GE Healthcare B450 a B850 Security Exploits

Jednou z prvních výhod technologie bylo vytvoření technologie, která by mohla zachraňovat životy a dělat nemoci lépe zvládnutelné. GE Healthcare je nadnárodní společnost zabývající se zdravotnickou elektronikou se sídlem ve Spojených státech amerických a byla založena v roce 1994.

Nedávno společnost uvedla na trh novou lékařskou elektroniku tzv Monitor CARESCAPE B450 a CARESCAPETM Monitor B850, které byly oba určeny pro monitorování pacientů a také se s nimi dalo snadno pohybovat.

Vlastnosti monitoru CARESCAPET B450

CARESCAPET Monitor B450 je monitor, který monitoruje a sleduje pacientovu ostrost a sleduje všechny aktivity při pohybu pacienta. Zařízení je vyrobeno tak, aby nebylo příliš těžké nebo objemné pro přepravu s pacientem. Je vyroben speciálně pro použití v případech nouze nebo chirurgických operací. Má také možnost bezdrátového připojení, takže zdravotníci mohou snadno přistupovat k informacím o pacientovi a multiparametrový modul s hemodynamickými měřeními a jedním dalším měřením jedné šířky modul.

Uživatelé si mohou nastavit alarmy a systémy připomenutí, které odpovídají jejich potřebám. Umožňuje snadný přístup k fyziologickým informacím o pacientech, které jim pomáhají rychleji se rozhodovat o léčbě, a využívá algoritmy a metody, které mohou lékařům pomoci s diagnózou. Lze jej nakonfigurovat podle potřeb jednotky nebo počtu a typu pacientů, kteří ji používají, a informace jsou přístupné přes bránu CARESCAPE z HIS/EMR. S tímto zařízením zůstanou uživatelé i lékaři ve spojení a lze jej také připojit k záznamovým zařízením, tiskárnám atd. pro snadnou správu pacienta.

Vlastnosti monitoru CARESCAPETM B850

Monitor CARESCAPETM B850 na druhé straně dokáže monitorovat respirační aktivity a plyny a využívá algoritmus EKG Marquette* s unikátním konceptem přiměřenosti anestezie pro anestezii na míru. Umožňuje také připojení a monitorování dat, které provádí také CARESCAPETM Monitor B450, a nabízí klinické inteligence z telemetrie, dříve medikace, výsledky laboratorních testů údaje o kardiologickém datovém systému mezi ostatní.

Lze jej také připojit k externím zobrazovacím zařízením pro správu dat.

Problémy s validací

Oba stroje jsou velmi snadno ovladatelné, díky čemuž je školení personálu na nich, od zkušených až po stáž, velmi snadný proces. Uživatelské rozhraní je také velmi intuitivní a snadno pochopitelné. Ale jakkoli jsou tyto stroje úžasné a podpůrné, studie ukázaly, že mají také vysoce rizikové bezpečnostní problémy. Podle některých studií americké Agentury pro kybernetickou bezpečnost a infrastrukturu (CISA) některé ze zjištěných problémů spočívaly v tom, že uložená data a přihlašovací údaje nebyly chráněny. To znamenalo, že k němu mohla mít přístup jakákoli třetí strana.

Také validace vstupů nebyla řádně validována a vyžadovala další validaci. Některé informace o pacientech by měly být dostupné pouze lékaři. Ti mohou na informace potřebovat dvoufázové ověření, které jim chybělo. Monitory GE Healthcare také postrádaly autentizační systémy pro velmi důležité činnosti, což znamená, že k nim má přístup kdokoli tyto funkce a nahrál jakékoli dokumenty do databáze pacientů, čímž narušil integritu informací na monitoru řídicí panel. Neexistuje žádné šifrování, které by chránilo data pacientů, a je snadné se do něj nabourat.

Co tyto problémy znamenají pro pacienty

To vše se na první pohled nemusí zdát životu nebezpečné, ale je. Pokud byly monitory obětí útoku, lze v softwaru zařízení snadno provést zničující změny, které následně změní způsob jeho fungování a mohou být fatální. Nastavení budíku a připomenutí lze také zmírnit, což může způsobit zmeškání termínu. Informace o pacientech mohou být také zveřejněny na internetu.

Jednou z nejdůležitějších a nejžádanějších věcí ve zdravotnictví po úspěšné léčbě je diskrétnost. To však nelze pacientům slíbit, pokud software používaný k jejich léčbě není bezpečný před kybernetickými útoky. Lékařské informace, které se dostanou do nesprávných rukou, nejenže oslabují důvěru, ale jsou také velmi děsivé. Chyby a zranitelnost nalezené v těchto zařízeních byly obnoveny výzkumníkem CyberMDX jménem Elad Luz, který pak tyto problémy v září 2019 přejmenoval na „MDhex“ na GE a CISA. Většina problémů byla poprvé objevena v CIC Pro, dalším elektronickém zařízení GE Healthcare používaném zdravotníky k ukládání kardio dat pacientů.

V systému byla při analýze spuštěna verze Webminu, která byla označena jako velmi nebezpečná a nebezpečná. Když se podívali na CARESCAPETM Monitor B850 a CARESCAPETM Monitor B450, zjistili také nějaké problémy se zařízeními. A přestože jsou obě zařízení špičková a odvádějí úžasnou lékařskou práci, nelze je označit za bezpečná, pokud nejsou imunní vůči kybernetickým útokům.

Tato zjištění byla nahlášena týmu GE Healthcare, který na projektu pracoval v roce 2019. Společnost slíbila, že vydá verze, které budou silnější a méně náchylné ke kybernetickým útokům.