Проблема касается анестезиологических машин, используемых во многих больницах по всему миру.
CyberMDX сказал, что успешный злоумышленник сможет изменить количество анестетика, доставляемого пациенту.
Сигнализация, предназначенная для предупреждения анестезиологов о любой опасности, также может быть отключена.
GE Healthcare, которая производит машины, сказала, что «прямого риска для пациента» не было.
Но исследование CyberMDX показало, что устройства Aespire и Aestiva 7100 и 7900 могут быть использованы хакерами, если их оставить доступными в больничных компьютерных сетях.
Анализ, проведенный BBC News, обнаружил в Интернете многочисленные ссылки на машины Aespire и Aestiva, используемые в больницах NHS.
Университетская клиника Ноттингемского университета (NUH) NHS Trust подтвердила, что «небольшое количество» устройств в настоящее время используется на ее объектах, но постепенно сокращается.
«Ни одна из машин для анестезии не подключена к Интернету или сети NUH, поэтому существует очень небольшой риск, связанный с этими аппаратами в NUH», - сказал ее представитель.
NHS Digital заявила, что не может подтвердить степень, в которой машины все еще использовались в NHS.
«В настоящее время мы оцениваем объем этих конкретных наркозных аппаратов, используемых по всей Англии, и в ближайшие дни мы поделимся с вами любым последующим советом», - сказала пресс-секретарь.
Элад Луз, руководитель отдела исследований в CyberMDX, сказал, что ему известно о больницах в США и Азии, где также используются эти устройства.
GE Healthcare заявила, что удовлетворена тем, что кибератака «не будет представлять клиническую опасность или риск для пациента».
Он сказал, что это потому, что анестезиологические устройства были проверены анестезиологами и будут проверяться на наличие ошибок.
Компания сообщила, что не планирует выпускать какие-либо обновления безопасности для наркозных аппаратов, но больницы должны использовать безопасные сетевые протоколы, чтобы защитить их от потенциальных хакеров.
GE Healthcare отреагировала на сообщения о проблеме со своими машинами
Вредоносный хакер может попытаться получить доступ к сети больницы, найти одну из машин и затем настроить ее, сказал профессор Гарольд Тимблби, эксперт по кибербезопасности медицинских устройств, в университете Суонси.
И он привел пример WannaCry, вспышки вымогателей, которая распространилась по компьютерным сетям NHS в 2017 году, чтобы проиллюстрировать, как может разворачиваться атака.
«Как и в случае с WannaCry, фишинговая атака может получить доступ, а затем злоумышленник может делать то, что ему нравится», - сказал он.
«Учитывая всемирный профиль WannaCry, удивительные уязвимости, подобные этой, все еще существуют».
Д-р Хельги Йоханнссон, консультант-анестезиолог и член Совета анестезиологов Королевского колледжа анестезиологов, считает, что вероятность причинения вреда пациенту при взломе этих устройств была «невероятно мала».
«Пациентов следует заверить в том, что их анестезиолог будет постоянно следить за ними и потратил много лет обучения, чтобы немедленно исправить ситуацию с неисправностью устройства».