GE Healthcare B450 และ B850 Security Exploits

ข้อได้เปรียบประการแรกสุดของเทคโนโลยีคือการสร้างเทคโนโลยีที่สามารถช่วยชีวิตและทำให้เจ็บป่วยได้ง่ายขึ้น GE Healthcare เป็นบริษัทข้ามชาติเกี่ยวกับอุปกรณ์อิเล็กทรอนิกส์เพื่อสุขภาพ ซึ่งตั้งอยู่ในสหรัฐอเมริกา และก่อตั้งขึ้นในปี 1994

เมื่อเร็วๆ นี้บริษัทได้เปิดตัวอุปกรณ์การแพทย์รุ่นใหม่ที่เรียกว่า จอภาพ CARESCAPE B450 และ CARESCAPETM Monitor B850 ที่ออกแบบมาเพื่อเฝ้าติดตามผู้ป่วยและเคลื่อนย้ายไปพร้อมกับผู้ป่วยได้ง่าย

คุณสมบัติ CARESCAPET Monitor B450

CARESCAPET Monitor B450 เป็นจอภาพที่ติดตามและติดตามความรุนแรงของผู้ป่วย และติดตามกิจกรรมทั้งหมดขณะเคลื่อนย้ายผู้ป่วย อุปกรณ์นี้ทำขึ้นเพื่อให้ไม่หนักหรือเทอะทะเกินไปในการเคลื่อนย้ายผู้ป่วย ทำขึ้นเพื่อใช้ในกรณีฉุกเฉินหรือการผ่าตัดโดยเฉพาะ นอกจากนี้ยังมีตัวเลือกสำหรับการเชื่อมต่อแบบไร้สายเพื่อให้เจ้าหน้าที่สาธารณสุขสามารถเข้าถึงข้อมูลผู้ป่วยได้อย่างง่ายดาย และโมดูลหลายพารามิเตอร์พร้อมการวัดการไหลเวียนโลหิตและการวัดความกว้างเดียวเพิ่มเติมหนึ่งรายการ โมดูล.

ผู้ใช้สามารถตั้งค่าระบบเตือนและเตือนความจำที่ตรงตามความต้องการ ช่วยให้เข้าถึงข้อมูลทางสรีรวิทยาของผู้ป่วยได้ง่าย ซึ่งช่วยในการตัดสินใจเกี่ยวกับการรักษาได้รวดเร็วขึ้น และใช้อัลกอริธึมและวิธีการที่สามารถช่วยแพทย์ในการวินิจฉัย สามารถกำหนดค่าได้ตามความต้องการของหน่วยหรือจำนวนและประเภทของผู้ป่วยที่ใช้ และข้อมูลสามารถเข้าถึงได้ผ่านเกตเวย์ CARESCAPE จาก HIS/EMR ด้วยอุปกรณ์นี้ ทั้งผู้ใช้และผู้ปฏิบัติงานทางการแพทย์จะเชื่อมต่อกันและยังสามารถเชื่อมต่อกับอุปกรณ์บันทึก เครื่องพิมพ์ ฯลฯ เพื่อการจัดการผู้ป่วยที่ง่าย

คุณสมบัติ CARECAPETM Monitor B850

ในทางกลับกัน CARESCAPETM Monitor B850 สามารถตรวจสอบกิจกรรมทางเดินหายใจและก๊าซ และใช้อัลกอริธึม Marquette* ECG ที่มีความเพียงพอเฉพาะของแนวคิดการระงับความรู้สึกสำหรับการดมยาสลบที่ปรับแต่งได้ นอกจากนี้ยังช่วยให้สามารถเชื่อมต่อและติดตามข้อมูลที่ CARESCAPETM Monitor B450 ทำได้และนำเสนอทางคลินิก ข้อมูลจาก telemetry ยาก่อนหน้านี้ ผลการทดสอบในห้องปฏิบัติการ ข้อมูลเกี่ยวกับระบบข้อมูลโรคหัวใจในหมู่ คนอื่น.

นอกจากนี้ยังสามารถเชื่อมต่อกับอุปกรณ์ดูภายนอกสำหรับการจัดการข้อมูล

ปัญหาการตรวจสอบ

เครื่องจักรทั้งสองใช้งานง่ายมาก ทำให้การฝึกอบรมพนักงาน ตั้งแต่มีประสบการณ์จนถึงการฝึกงานเป็นกระบวนการที่ง่ายมาก อินเทอร์เฟซผู้ใช้ยังใช้งานง่ายและเข้าใจง่าย แต่เครื่องเหล่านี้น่าทึ่งและให้การสนับสนุนเป็นอย่างดี ผลการศึกษาพบว่าพวกเขายังมีปัญหาด้านความปลอดภัยที่มีความเสี่ยงสูงอีกด้วย จากการศึกษาของหน่วยงานความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐานของสหรัฐอเมริกา (CISA) ปัญหาบางอย่างที่ค้นพบคือข้อมูลที่จัดเก็บและข้อมูลรับรองไม่ได้รับการปกป้อง ซึ่งหมายความว่าบุคคลที่สามสามารถเข้าถึงได้

