O fabricante de dispositivos médicos Medtronic expandiu seu recall (recolhimento de produto) de controles remotos para suas bombas de insulina MiniMed 508 e MiniMed Paradigm.
O motivo? Os dispositivos são um potencial risco de segurança cibernética. Segundo a Food and Drug Administration (FDA), dos EUA, pessoas não autorizadas podem acessar os dispositivos para alterar a quantidade de insulina fornecida a um paciente.
O FDA diz que este é um recall de Classe 1. Este é o tipo mais sério e urgente, pois esses dispositivos “podem causar ferimentos graves ou morte”.
Os controles remotos afetados são o MMT-500 e o MMT-503. Ambos são modelos mais antigos, que usam tecnologia de última geração e funcionam com o MiniMed 508 e a família de bombas de insulina MiniMed Paradigm.
A empresa diz que quem ainda usa um controle remoto em recall deve parar imediatamente, seguir as instruções para desconectar o controlador e devolvê-lo à Medtronic. (É possível ver instruções mais detalhadas aqui).
O problema é que os malfeitores podem gravar e reproduzir a frequência de rádio sem fio que o controle remoto usa para se comunicar com as bombas de insulina.
O controle remoto em si, funciona para programar a quantidade de insulina que uma pessoa precisa, sem a necessidade de pressionar nenhum botão da bomba.
Resumindo, um hacker pode adulterar propositalmente a quantidade de insulina administrada a um paciente com diabetes, podendo causar a morte.
Tecnicamente, esta não é a primeira vez que a Medtronic emitiu um recall sobre esses dispositivos. O primeiro recall foi emitido em agosto de 2018 e instruiu os usuários sobre como desativar o recurso de programação remota quando não estiver em uso.
No entanto, apenas os clientes com bombas na garantia foram notificados. A diferença é que o recall agora se estende a qualquer pessoa que possa estar usando esses dispositivos e comprou um controle remoto.
Em sua declaração, a Medtronic também afirma que os “riscos potenciais associados ao controle remoto MiniMed superam os benefícios de seu uso contínuo”. Isso é enorme, porque os dispositivos da Medtronic representam cerca de 60% do mercado de bombas de insulina dos EUA.
Ainda que nem a Medtronic nem a FDA tenham recebido relatórios sobre casos do tipo, esse é um problema sério — e que não desaparecerá tão cedo.
Ataques cibernéticos contra hospitais aumentaram durante a pandemia Covid-19. Infelizmente, isso também coloca os dispositivos médicos conectados em risco de interrupções — e a ameaça não é hipotética.
Um relatório recente do Wall Street Journal detalhou um ataque de ransomware (ladrões de sistema) em 2019, em um hospital do Alabama, que supostamente dificultou o acesso das enfermeiras aos monitores de batimentos cardíacos fetais.
A situação levou à falta de sinais de alerta da equipe de que o feto estava em perigo. Isso causou graves danos cerebrais quando o bebê nasceu e, eventualmente, causou sua morte.
Outro problema é o número de dispositivos antigos de médicos ainda em uso, que não estão equipados para resistir aos riscos modernos de segurança cibernética.
A FDA está ciente de quão vulneráveis os dispositivos médicos podem ser.
Em 2019, a agência emitiu um alerta sobre 11 vulnerabilidades de software que poderiam permitir que pessoas não autorizadas assumissem o controle de dispositivos médicos e redes hospitalares.
Uma olhada na página de segurança cibernética a FDA é uma leitura preocupante da gravidade do problema e, em 2018, eles propuseram recomendações atualizadas para ajudar os fabricantes a proteger seus produtos contra ameaças.