Voltar

Alerta 2686 (Tecnovigilância) - Roche Diagnóstica Brasil Ltda - Cobas h232 / Accu-Chek Inform II / Sistema Coagucheck / CoaguChek Pro II - Atualizações de software relacionadas à segurança cibernética.

Área: GGMON

Número: 2686

Ano: 2018

Resumo:

Alerta 2686 (Tecnovigilância) - Roche Diagnóstica Brasil Ltda - Cobas h232 / Accu-Chek Inform II / Sistema Coagucheck / CoaguChek Pro II - Atualizações de software relacionadas à segurança cibernética.


Identificação do produto ou caso:

Nome Comercial: Cobas h232 / Accu-Chek Inform II / Sistema Coagucheck / CoaguChek Pro II Nome Técnico: Instrumento para hemostasia / Instrumento para glicose - Point of Care Testing (profissional) / Instrumento autoteste para parâmetros de coagulação / Instrumento para hemostasia Número de registro ANVISA: 10287410670 / 10287410863 / 10287410562 / 10287411201 Classe de Risco: II / III / III / II Modelo afetado: N/A Números de série afetados: Ver anexo "Lista de números de série"


Problema:

A empresa detentora dos registros informou que, com objetivo de fornecer maior segurança cibernética aos produtos, planeja lançar atualizações de software que possam impedir ou reduzir o risco de produtos serem explorados por ataques cibernéticos. Esses riscos potenciais de ataques cibernéticos incluem confidencialidade, disponibilidade e integridade do sistema.

Informou que, como a segurança cibernética de dispositivos médicos é uma responsabilidade compartilhada entre várias partes interessadas, incluindo unidades de saúde, provedores e fabricantes, recomenda uma atualização de software dos dispositivos para melhorar a segurança cibernética.

Afirmou que os esforços para realizar um ataque cibernético de sucesso nesses dispositivos foram avaliados como sendo altamente complexos, já que os invasores com intenção criminosa precisariam acessar fisicamente, manipular os dispositivos ou invadir a rede de assistência médica para explorar com sucesso possíveis vulnerabilidades. Assim, a probabilidade de impactar a segurança do paciente de tal exploração foi avaliada como remota à teórica.


Ação:

Ação de Campo Código SBN-CPS-2018-011 sob responsabilidade da empresa Roche Diagnóstica Brasil Ltda. Orientação sobre Segurança Cibernética de Instrumentos Point-of-Care. Atualização de software é opcional para esta Ação.


Histórico:

Notificação feita pela empresa em atendimento à RDC 23/2012 (que dispõe sobre a obrigatoriedade de execução e notificação de ação de campo por parte do detentor do registro do produto para a saúde).

Empresa detentora do registro: Roche Diagnóstica Brasil Ltda. - CNPJ: 30.280.358/0001-86 - Avenida Engenheiro Billings, 1729 - Prédio 38 - São Paulo - SP. Tel: 11 3719-8464. E-mail: paula.bresciani@roche.com

Fabricante do produto: Roche Diagnostics GmBH - Sandhofer Strasse 116 - 68305 - Alemanha


Recomendações:

 A empresa detentora dos registros recomendou uma atualização de software dos dispositivos (Sistemas Accu-Chek® Inform II, cobas h 232, CoaguChek® Pro II e CoaguChek®XS Plus/XS Pro) para melhorar a segurança cibernética. Informou que, uma vez que a probabilidade de afetar a segurança do paciente de tal exploração é avaliada como remota, a atualização não é obrigatória (é opcional).

Informou que as atualizações de software serão lançadas pelo fabricante até outubro de 2018.

A empresa também recomendou as seguintes medidas para aumentar a segurança cibernética:

1 - Para dispositivos conectados (Internet e Wi-fi): Restringir o acesso físico e de rede ao dispositivo e à infraestrutura anexa, ativando os recursos de segurança do dispositivo; Proteger pontos finais de conexão contra acesso não autorizado, roubo e software malicioso; Monitorar o sistema e a infraestrutura de rede em busca de atividades suspeitas e reportar uma ação suspeita de acordo com a política local.

2 - Para dispositivos não conectados:  Proteger contra acesso não autorizado, roubo e manipulação.

A empresa solicitou aos clientes que, caso optem pela atualização de software recomendada pela Roche Diagnóstica Brasil, entrem em contato com a Central de Atendimento CEAC pelo telefone 08007720295 ou pelo e-mail brasil.ceac@roche.com

Caso queira notificar queixas técnicas e eventos adversos utilize os canais abaixo:

Notivisa: Notificações de eventos adversos (EA) e queixas técnicas (QT) para produtos sujeitos à Vigilância Sanitária devem ser feitos por meio do Sistema NOTIVISA (http://portal.anvisa.gov.br/notivisa). Para acessar o Sistema, é preciso se cadastrar e selecionar a opção Profissional de Saúde, se for um profissional liberal ou a opção Instituição/Entidade, se for um profissional de uma instituição/entidade.

Sistema de Tecnovigilância: Paciente ou cidadão pode notificar por meio do Sistema de Tecnovigilância/SISTEC acesso por meio do link <http://www.anvisa.gov.br/sistec/notificacaoavulsa/notificacaoavulsa1.asp>




Informações Complementares:

 - Data de identificação do problema pela empresa: 13/08/2018

 - Data da entrada da notificação para a Anvisa: 06/09/2018

A empresa detentora do registro do produto afetado é responsável por contatar, oportunamente, seus clientes de modo a garantir a efetividade da Ação de Campo em curso.

Destaca-se a responsabilidade solidária da cadeia de distribuição e uso dos produtos para a saúde na manutenção de sua qualidade, segurança e eficácia, bem como da efetividade da Ação de Campo, expressa pela RDC 23/2012:

“(...) Art. 2° Entende-se por detentor de registro de produto para a saúde o titular do registro/cadastro de produto para a saúde junto à Anvisa.

Parágrafo único. O detentor de registro, bem como os demais agentes envolvidos desde a produção até o uso do produto, ou descarte deste quando couber, são solidariamente responsáveis pela manutenção da qualidade, segurança e eficácia dos produtos para a saúde até o consumidor final.

Art. 12 Os distribuidores de produtos para a saúde devem encaminhar para o detentor de registro, em tempo hábil, o mapa de distribuição e outras informações solicitadas para a notificação e execução de ações de campo. (...)”