U.S. flag An official website of the United States government
  1. Home
  2. Medical Devices
  3. Medical Device Safety
  4. Safety Communications
  5. 关于Contec和Epsimed某些病人监护仪的网络安全漏洞:FDA安全通信
  1. Safety Communications

关于Contec和Epsimed某些病人监护仪的网络安全漏洞:FDA安全通信

English

发布日期:2025 年 1 月 30 日

美国食品药品监督管理局 (FDA) 现提醒医疗服务提供者、医疗机构、患者和看护人员注意:康泰 (Contec) CMS8000 病人监护仪和 Epsimed MN-120 病人监护仪(即重新贴牌为 MN-120 的康泰 CMS8000 病人监护仪)在连接互联网后可能会给患者带来风险。

已发现三个网络安全漏洞:

  • 病人监护仪可能受未经授权的用户远程控制或无法正常工作。
  • 病人监护仪的软件中存在后门,这可能意味着器械本身或器械所连接的网络可能已经或可能会被入侵。
  • 病人监护仪一旦连接互联网,便会开始收集患者数据,包括个人身份信息 (PII) 和受保护的健康信息 (PHI),并将这些数据外泄(提取)到医疗服务环境之外。

这些网络安全漏洞可能会让未经授权的人员绕过网络安全控制,获取器械权限并可能操纵器械。

目前,FDA 尚未收到任何与这些网络安全漏洞相关的网络安全事件、伤害或死亡报告。 

对患者和看护人员的建议  

  • 与您的医疗服务提供者讨论您的器械是否依赖远程监控功能。远程监控是指器械使用互联网连接,允许医疗服务提供者从其他位置(如远程监控系统或中央监控系统)评估患者的生命体征。
    • 如果您的医疗服务提供者确认您所用器械依赖远程监控功能,请拔掉器械电源并停止使用。与您的医疗服务提供者讨论,寻找替代病人监护仪。 
    • 如果您的器械不依赖远程监控功能,则仅使用监护仪的本地监控功能。这意味着需要拔掉器械的网线并禁用无线(即 WiFi 或蜂窝网络)功能,这样患者生命体征只能由护理人员或医疗服务提供者在患者身边进行观察。 
      • 如果您无法禁用无线功能,请拔掉器械电源并停止使用。与您的医疗服务提供者讨论,寻找替代病人监护仪。  
  • 请注意,FDA 目前尚未收到任何与此漏洞相关的网络安全事件、伤害或死亡报告。
  • 向 FDA 报告康泰 CMS8000 病人监护仪或 Epsimed MN-120 病人监护仪的任何问题或并发症。 

对医疗保健提供者的建议

  • 与医疗机构工作人员合作,确定患者的康泰 CMS8000 病人监护仪或 Epsimed MN-120 病人监护仪是否可能受到影响,以及如何降低相关风险。 
  • 阅读并遵循本安全通报中对患者和护理人员的建议。 
  • 检查康泰 CMS8000 病人监护仪和Epsimed MN-120 病人监护仪是否有异常运行的迹象,例如显示的患者生命体征与患者实际身体状况不一致。 
  • 向 FDA 报告康泰 CMS8000 病人监护仪或 Epsimed MN-120 病人监护仪的任何问题。 

对医疗机构工作人员的建议(包括信息技术 (IT) 和网络安全人员)  

  • 仅使用器械的本地监控功能。
    • 如果您的病人监护仪依赖远程监控功能,请拔掉器械电源并停止使用。 
    • 如果您的器械依赖远程监控功能,请拔掉器械网线并禁用无线(即 WiFi 或蜂窝网络)功能。如果您无法禁用无线功能,则继续使用该器械将使其暴露于后门,并可能导致患者数据继续外泄。
  • 针对漏洞相关建议,请查看网络安全和基础设施安全局(CISA)“缓解措施”部分。 
  • 请注意,目前尚无可用的软件补丁来帮助降低此风险。
  • 检查康泰 CMS8000 病人监护仪和Epsimed MN-120 病人监护仪是否有异常运行的迹象,例如显示的患者生命体征与患者实际身体状况不一致。 
  • 向 FDA 报告康泰 CMS8000 病人监护仪或 Epsimed MN-120 病人监护仪的任何问题

器械说明

病人监护仪用于医疗和家庭环境,可显示患者信息,如生命体征,包括体温、心跳和血压。

可能影响康泰 CMS8000 和 Epsimed MN-120 病人监护仪的网络安全漏洞

已确认存在三个网络安全漏洞,其潜在影响可分为两大类。存在漏洞的器械可被利用,从而:

  • 拒绝访问器械,例如导致器械崩溃并无法正常工作。
  • 接管器械,对其进行远程控制,执行意料之外或不良操作,如破坏数据。

这些漏洞可能导致同一网络上的所有易受攻击的康泰和 Epsimed 病人监护仪同时受到攻击。

此外,病人监护仪的软件中包含后门。“后门”是指器械用户未被告知的隐藏功能,可能允许未经授权的人员绕过网络安全控制。未经授权的人员可能访问并操纵器械。考虑到存在后门,器械本身和/或器械所连接的网络可能已经或可能会被入侵。

另外,FDA 仅授权这些病人监护仪使用有线功能(即以太网连接)。但是,FDA 注意到,一些病人监护仪可能在未经 FDA 授权的情况下具有无线(即 WiFi 或蜂窝网络)功能。

网络安全和基础设施安全局 (CISA) 发现,病人监护仪一旦连接到互联网,包括在家庭环境中使用器械时,便会开始收集患者数据并将这些数据外泄(提取)到医疗服务环境之外。FDA 和 CISA 将继续与康泰合作,以尽快修正这些漏洞。

医疗器械唯一标识 (UDI)

医疗器械唯一标识系统 (UDI) 有助于识别在美国销售的医疗器械(包括病人监护仪)从生产到分销再到患者使用的全过程。通过 UDI,可以更准确地报告、审查和分析不良事件报告,从而能够更快地识别器械并修正可能存在的问题。

您可以通过查看医疗器械唯一标识 (UDI) 来识别受影响器械,UDI 是以数字或字母数字形式表示的唯一代码,通常包括器械标识符 (DI),用于识别标签制造商和器械的具体版本或型号。

品牌名称版本或型号UDI-DI
康泰CMS8000 06945040100034
EpsimedMN-120不适用

FDA 所采取的行动 

FDA 严肃对待有关医疗器械网络安全漏洞的任何报告,并将继续与康泰和 CISA 合作,以尽快修正这些漏洞。

FDA 将继续评估有关漏洞的新信息,一旦有重要新信息,将继续向公众进行通报。

了解有关医疗器械网络安全的更多信息。

报告您器械出现的问题

如果您认为康泰 CMS8000 或 Epsimed MN-120 病人监护仪有问题,FDA 鼓励您通过《MedWatch 自愿报告表》进行报告

受雇于须遵守 FDA 用户机构报告要求的机构医疗服务人员应遵循其机构制定的报告程序。

有疑问?

如果您有任何问题,请联系医疗器械和辐射健康中心 (CDRH) 的工业和消费者教育部 (DICE)

Back to Top