GE Healthcare B450 en B850 beveiligingsexploits

Een van de eerste voordelen van technologie was het creëren van technologie die levens kon redden en ziekte beter beheersbaar kon maken. GE Healthcare is een multinationaal Health Electronics-bedrijf gevestigd in de Verenigde Staten van Amerika en werd opgericht in 1994.

Onlangs lanceerde het bedrijf een aantal nieuwe medische elektronica genaamd CARESCAPE-monitor B450 en CARESCAPETM Monitor B850 die beide bedoeld waren voor het monitoren van patiënten en ook gemakkelijk mee te nemen waren met patiënten.

CARESCAPET Monitor B450 Kenmerken:

CARESCAPET Monitor B450 is een monitor die de gezichtsscherpte van een patiënt bewaakt en bijhoudt en alle activiteiten volgt bij het verplaatsen van een patiënt. De apparatuur is zo gemaakt dat deze niet te zwaar of omvangrijk is om mee te nemen met de patiënt. Het is speciaal gemaakt om te worden gebruikt in noodgevallen of chirurgische ingrepen. Het heeft ook een optie voor een draadloze verbinding, zodat gezondheidswerkers gemakkelijk toegang hebben tot patiëntinformatie en een multiparametermodule met hemodynamische metingen en een extra enkele breedtemeting module.

Gebruikers kunnen alarm- en herinneringssystemen instellen die bij hun behoeften passen. Het biedt gemakkelijke toegang tot fysiologische informatie over patiënten die hen helpt om sneller beslissingen te nemen over de behandeling en maakt gebruik van algoritmen en methoden die artsen kunnen helpen bij de diagnose. Het kan worden geconfigureerd volgens de behoeften van de eenheid of het aantal en het type patiënten dat het gebruikt en de informatie is toegankelijk via de CARESCAPE-gateway vanuit de ZIS/EMR. Met dit apparaat blijven zowel gebruikers als artsen verbonden en kan het ook worden aangesloten op opnameapparatuur, printers, enz. voor eenvoudig patiëntenbeheer.

CARESCAPETM Monitor B850 Kenmerken:

CARESCAPETM Monitor B850, aan de andere kant, kan ademhalingsactiviteiten en gas bewaken en maakt gebruik van Marquette* ECG-algoritme met een uniek adequaat anesthesieconcept voor anesthesie op maat. Het maakt ook de verbinding en gegevensbewaking mogelijk die CARESCAPETM Monitor B450 ook doet en klinische. biedt intelligentie van telemetrie, eerder medicatie, laboratoriumtestresultaten gegevens over cardiologie datasysteem onder anderen.

Het kan ook worden aangesloten op externe weergaveapparaten voor het beheer van gegevens.

Validatieproblemen

Beide machines zijn zeer gebruiksvriendelijk, waardoor het opleiden van personeel, van ervaren tot stage, een zeer eenvoudig proces is. De gebruikersinterface is ook zeer intuïtief en gemakkelijk te begrijpen. Maar hoe geweldig en ondersteunend deze machines ook zijn, onderzoeken hebben aangetoond dat ze ook risicovolle beveiligingsproblemen hebben. Volgens sommige onderzoeken van het Amerikaanse Cybersecurity and Infrastructure Agency (CISA) waren enkele van de ontdekte problemen dat de opgeslagen gegevens en inloggegevens niet beschermd waren. Dit betekende dat het voor elke derde partij toegankelijk was.

Ook was de validatie van inputs niet goed gevalideerd en was extra validatie nodig. Sommige patiënteninformatie mag alleen voor de arts toegankelijk zijn. Die kunnen op informatie tweestapsverificatie nodig hebben die het ontbrak. De GE Healthcare-monitors hadden ook ontbrekende authenticatiesystemen voor zeer belangrijke activiteiten, wat betekent dat iedereen er toegang toe heeft deze functies en heeft alle documenten geüpload naar de patiëntendatabase, waardoor de integriteit van de informatie in de monitor in gevaar komt troosten. Er is geen encryptie om de gegevens van patiënten te beschermen en het is gemakkelijk te hacken.

Wat deze problemen betekenen voor patiënten?

Dit alles lijkt in één oogopslag misschien niet levensbedreigend, maar dat is het wel. Als de monitoren het slachtoffer zouden zijn van een aanval, kunnen eenvoudig verwoestende wijzigingen worden aangebracht in de apparaatsoftware, die op hun beurt de werking ervan zullen veranderen en fataal kunnen zijn. Alarm- en herinneringsinstellingen kunnen ook worden getemperd, wat kan leiden tot een gemiste deadline. Informatie over patiënten kan ook worden blootgesteld aan het internet.

Een van de belangrijkste zaken in de gezondheidszorg na een succesvolle behandeling is discretie. Dat kan patiënten echter niet worden beloofd als de software waarmee ze worden behandeld niet veilig is voor cyberaanvallen. Medische informatie die in verkeerde handen valt, vertrouwen viooltjes niet alleen, maar is ook heel eng. de fouten en kwetsbaarheid gevonden in deze apparaten werden teruggevonden door een CyberMDX-onderzoeker genaamd Elad Luz, die die problemen vervolgens hernoemde als "MDhex", naar GE en CISA in september 2019. De meeste problemen werden voor het eerst ontdekt in CIC Pro, een ander elektronisch apparaat van GE Healthcare dat door medisch personeel wordt gebruikt om cardiovasculaire gegevens van patiënten op te slaan.

Bij analyse draaide het systeem op een versie van Webmin die als zeer gevaarlijk en onveilig werd bestempeld. Toen ze de CARESCAPETM Monitor B850 en CARESCAPETM Monitor B450 gingen bekijken, ontdekten ze ook enkele problemen met de apparaten. En hoewel beide apparaten van topklasse zijn en geweldig medisch werk doen, kunnen ze niet veilig worden genoemd als ze niet immuun zijn voor cyberaanvallen.

Deze bevindingen werden teruggekoppeld naar het GE Healthcare-team dat in 2019 aan het project werkte. Het bedrijf beloofde versies uit te brengen die sterker waren en minder vatbaar voor cyberaanvallen.