GE Healthcare B450 및 B850 보안 익스플로잇

기술의 초기 이점 중 하나는 생명을 구하고 질병을 보다 쉽게 ​​관리할 수 있는 기술을 만드는 것이었습니다. GE Healthcare는 미국에 본사를 둔 다국적 건강 전자 회사로 1994년에 설립되었습니다.

최근 회사는 새로운 의료 전자 제품을 출시했습니다. 케어스케이프 모니터 B450 그리고 환자 모니터링을 위한 CARESCAPETM Monitor B850과 환자와 함께 이동하기 쉬웠습니다.

CARESCAPET 모니터 B450 기능

CARESCAPET 모니터 B450은 환자의 시력을 모니터링 및 추적하고 환자를 이동할 때 모든 활동을 추적하는 모니터입니다. 장비는 환자와 함께 운반하기에 너무 무겁거나 부피가 크지 않도록 제작되었습니다. 응급 상황이나 외과 수술의 경우에 사용하도록 특별히 제작되었습니다. 또한 무선 연결 옵션이 있어 의료 종사자가 환자 정보에 쉽게 액세스할 수 있습니다. 및 혈역학적 측정 및 하나의 추가 단일 너비 측정이 있는 다중 매개변수 모듈 기준 치수.

사용자는 필요에 따라 알람 및 알림 시스템을 설정할 수 있습니다. 환자의 생리학적 정보에 쉽게 접근하여 치료에 대한 결정을 더 빨리 내리는 데 도움이 되며 의사의 진단에 도움이 되는 알고리즘과 방법을 사용합니다. 기기의 필요나 사용하는 환자의 수와 유형에 따라 구성할 수 있으며 HIS/EMR에서 CARESCAPE Gateway를 통해 정보에 액세스할 수 있습니다. 이 장치를 사용하면 사용자와 의료 종사자 모두 연결 상태를 유지할 수 있으며 녹음 장치, 프린터 등에 연결할 수도 있습니다. 간편한 환자 관리를 위해

CARESCAPETM 모니터 B850 기능

반면 CARESCAPETM Monitor B850은 호흡 활동과 가스를 모니터링할 수 있으며 맞춤형 마취를 위해 고유한 마취 개념의 적절성을 갖춘 Marquette* ECG 알고리즘을 사용합니다. 또한 CARESCAPETM Monitor B450이 수행하는 연결 및 데이터 모니터링이 가능하며 임상 원격 측정의 지능, 이전 약물, 실험실 테스트 결과 심장학 데이터 시스템에 대한 데이터 다른 사람.

데이터 관리를 위해 외부 보기 장치에 연결할 수도 있습니다.

검증 문제

두 기계 모두 사용이 매우 간편하여 숙련된 직원부터 인턴십까지 직원 교육이 매우 쉽습니다. 사용자 인터페이스도 매우 직관적이고 이해하기 쉽습니다. 그러나 이러한 기계가 훌륭하고 도움이 되는 만큼 연구에 따르면 이 기계에도 고위험 보안 문제가 있는 것으로 나타났습니다. 미국 사이버 보안 및 인프라 기관(CISA)의 일부 연구에 따르면 발견된 문제 중 일부는 저장된 데이터와 자격 증명이 보호되지 않는다는 것이었습니다. 이는 제3자가 액세스할 수 있음을 의미했습니다.

또한 입력 검증이 제대로 검증되지 않아 추가 검증이 필요했습니다. 의사만 접근할 수 있는 환자 정보가 있습니다. 정보가 부족한 이중 단계 확인이 필요했습니다. GE Healthcare 모니터에는 매우 중요한 활동에 대한 인증 시스템이 누락되어 누구나 액세스할 수 있습니다. 이러한 기능을 수행하고 모든 문서를 환자 데이터베이스에 업로드하여 모니터 정보의 무결성을 손상시킵니다. 콘솔. 환자의 데이터를 보호하기 위한 암호화가 없으며 해킹하기 쉽습니다.

이러한 문제가 환자에게 의미하는 것

이 모든 것이 한 눈에 생명을 위협하는 것처럼 보이지 않을 수 있지만 실제로는 위험합니다. 모니터가 공격의 표적이 된 경우 장치 소프트웨어에 치명적인 변경이 쉽게 이루어질 수 있으며, 이는 결과적으로 작동 방식을 변경하고 치명적일 수 있습니다. 알람 및 미리 알림 설정도 조정하여 마감일을 놓칠 수 있습니다. 환자에 대한 정보도 인터넷에 노출될 수 있습니다.

성공적인 치료 후 의료 시스템에서 가장 중요한 것 중 하나는 재량입니다. 그러나 환자를 치료하는 데 사용되는 소프트웨어가 사이버 공격으로부터 안전하지 않은 경우 환자에게 약속할 수 없습니다. 엉뚱한 손에 들어가는 의료정보는 제비꽃을 믿을 뿐만 아니라 무섭기도 합니다. 오류 및 취약성 이러한 장치에서 발견된 문제는 Elad Luz라는 CyberMDX 연구원에 의해 복구된 후 해당 문제의 이름을 2019년 9월에 GE 및 CISA로 "MDhex"로 변경했습니다. 대부분의 문제는 의료 종사자가 환자 심장 데이터를 저장하는 데 사용하는 또 다른 GE Healthcare 전자 장치인 CIC Pro에서 처음 발견되었습니다.

분석 당시 시스템은 매우 위험하고 안전하지 않은 Webmin 버전을 실행하고 있었습니다. CARESCAPETM Monitor B850 및 CARESCAPETM Monitor B450을 살펴보니 장치에서도 몇 가지 문제가 발견되었습니다. 그리고 두 장치 모두 최고 수준이며 놀라운 의료 작업을 수행하지만 사이버 공격에 면역이 없으면 안전하다고 할 수 없습니다.

이러한 결과는 2019년 프로젝트에 참여한 GE Healthcare 팀에 다시 보고되었습니다. 회사는 더 강력하고 사이버 공격에 취약한 버전을 출시하겠다고 약속했습니다.