De FBI heeft een waarschuwing afgegeven voor ziekenhuizen en andere zorginstellingen over het gevaar van ongepatchte medische apparatuur (pdf). Medische apparaten blijven meestal tien tot dertig jaar in gebruik. Het kan echter voorkomen dat de systemen in deze periode niet meer met updates worden ondersteund of belangrijke beveiligingsfeatures missen, aldus de Amerikaanse opsporingsdienst.

Aanvallers kunnen in deze oude medische apparaten kwetsbaarheden vinden en hier misbruik van maken. Niet alleen moeten zorginstellingen alert zijn op ongepatchte medische systemen, apparatuur in de standaardconfiguratie van de fabrikant is vaak ook kwetsbaar voor aanvallen, zo laat de FBI verder weten. Een ander probleem is dat medische apparatuur soms aangepaste software draait waardoor er speciale updateprocedures zijn, wat het uitrollen van patches kan vertragen.

Daarnaast zijn medische apparaten soms niet met security in het achterhoofd ontwikkeld, omdat de ontwikkelaars ervan uitgingen dat de apparatuur toch niet aan aanvallers zou worden blootgesteld. Misbruik van kwetsbaarheden in medische apparatuur kan echter de werking van de apparaten, veiligheid van patiënten, vertrouwelijkheid van data en data-integriteit in gevaar brengen.

Om de risico's van legacy apparatuur te verminderen adviseert de FBI het gebruik van endpointbeveiliging zoals antivirussoftware, het versleutelen van data op medische apparaten, patchmanagement en het onderwijzen van personeel om potentiële dreigingen te kunnen identificeren en rapporteren.