Jedną z najwcześniejszych zalet technologii było stworzenie technologii, która mogłaby ratować życie i ułatwiać leczenie chorób. GE Healthcare to międzynarodowa firma zajmująca się elektroniką zdrowotną z siedzibą w Stanach Zjednoczonych Ameryki, założona w 1994 roku.
Niedawno firma wprowadziła na rynek nową elektronikę medyczną o nazwie Monitor CARESCAPE B450 i CARESCAPETM Monitor B850, które były przeznaczone do monitorowania pacjentów, a także były łatwe do przenoszenia z pacjentami.
Cechy monitora CARESCAPET B450
Monitor CARESCAPET B450 to monitor, który monitoruje i śledzi stan pacjenta oraz śledzi wszystkie czynności podczas poruszania się pacjenta. Sprzęt jest wykonany w taki sposób, aby nie był zbyt ciężki ani nieporęczny do transportu z pacjentem. Został stworzony specjalnie do użytku w nagłych wypadkach lub operacjach chirurgicznych. Posiada również opcję połączenia bezprzewodowego, dzięki czemu pracownicy służby zdrowia mogą z łatwością uzyskać dostęp do informacji o pacjencie oraz moduł wieloparametrowy z pomiarami hemodynamicznymi i dodatkowym pomiarem jednoszerokościowym moduł.
Użytkownicy mogą skonfigurować alarmy i systemy przypomnień, które odpowiadają ich potrzebom. Umożliwia łatwy dostęp do informacji fizjologicznych o pacjentach, które pomagają im w szybszym podejmowaniu decyzji dotyczących leczenia oraz wykorzystuje algorytmy i metody, które mogą pomóc lekarzom w postawieniu diagnozy. Można go skonfigurować zgodnie z potrzebami jednostki lub liczbą i rodzajem korzystających z niej pacjentów, a dostęp do informacji można uzyskać za pośrednictwem bramy CARESCAPE z poziomu HIS/EMR. Dzięki temu urządzeniu zarówno użytkownicy, jak i lekarze pozostaną w kontakcie, można je również podłączyć do urządzeń nagrywających, drukarek itp. dla łatwego zarządzania pacjentem.
Cechy monitora CARESCAPETM B850
Z drugiej strony monitor CARESCAPETM B850 może monitorować czynności oddechowe i gazy oraz wykorzystuje algorytm Marquette* EKG z unikalną koncepcją adekwatności znieczulenia do znieczulenia dostosowanego do potrzeb. Umożliwia również monitorowanie połączenia i danych, które wykonuje również monitor CARESCAPE™ B450 i oferuje klinicznie inteligencja z telemetrii, wcześniej leki, wyniki badań laboratoryjnych dane o systemie danych kardiologicznych wśród inni.
Może być również podłączony do zewnętrznych urządzeń do przeglądania w celu zarządzania danymi.
Problemy z walidacją
Obie maszyny są bardzo łatwe w obsłudze, co sprawia, że szkolenie na nich personelu, od doświadczonego po staż, jest bardzo łatwym procesem. Interfejs użytkownika jest również bardzo intuicyjny i łatwy do zrozumienia. Ale choć te maszyny są niesamowite i pomocne, badania wykazały, że mają również problemy z bezpieczeństwem wysokiego ryzyka. Według niektórych badań przeprowadzonych przez amerykańską Agencję ds. Bezpieczeństwa i Infrastruktury (CISA) niektóre z wykrytych problemów polegały na tym, że przechowywane dane i dane uwierzytelniające nie były chronione. Oznaczało to, że dostęp do niego może uzyskać każda osoba trzecia.
Ponadto walidacja danych wejściowych nie została właściwie zweryfikowana i wymagała dodatkowej walidacji. Istnieje kilka informacji dla pacjenta, które powinny być dostępne tylko dla lekarza. Te mogą na informacjach potrzebnych dwuetapowej weryfikacji, której im brakowało. W monitorach GE Healthcare brakowało również systemów uwierzytelniania dla bardzo ważnych czynności, co oznacza, że każdy może uzyskać do nich dostęp te funkcje i przesłał wszelkie dokumenty do bazy danych pacjentów, naruszając integralność informacji w monitorze konsola. Nie ma szyfrowania w celu ochrony danych pacjentów i łatwo się do nich włamać.
Co te problemy oznaczają dla pacjentów
Wszystko to na pierwszy rzut oka może nie wydawać się zagrażające życiu, ale tak jest. Gdyby monitory padły ofiarą ataku, w oprogramowaniu urządzenia można łatwo wprowadzić niszczycielskie zmiany, które z kolei zmienią sposób jego działania i mogą być śmiertelne. Można również złagodzić ustawienia alarmów i przypomnień, co może skutkować przekroczeniem terminu. Informacje o pacjentach można również udostępniać w Internecie.
Dyskrecja jest jedną z najważniejszych rzeczy w służbie zdrowia po udanym leczeniu. Nie można tego jednak obiecać pacjentom, jeśli oprogramowanie używane do ich leczenia nie jest zabezpieczone przed cyberatakami. Informacje medyczne wpadające w niepowołane ręce nie tylko fiołki ufają, ale są też bardzo przerażające. Błędy i słaby punkt znalezione w tych urządzeniach zostały odzyskane przez badacza CyberMDX o imieniu Elad Luz, który we wrześniu 2019 r. przemianował te problemy na „MDhex” na GE i CISA. Większość problemów została po raz pierwszy wykryta w CIC Pro, innym urządzeniu elektronicznym GE Healthcare używanym przez pracowników medycznych do przechowywania danych o wysiłkach kardiochirurgicznych pacjenta.
Analizowany system działał na wersji Webmina, która została określona jako bardzo niebezpieczna i niebezpieczna. Kiedy przyjrzeli się monitorom CARESCAPETM B850 i CARESCAPETM B450, odkryli również pewne problemy z urządzeniami. I chociaż oba urządzenia są najwyższej klasy i wykonują niesamowitą pracę medyczną, nie można ich nazwać bezpiecznymi, jeśli nie są odporne na cyberataki.
Wyniki te zostały zgłoszone zespołowi GE Healthcare, który pracował nad projektem w 2019 roku. Firma obiecała wydać wersje silniejsze i mniej podatne na cyberataki.