Exploits de sécurité GE Healthcare B450 et B850

L'un des premiers avantages de la technologie a été de créer une technologie qui pourrait sauver des vies et rendre la maladie plus gérable. GE Healthcare est une société multinationale d'électronique de santé basée aux États-Unis d'Amérique et a été fondée en 1994.

Récemment, la société a lancé de nouveaux appareils électroniques médicaux appelés Moniteur CARESCAPE B450 et CARESCAPETM Monitor B850 qui étaient tous deux destinés à la surveillance des patients et il était également facile de se déplacer avec les patients.

Caractéristiques du moniteur CARESCAPET B450

CARESCAPET Monitor B450 est un moniteur qui surveille et suit l'acuité d'un patient et suit toutes les activités lors du déplacement d'un patient. L'équipement est conçu de telle sorte qu'il n'est pas trop lourd ou encombrant pour être transporté avec le patient. Il est spécialement conçu pour être utilisé en cas d'urgence ou d'opérations chirurgicales. Il dispose également d'une option de connexion sans fil pour que les agents de santé puissent accéder facilement aux informations sur les patients et un module multiparamètre avec des mesures hémodynamiques et une mesure simple largeur supplémentaire module.

Les utilisateurs peuvent configurer des alarmes et des systèmes de rappel adaptés à leurs besoins. Il permet un accès facile aux informations physiologiques sur les patients qui les aident à prendre plus rapidement des décisions concernant le traitement et utilise des algorithmes et des méthodes qui peuvent aider les médecins dans le diagnostic. Il peut être configuré en fonction des besoins de l'unité ou du nombre et du type de patients qui l'utilisent et les informations sont accessibles via CARESCAPE Gateway depuis le SIH/DME. Avec cet appareil, les utilisateurs et les médecins resteront connectés et il peut également être connecté à des appareils d'enregistrement, des imprimantes, etc. pour une prise en charge simplifiée des patients.

Caractéristiques du moniteur CARESCAPETM B850

Le moniteur CARESCAPETM B850, d'autre part, peut surveiller les activités respiratoires et les gaz et utilise l'algorithme ECG de Marquette* avec un concept unique d'adéquation de l'anesthésie pour une anesthésie sur mesure. Il permet également la connexion et la surveillance des données que CARESCAPETM Monitor B450 fait également et offre des intelligence de la télémétrie, anciennement médicaments, résultats des tests de laboratoire données sur le système de données de cardiologie parmi autres.

Il peut également être connecté à des dispositifs de visualisation externes pour la gestion des données.

Problèmes de validation

Les deux machines sont très faciles à utiliser, ce qui facilite grandement la formation du personnel, de l'expérience au stage. L'interface utilisateur est également très intuitive et facile à comprendre. Mais aussi étonnantes et utiles que soient ces machines, des études ont montré qu'elles présentaient également des problèmes de sécurité à haut risque. Selon certaines études de la US Cybersecurity and Infrastructure Agency (CISA), certains des problèmes découverts étaient que les données et les informations d'identification stockées n'étaient pas protégées. Cela signifiait qu'il pouvait être consulté par n'importe quel tiers.

De plus, la validation des entrées n'a pas été validée correctement et a nécessité une validation supplémentaire. Certaines informations sur les patients ne devraient être accessibles qu'au médecin. Ceux-ci peuvent sur les informations nécessaires à la vérification en double étape qui lui manquait. Les moniteurs GE Healthcare avaient également des systèmes d'authentification manquants pour des activités très importantes, ce qui signifie que n'importe qui peut accéder ces fonctions et téléchargé des documents dans la base de données des patients, compromettant l'intégrité des informations du moniteur console. Il n'y a pas de cryptage pour protéger les données des patients et il est facile de pirater.

Ce que ces problèmes signifient pour les patients

Tout cela en un coup d'œil peut ne pas sembler mortel, mais ils le sont. Si les moniteurs étaient la proie d'une attaque, des modifications dévastatrices peuvent facilement être apportées au logiciel de l'appareil, ce qui, à son tour, modifiera son fonctionnement et peut être fatal. Les paramètres d'alarme et de rappel peuvent également être tempérés, ce qui peut entraîner une échéance manquée. Les informations sur les patients peuvent également être exposées sur Internet.

L'une des choses les plus importantes et les plus recherchées dans le système de santé après un traitement réussi est la discrétion. Cela, cependant, ne peut être promis aux patients si le logiciel utilisé pour les traiter n'est pas à l'abri des cyberattaques. Les informations médicales tombant entre de mauvaises mains, non seulement les violettes font confiance, mais elles sont aussi très effrayantes. Les erreurs et vulnérabilité trouvés dans ces appareils ont été récupérés par un chercheur de CyberMDX appelé Elad Luz qui a ensuite renommé ces problèmes en « MDhex », en GE et CISA en septembre 2019. La plupart des problèmes ont été découverts pour la première fois dans CIC Pro, un autre appareil électronique de GE Healthcare utilisé par le personnel médical pour stocker les données cardio des patients.

Le système, lors de l'analyse, exécutait une version de Webmin qualifiée de très dangereuse et peu sûre. Lorsqu'ils ont examiné les moniteurs CARESCAPETM B850 et CARESCAPETM Monitor B450, ils ont également découvert des problèmes avec les appareils. Et bien que les deux appareils soient de premier ordre et fassent un travail médical incroyable, ils ne peuvent pas être qualifiés de sûrs s'ils ne sont pas à l'abri des cyberattaques.

Ces résultats ont été rapportés à l'équipe de GE Healthcare qui a travaillé sur le projet en 2019. La société a promis de publier des versions plus solides et moins sujettes aux cyberattaques.