Jednou z prvých výhod technológie bolo vytvorenie technológie, ktorá by mohla zachraňovať životy a robiť choroby lepšie zvládnuteľné. GE Healthcare je nadnárodná spoločnosť zaoberajúca sa zdravotníckou elektronikou so sídlom v Spojených štátoch amerických a bola založená v roku 1994.
Nedávno spoločnosť uviedla na trh novú medicínsku elektroniku tzv Monitor CARESCAPE B450 a CARESCAPETM Monitor B850, ktoré boli určené na monitorovanie pacientov a zároveň sa s nimi dalo ľahko pohybovať.
Vlastnosti monitora CARESCAPET B450
CARESCAPET Monitor B450 je monitor, ktorý monitoruje a sleduje ostrosť pacienta a sleduje všetky aktivity pri pohybe pacienta. Zariadenie je vyrobené tak, aby nebolo príliš ťažké alebo objemné na prepravu s pacientom. Je vyrobený špeciálne na použitie v prípadoch núdze alebo chirurgických operácií. Má tiež možnosť bezdrôtového pripojenia, takže zdravotnícki pracovníci môžu ľahko pristupovať k informáciám o pacientovi a viacparametrový modul s hemodynamickými meraniami a jedným dodatočným meraním jednej šírky modul.
Používatelia si môžu nastaviť alarmy a systémy pripomienok, ktoré zodpovedajú ich potrebám. Umožňuje jednoduchý prístup k fyziologickým informáciám o pacientoch, ktoré im pomáhajú rýchlejšie sa rozhodovať o liečbe a využíva algoritmy a metódy, ktoré môžu lekárom pomôcť s diagnózou. Dá sa nakonfigurovať podľa potrieb jednotky alebo počtu a typu pacientov, ktorí ju používajú, a informácie sú prístupné cez bránu CARESCAPE z HIS/EMR. S týmto zariadením zostanú používatelia aj lekári v spojení a možno ho pripojiť aj k záznamovým zariadeniam, tlačiarňam atď. pre jednoduchú správu pacienta.
Vlastnosti monitora CARESCAPETM B850
Monitor CARESCAPETM B850 na druhej strane dokáže monitorovať dýchacie aktivity a plyny a využíva algoritmus EKG Marquette* s unikátnym konceptom primeranosti anestézie pre anestéziu na mieru. Umožňuje tiež pripojenie a monitorovanie údajov, ktoré robí aj CARESCAPETM Monitor B450 a ponúka klinické inteligencia z telemetrie, predtým lieky, laboratórne testy výsledky údajov o kardiológii dátový systém medzi iní.
Môže byť tiež pripojený k externým zobrazovacím zariadeniam na správu údajov.
Problémy s validáciou
Obidva stroje sa veľmi ľahko používajú, vďaka čomu je školenie personálu na nich, od skúsených až po prax, veľmi jednoduchým procesom. Používateľské rozhranie je tiež veľmi intuitívne a ľahko pochopiteľné. Ale akokoľvek sú tieto stroje úžasné a podporujúce, štúdie ukázali, že majú aj vysoko rizikové bezpečnostné problémy. Podľa niektorých štúdií americkej Agentúry pre kybernetickú bezpečnosť a infraštruktúru (CISA) niektoré zo zistených problémov spočívali v tom, že uložené údaje a poverenia neboli chránené. To znamenalo, že k nemu mohla mať prístup akákoľvek tretia strana.
Validácia vstupov tiež nebola správne overená a vyžadovala si ďalšiu validáciu. Niektoré informácie o pacientovi by mali byť dostupné iba lekárovi. Tie môžu na informácie potrebné dvojstupňové overenie, ktoré im chýbalo. Monitorom GE Healthcare tiež chýbali autentifikačné systémy pre veľmi dôležité činnosti, čo znamená, že k nim má prístup ktokoľvek tieto funkcie a nahrali akékoľvek dokumenty do databázy pacientov, čím sa narušila integrita informácií na monitore konzoly. Neexistuje žiadne šifrovanie na ochranu údajov pacientov a je ľahké ho preniknúť.
Čo tieto problémy znamenajú pre pacientov
To všetko sa na prvý pohľad nemusí zdať život ohrozujúce, ale je. Ak boli monitory korisťou útoku, v softvéri zariadenia možno ľahko vykonať zničujúce zmeny, ktoré následne zmenia jeho fungovanie a môžu byť fatálne. Nastavenia budíkov a pripomienok možno tiež zmierniť, čo môže spôsobiť zmeškanie termínu. Informácie o pacientoch môžu byť zverejnené aj na internete.
Jednou z najdôležitejších vecí v zdravotníctve po úspešnej liečbe je diskrétnosť. To však nemožno sľúbiť pacientom, ak softvér používaný na ich liečbu nie je bezpečný pred kybernetickými útokmi. Lekárske informácie, ktoré sa dostanú do nesprávnych rúk, nielenže oslabujú dôveru, ale sú aj veľmi desivé. Chyby a zraniteľnosť nájdené v týchto zariadeniach boli obnovené výskumníkom CyberMDX s názvom Elad Luz, ktorý potom v septembri 2019 premenoval tieto problémy na „MDhex“ na GE a CISA. Väčšina problémov bola prvýkrát objavená v CIC Pro, ďalšom elektronickom zariadení GE Healthcare, ktoré používajú zdravotnícki pracovníci na ukladanie kardio údajov pacientov.
V systéme bola pri analýze spustená verzia Webmin, ktorá bola označená ako veľmi nebezpečná a nebezpečná. Keď sa pozreli na CARESCAPETM Monitor B850 a CARESCAPETM Monitor B450, zistili aj nejaké problémy so zariadeniami. A hoci sú obe zariadenia špičkové a vykonávajú úžasnú lekársku prácu, nemožno ich označiť za bezpečné, ak nie sú imúnne voči kybernetickým útokom.
Tieto zistenia boli nahlásené tímu GE Healthcare, ktorý na projekte pracoval v roku 2019. Spoločnosť sľúbila, že vydá verzie, ktoré budú silnejšie a menej náchylné na kybernetické útoky.