Exploits de seguridad de GE Healthcare B450 y B850

Una de las primeras ventajas de la tecnología fue la creación de tecnología que podría salvar vidas y hacer que las enfermedades fueran más manejables. GE Healthcare es una empresa multinacional de electrónica de salud con sede en los Estados Unidos de América y fue fundada en 1994.

Recientemente, la compañía lanzó algunos nuevos dispositivos electrónicos médicos llamados  CARESCAPE Monitor B450  y CARESCAPETM Monitor B850, ambos diseñados para monitorear pacientes y también eran fáciles de mover con los pacientes.

Características del monitor CARESCAPET B450

CARESCAPET Monitor B450 es un monitor que monitorea y realiza un seguimiento de la agudeza de un paciente y rastrea todas las actividades cuando se mueve a un paciente. El equipo está fabricado de manera que no sea demasiado pesado ni voluminoso para transportarlo con el paciente. Está hecho específicamente para ser utilizado en casos de emergencias u operaciones quirúrgicas. También tiene una opción de conexión inalámbrica para que los trabajadores de la salud puedan acceder a la información del paciente con facilidad y un módulo multiparámetro con mediciones hemodinámicas y un módulo adicional de medición de ancho único.

Los usuarios pueden configurar alarmas y sistemas de recordatorios que se adapten a sus necesidades. Permite un fácil acceso a la información fisiológica sobre los pacientes que les ayuda a tomar decisiones sobre el tratamiento más rápidamente y utiliza algoritmos y métodos que pueden ayudar a los médicos con el diagnóstico. Se puede configurar según las necesidades de la unidad o el número y tipo de pacientes que lo utilicen y se puede acceder a la información a través de CARESCAPE Gateway desde el HIS / EMR. Con este dispositivo, tanto los usuarios como los médicos permanecerán conectados y también se puede conectar a dispositivos de grabación, impresoras, etc. para facilitar la gestión de los pacientes.

Características del monitor CARESCAPETM B850

El monitor CARESCAPETM B850, por otro lado, puede monitorear las actividades respiratorias y los gases y utiliza el algoritmo de ECG de Marquette * con la idoneidad única del concepto de anestesia para una anestesia personalizada. También permite la conexión y monitoreo de datos que también hace CARESCAPETM Monitor B450 y ofrece inteligencia clínica desde telemetría, previamente medicación, datos de resultados de pruebas de laboratorio sobre sistema de datos de cardiología entre otros.

También se puede conectar a dispositivos de visualización externos para la gestión de datos.

Problemas de validación

Ambas máquinas son muy fáciles de usar, lo que hace que la capacitación del personal, desde los experimentados hasta las pasantías, sea un proceso muy sencillo. La interfaz de usuario también es muy intuitiva y fácil de entender. Pero a pesar de lo asombrosas y de apoyo que son estas máquinas, los estudios han demostrado que también tienen problemas de seguridad de alto riesgo. Según algunos estudios de la Agencia de Infraestructura y Ciberseguridad de los EE. UU. (CISA), algunos de los problemas descubiertos fueron que los datos y las credenciales almacenados no estaban protegidos. Esto significaba que cualquier tercero podía acceder a él.

Además, la validación de las entradas no se validó correctamente y necesitaba una validación adicional. Hay cierta información del paciente a la que solo debe tener acceso el médico. Aquellos que pueden sobre la información necesitaban una verificación de doble paso que carecía. A los monitores de GE Healthcare también les faltaban sistemas de autenticación para actividades muy importantes, lo que significa que cualquiera puede acceder a esas funciones y cargar cualquier documento en la base de datos del paciente, comprometiendo la integridad de la información en la consola del monitor. No hay cifrado para proteger los datos de los pacientes y es fácil de piratear.

Qué significan estos problemas para los pacientes

Todo esto de un vistazo puede no parecer una amenaza para la vida, pero lo es. Si los monitores fueran víctimas de un ataque, se pueden realizar fácilmente cambios devastadores en el software del dispositivo que, a su vez, cambiarán su funcionamiento y pueden ser fatales. La configuración de alarmas y recordatorios también puede modificarse, lo que puede hacer que se pierda la fecha límite. La información sobre los pacientes también puede exponerse a Internet.

Una de las cosas más importantes y buscadas en el sistema de salud después de un tratamiento exitoso es la discreción. Eso, sin embargo, no se puede prometer a los pacientes si el software utilizado para tratarlos no está a salvo de ataques cibernéticos. La información médica que cae en manos equivocadas no solo confía en Violet, sino que también da mucho miedo. Los errores y la  vulnerabilidad  encontrados en estos dispositivos fueron recuperados por un investigador de CyberMDX llamado Elad Luz, quien luego renombró esos problemas como “MDhex”, a GE y CISA en septiembre de 2019. La mayoría de los problemas se descubrieron por primera vez en CIC Pro, otro dispositivo electrónico de GE Healthcare. dispositivo utilizado por los trabajadores médicos para almacenar datos cardiovasculares del paciente.

El sistema, cuando se analizó, estaba ejecutando una versión de Webmin que se calificó de muy peligrosa e insegura. Cuando pasaron a examinar el monitor CARESCAPETM B850 y el monitor CARESCAPETM B450, también descubrieron algunos problemas con los dispositivos. Y aunque ambos dispositivos son de primera categoría y realizan un trabajo médico asombroso, no pueden considerarse seguros si no son inmunes a los ciberataques.

Estos hallazgos se informaron al equipo de GE Healthcare que trabajó en el proyecto en 2019. La compañía prometió lanzar versiones que fueran más fuertes y menos propensas a los ataques cibernéticos.