นอกจากนี้ การตรวจสอบความถูกต้องของอินพุตไม่ได้รับการตรวจสอบอย่างถูกต้องและจำเป็นต้องมีการตรวจสอบเพิ่มเติม มีข้อมูลผู้ป่วยบางส่วนที่ควรเข้าถึงได้เฉพาะกับแพทย์เท่านั้น ข้อมูลเหล่านี้จำเป็นต้องมีการตรวจสอบสองขั้นตอนซึ่งขาดไป จอภาพของ GE Healthcare ยังขาดระบบการตรวจสอบสิทธิ์สำหรับกิจกรรมที่สำคัญมาก ซึ่งหมายความว่าทุกคนสามารถเข้าถึงได้ ฟังก์ชันเหล่านั้นและอัปโหลดเอกสารใด ๆ ลงในฐานข้อมูลผู้ป่วย ซึ่งส่งผลต่อความสมบูรณ์ของข้อมูลในจอภาพ คอนโซล ไม่มีการเข้ารหัสเพื่อปกป้องข้อมูลของผู้ป่วยและง่ายต่อการแฮ็ค

ปัญหาเหล่านี้มีความหมายต่อผู้ป่วยอย่างไร

ข้อมูลทั้งหมดนี้อาจดูไม่เป็นอันตรายถึงชีวิตแต่ก็เป็นเช่นนั้น หากจอภาพตกเป็นเหยื่อของการโจมตี การเปลี่ยนแปลงร้ายแรงสามารถเกิดขึ้นได้กับซอฟต์แวร์ของอุปกรณ์ ซึ่งจะเปลี่ยนวิธีการทำงานและอาจถึงแก่ชีวิตได้ นอกจากนี้ยังสามารถปรับการตั้งค่าการเตือนและการเตือนความจำ ซึ่งอาจทำให้เกินกำหนดส่งที่ไม่ได้รับ ข้อมูลเกี่ยวกับผู้ป่วยยังสามารถเปิดเผยต่ออินเทอร์เน็ตได้

สิ่งที่สำคัญที่สุดอย่างหนึ่งในระบบการดูแลสุขภาพหลังการรักษาที่ประสบความสำเร็จคือการใช้ดุลยพินิจ อย่างไรก็ตาม ไม่สามารถให้คำมั่นสัญญากับผู้ป่วยได้หากซอฟต์แวร์ที่ใช้รักษาพวกเขาไม่ปลอดภัยจากการโจมตีทางไซเบอร์ ข้อมูลทางการแพทย์ที่ตกไปอยู่ในมือของคนผิด ไม่เพียงแต่ไวโอเล็ตไว้ใจเท่านั้น แต่ยังน่ากลัวอีกด้วย ข้อผิดพลาดและ จุดอ่อน ที่พบในอุปกรณ์เหล่านี้ได้รับการกู้คืนโดยนักวิจัย CyberMDX ชื่อ Elad Luz ซึ่งเปลี่ยนชื่อปัญหาเหล่านั้นเป็น “MDhex” เป็น GE และ CISA ในเดือนกันยายน 2019 ปัญหาส่วนใหญ่พบครั้งแรกใน CIC Pro ซึ่งเป็นอุปกรณ์อิเล็กทรอนิกส์ของ GE Healthcare อีกเครื่องหนึ่งที่เจ้าหน้าที่ทางการแพทย์ใช้เพื่อเก็บข้อมูลเกี่ยวกับหัวใจของผู้ป่วย

เมื่อวิเคราะห์ระบบได้เรียกใช้ Webmin เวอร์ชันหนึ่งซึ่งเรียกว่าอันตรายมากและไม่ปลอดภัย เมื่อพวกเขาไปดู CARESCAPETM Monitor B850 และ CARESCAPETM Monitor B450 พวกเขาพบปัญหาบางอย่างเกี่ยวกับอุปกรณ์เช่นกัน และแม้ว่าอุปกรณ์ทั้งสองจะมีประสิทธิภาพสูงสุดและทำงานทางการแพทย์ได้อย่างยอดเยี่ยม แต่ก็ไม่สามารถเรียกได้ว่าปลอดภัยหากพวกเขาไม่มีภูมิคุ้มกันต่อการโจมตีทางไซเบอร์

การค้นพบนี้รายงานกลับไปยังทีม GE Healthcare ที่ทำงานในโครงการนี้ในปี 2019 บริษัทสัญญาว่าจะเผยแพร่เวอร์ชันที่แข็งแกร่งกว่าและมีแนวโน้มน้อยกว่าที่จะถูกโจมตีทางไซเบอร์