Exploits de sécurité GE Healthcare B450 et B850

L'un des premiers avantages de la technologie a été de créer une technologie qui pourrait sauver des vies et rendre la maladie plus gérable. GE Healthcare est une société multinationale d'électronique de santé basée aux États-Unis d'Amérique et fondée en 1994.

Récemment, la société a lancé de nouveaux appareils électroniques médicaux appelés  CARESCAPE Monitor B450  et CARESCAPETM Monitor B850, tous deux destinés à la surveillance des patients et faciles à déplacer avec les patients.

Caractéristiques du moniteur CARESCAPET B450

Le moniteur CARESCAPET B450 est un moniteur qui surveille et garde une trace de l'acuité d'un patient et suit toutes les activités lors du déplacement d'un patient. L'équipement est conçu de telle sorte qu'il n'est pas trop lourd ou encombrant à transporter avec le patient. Il est spécialement conçu pour être utilisé en cas d'urgence ou d'opérations chirurgicales. Il dispose également d'une option de connexion sans fil pour que les agents de santé puissent accéder facilement aux informations sur les patients et d'un module multi-paramètres avec mesures hémodynamiques et d'un module de mesure simple largeur supplémentaire.

Les utilisateurs peuvent configurer des alarmes et des systèmes de rappel qui correspondent à leurs besoins. Il permet un accès facile aux informations physiologiques sur les patients qui les aident à prendre des décisions de traitement plus rapidement et utilise des algorithmes et des méthodes qui peuvent aider les médecins à poser le diagnostic. Il peut être configuré en fonction des besoins de l'unité ou du nombre et du type de patients qui l'utilisent et les informations sont accessibles via CARESCAPE Gateway à partir du HIS/EMR. Avec cet appareil, les utilisateurs et les médecins restent connectés et il peut également être connecté à des appareils d'enregistrement, des imprimantes, etc. pour une gestion facile des patients.

Caractéristiques du moniteur CARESCAPETM B850

Le moniteur CARESCAPETM B850, d'autre part, peut surveiller les activités respiratoires et les gaz et utilise l'algorithme ECG Marquette* avec une adéquation unique du concept d'anesthésie pour une anesthésie sur mesure. Il permet également la connexion et la surveillance des données que CARESCAPETM Monitor B450 fait également et offre une intelligence clinique à partir de la télémétrie, des données antérieures sur les médicaments, les résultats des tests de laboratoire sur le système de données de cardiologie, entre autres.

Il peut également être connecté à des dispositifs de visualisation externes pour la gestion des données.

Problèmes de validation

Les deux machines sont très faciles à utiliser, ce qui facilite grandement la formation du personnel, de l'expérimenté au stage. L'interface utilisateur est également très intuitive et facile à comprendre. Mais aussi étonnantes et utiles que soient ces machines, des études ont montré qu'elles présentaient également des problèmes de sécurité à haut risque. Selon certaines études de l'Agence américaine de cybersécurité et d'infrastructure (CISA), certains des problèmes découverts étaient que les données et les informations d'identification stockées n'étaient pas protégées. Cela signifiait qu'il pouvait être consulté par n'importe quel tiers.

De plus, la validation des entrées n'était pas validée correctement et nécessitait une validation supplémentaire. Certaines informations relatives aux patients ne devraient être accessibles qu'au médecin. Ceux-ci peuvent, sur la base des informations, avoir besoin d'une vérification en deux étapes, ce qui leur manquait. Les moniteurs GE Healthcare avaient également des systèmes d'authentification manquants pour des activités très importantes, ce qui signifie que n'importe qui peut accéder à ces fonctions et télécharger des documents dans la base de données des patients, compromettant l'intégrité des informations dans la console du moniteur. Il n'y a pas de cryptage pour protéger les données des patients et il est facile de les pirater.

Ce que ces problèmes signifient pour les patients

Tout cela en un coup d'œil peut ne pas sembler mortel, mais ils le sont. Si les moniteurs étaient la proie d'une attaque, des modifications dévastatrices peuvent facilement être apportées au logiciel de l'appareil, ce qui, à son tour, modifiera son fonctionnement et peut être fatal. Les paramètres d'alarme et de rappel peuvent également être tempérés, ce qui peut entraîner un délai non respecté. Les informations sur les patients peuvent également être exposées sur Internet.

L'une des choses les plus importantes et les plus recherchées dans le système de santé après un traitement réussi est la discrétion. Cela ne peut cependant pas être promis aux patients si le logiciel utilisé pour les traiter n'est pas à l'abri des cyberattaques. Les informations médicales tombant entre de mauvaises mains non seulement les violettes font confiance, mais elles sont également très effrayantes. Les erreurs et la  vulnérabilité  trouvées dans ces appareils ont été récupérées par un chercheur CyberMDX appelé Elad Luz qui a ensuite renommé ces problèmes en « MDhex » en GE et CISA en septembre 2019. La plupart des problèmes ont été découverts pour la première fois dans CIC Pro, un autre appareil électronique de GE Healthcare. appareil utilisé par le personnel médical pour stocker les données cardio des patients.

Le système, lorsqu'il a été analysé, utilisait une version de Webmin qualifiée de très dangereuse et peu sûre. Lorsqu'ils ont examiné les moniteurs CARESCAPETM B850 et CARESCAPETM Monitor B450, ils ont également découvert des problèmes avec les appareils. Et bien que les deux appareils soient de premier ordre et effectuent un travail médical incroyable, ils ne peuvent pas être qualifiés de sûrs s'ils ne sont pas immunisés contre les cyberattaques.

Ces résultats ont été rapportés à l'équipe de GE Healthcare qui a travaillé sur le projet en 2019. La société a promis de publier des versions plus puissantes et moins sujettes aux cyberattaques.