GE HealthcareB450およびB850のセキュリティエクスプロイト

その他Feb 02, 2022

テクノロジーの初期の利点の1つは、命を救い、病気をより管理しやすくすることができるテクノロジーを作成することでした。 GE Healthcareは、アメリカ合衆国に拠点を置く多国籍ヘルスエレクトロニクス企業であり、1994年に設立されました。

最近、同社はと呼ばれるいくつかの新しい医療用電子機器を発売しました CARESCAPEモニターB450 とCARESCAPETMMonitor B850は、どちらも患者の監視を目的としており、患者と一緒に移動するのも簡単でした。

CARESCAPETモニターB450の機能

CARESCAPET Monitor B450は、患者の鋭敏さを監視および追跡し、患者を動かすときのすべての活動を追跡するモニターです。 装置は、患者と一緒に輸送するには重すぎたりかさばったりしないように作られています。 これは、緊急事態や外科手術の場合に使用するために特別に作られています。 また、ワイヤレス接続のオプションもあるため、医療従事者は患者情報に簡単にアクセスできます 血行力学的測定と1つの追加の単一幅測定を備えたマルチパラメータモジュール モジュール。

ユーザーは、ニーズに合わせてアラームとリマインダーシステムを設定できます。 これにより、患者に関する生理学的情報に簡単にアクセスできるようになり、治療に関する意思決定を迅速に行うことができ、医師の診断に役立つアルゴリズムと方法が使用されます。 ユニットのニーズまたはそれを使用する患者の数とタイプに応じて構成でき、HIS / EMRからCARESCAPEゲートウェイを介して情報にアクセスできます。 このデバイスを使用すると、ユーザーと開業医の両方が接続されたままになり、記録デバイスやプリンターなどにも接続できます。 簡単な患者管理のため。

CARESCAPETMモニターB850の機能

一方、CARESCAPETM Monitor B850は、呼吸活動とガスを監視でき、テーラード麻酔のための独自の適切な麻酔コンセプトを備えたMarquette * ECGアルゴリズムを使用します。 また、CARESCAPETM Monitor B450が行う接続とデータの監視も可能にし、臨床を提供します テレメトリ、以前の投薬、実験室テストからのインテリジェンスは、心臓病データシステムに関するデータを その他。

また、データを管理するために外部の表示デバイスに接続することもできます。

検証の問題

どちらのマシンも非常に使いやすく、経験豊富な人からインターンシップまで、スタッフのトレーニングが非常に簡単です。 ユーザーインターフェイスも非常に直感的で理解しやすいです。 しかし、これらのマシンは驚くほどサポート力がありますが、調査によると、これらのマシンにはリスクの高いセキュリティの問題もあります。 米国サイバーセキュリティインフラストラクチャーエージェンシー(CISA)によるいくつかの調査によると、発見された問題のいくつかは、保存されたデータと資格情報が保護されていないことでした。 これは、第三者がアクセスできることを意味します。

また、入力の検証が適切に検証されておらず、追加の検証が必要でした。 医師だけがアクセスできるはずの患者情報がいくつかあります。 それらは、それが欠けていた二重段階の検証を必要とする情報について知ることができます。 GE Healthcareモニターには、非常に重要なアクティビティの認証システムもありませんでした。つまり、誰でもアクセスできます。 これらの機能とドキュメントを患者データベースにアップロードし、モニター内の情報の整合性を損なう コンソール。 患者のデータを保護するための暗号化はなく、ハッキングも簡単です。

これらの問題が患者にとって何を意味するか

これらすべては一見生命を脅かすようには見えないかもしれませんが、そうです。 モニターが攻撃の餌食になった場合、デバイスソフトウェアに壊滅的な変更を簡単に加えることができ、その結果、動作方法が変更され、致命的となる可能性があります。 アラームとリマインダーの設定も調整でき、期限を逃す可能性があります。 患者に関する情報もインターネットに公開できます。

治療が成功した後、医療制度で最も重要なことの1つは、裁量です。 ただし、患者の治療に使用されるソフトウェアがサイバー攻撃から安全でない場合、それを患者に約束することはできません。 医療情報が悪用されると、スミレは信頼するだけでなく、非常に恐ろしいものになります。 エラーと 脆弱性 これらのデバイスで見つかったものは、Elad Luzと呼ばれるCyber​​MDXの研究者によって回収され、2019年9月にこれらの問題の名前を「MDhex」に変更してGEとCISAに変更しました。 問題のほとんどは、医療従事者が患者の心臓データを保存するために使用する別のGEHealthcare電子機器であるCICProで最初に発見されました。

分析したところ、システムは非常に危険で危険と呼ばれるバージョンのWebminを実行していました。 彼らがCARESCAPETMモニターB850とCARESCAPETMモニターB450を調べたところ、デバイスにもいくつかの問題があることがわかりました。 どちらのデバイスも一流であり、驚くべき医療活動を行っていますが、サイバー攻撃の影響を受けない場合、安全とは言えません。

これらの調査結果は、2019年にプロジェクトに取り組んだGEヘルスケアチームに報告されました。 同社は、より強力でサイバー攻撃を受けにくいバージョンをリリースすることを約束しました。