumang kaakibat na panganib.  
  • Basahin at sundin ang mga rekomendasyon para sa mga pasyente at tagapag-alaga sa komunikasyong pangkaligtasan na ito. 
  • Tingnan ang mga Contec CMS8000 na monitor pangpasyente at mga Epsimed MN-120 na pangpasyenteng monitor para sa anumang mga senyales ng hindi pangkaraniwang paggana, tulad ng mga hindi pagkakapare-pareho sa pagitan ng mga ipinapakitang vitals ng pasyente at ang aktwal na pisikal na estado ng pasyente. 
  • Mag-ulat ng anumang mga problema sa iyong Contec CMS8000 na monitor pangpasyenteng monitor o Epsimed MN-120 na pangpasyenteng monitor sa FDA. 

Mga Rekomendasyon para sa mga Kawani ng Pasilidad ng Pangangalagang Pangkalusugan (kabilang ang mga Kawani ng Teknolohiyang Pang-impormasyon (may daglat na IT sa Ingles) at Cybersecurity)  

  • Gamitin lamang ang mga lokal na kakayahan ng pagsubaybay na aparato.
    • Kung nakadepende ang iyong monitor pangpasyente sa mga kakayahan ng malayuang pagsubaybay, tanggalin sa pagkakasaksak ang aparato at ihinto ang paggamit nito. 
    • Kung ang iyong aparato ay hindi nakadepende sa malayuang pagsubaybay na mga kakayahan, tanggalin ang ethernet cable ng aparato at huwag paganahin ang wireless (iyon ay, WiFi o cellular) na mga kakayahan. Kung hindi mo mapahinto ang mga wireless na kakayahan, ang patuloy na paggamit sa aparato ay maglalantad ng aparato sa backdoor at posibleng patuloy na paglabas ng datos ng pasyente.
  • Suriing muli ang Cybersecurity and Infrastructure Security Agency (CISA) “Mitigations” section sa abisong may kaugnayan sa mga kahinaan.  
  • Paalala, sa ngayon ay wala pang software patch na magagamit upang makatulong na mabawasan ang panganib na ito.
  • Tingnan ang mga Contec CMS8000 na monitor pangpasyente at mga Epsimed MN-120 na pangpasyenteng monitor para sa anumang mga senyales ng hindi pangkaraniwang paggana, tulad ng mga hindi pagkakapare-pareho sa pagitan ng mga ipinapakitang vitals ng pasyente at ang aktwal na pisikal na estado ng pasyente. 
  • Mag-ulat ng anumang mga problema sa iyong Contec CMS8000 na monitor pangpasyenteng monitor o Epsimed MN-120 na pangpasyenteng monitor sa FDA.

Paglalarawan ng Aparato

Ginagamit ang mga monitor pangpasyente sa mga pasilidad ng pangangalagang pangkalusugan at tahanan para sa pagpapakita ng impormasyon, tulad ng mga mahahalagang palatandaan ng isang pasyente, kabilang ang temperatura, tibok ng puso, at presyon ng dugo.

Maaaring Maapektuhan ng mga Kahinaan sa Cybersecurity ang Contec CMS8000 at Epsimed MN-120 na Pangpasiyenteng Monitor

Tatlong kahinaan sa cybersecurity ang natukoy at ang mga potensyal na epekto ng mga ito ay nahahati sa dalawang pangunahing kategorya. Maaaring samantalahin ang mahinang aparato para:

  • Hadlangan ang paggamit sa aparato, tulad ng pagkasira nito at hindi paggana gaya ng inaasahan.
  • Kunin ang kontrol sa aparato para magamit ito nang malayuan upang magsagawa ng mga hindi inaasahang o hindi kanais-nais na pagkilos, gaya ng pagsira sa datos.

Maaaring magbigay daan ang mga kahinaan sa lahat ng mahihinang Contec at Epsimed na pangpasiyenteng monitor sa isang partikular na network na mapagsamantalahan kasabay nito.

Bukod pa rito, may kasamang backdoor ang software na nasa mga pangpasyenteng monitor. Ang "Backdoor" ay ang terminong ginamit upang ilarawan ang nakatagong functionality na hindi sinasabi sa mga gumagamit ng aparato at maaaring magbigay daan sa mga hindi awtorisadong tao na malagpasan ang mga kontrol sa cybersecurity. Maaaring mabuksan at potensyal na manipulahin ng mga hindi awtorisadong tao ang aparato. Dahil sa backdoor, maaaring nakompromiso o maaaring makompromiso ang aparato at/o network kung saan nakakonekta ang aparato.

Dagdag pa rito, pinahintulutan lamang ng FDA ang mga pangpasiyenteng monitor na ito para sa wired functionality (iyon ay, pagiging konektado sa ethernet). Gayunpaman, batid ng FDA na may ilang mga pangpasiyenteng monitor na maaaring may mga wireless (iyon ay, WiFi o cellular) na mga kakayahan nang walang pahintulot ng FDA.

Natukoy ng Cybersecurity and Infrastructure Security Agency (CISA) na kapag nakakonekta na ang pangpasiyenteng monitor sa internet, magsisimula itong mangalap at maglabas (mag-withdraw) ng datos ng pasyente palayo sa sistema ng paghahatid ng pangangalagang pangkalusugan, kabilang ang paggamit ng aparato sa isang tahanan. Patuloy na nakikipagtulungan sa Contec ang FDA at CISA upang itama ang mga kahinaang ito sa lalong madaling panahon.

Unique Device Identifier (UDI)

Tumutulong ang unique device identifier na tukuyin ang mga indibidwal na aparatong medikal, kabilang ang mga pangpasiyenteng monitor, na ibinebenta sa Estados Unidos mula sa pagmamanupaktura hanggang sa pamamahagi at sa paggamit ng pasyente. Binibigyang-daan ng UDI ang mas tamang pagbabalita, pagsusuri, at pag-aaral ng mga ulat sa hindi magandang pangyayari upang matukoy ang mga aparato at posibleng mas mabilis na maiayos ang mga problema.

Maaari mong matukoy ang mga aparato na apektado sa pamamagitan ng pagsuri sa unique device identifier (UDI), na isang natatanging numeriko o alfanumerikong code na karaniwang may kasamang device identifier (DI) na tumutukoy sa labeler at sa partikular na bersyon o modelo ng isang aparato.

TatakBersyon o ModeloUDI-DI
ContecCMS8000 06945040100034
EpsimedMN-120N/A

Mga Hakbang ng FDA 

Mahigpit na binibigyang-pansin ng FDA ang anumang ulat ng mga kahinaan sa cybersecurity sa mga aparatong medikal at patuloy na makikipagtulungan ito sa Contec at CISA upang itama ang mga kahinaang ito sa lalong madaling panahon.

Patuloy na magtatasa ang FDA ng bagong impormasyon tungkol sa mga kahinaan at ipapaalam sa publiko kung magkakaroon ng makabuluhang bagong impormasyon.

Magbasa pa tungkol sa cybersecurity ng aparatong medikal.

Pag-uulat ng Mga Problema sa Iyong Aparato

Kung sa tingin mo ay nagkaroon ka ng problema sa isang Contec CMS8000 o Epsimed MN-120 na pangpasyenteng monitor, hinihikayat ka ng FDA na iulat ang problema sa pamamagitan ng MedWatch Voluntary Reporting Form.

Ang mga tauhan sa pangangalagang pangkalusugan na nagtatrabaho sa mga pasilidad na nakapailalim sa mga kinakailangan ng FDA sa pag-uulat ng gumagamit sa pasilidad ay dapat sumunod sa mga pamamaraan ng pag-uulat na itinatag ng kanilang mga pasilidad.

May mga tanong?

Kung may mga tanong ka, kontakin ang Division of Industry and Consumer Education (DICE) ng CDRH.

Back to Top