GE Healthcare Exploit di sicurezza B450 e B850

Uno dei primi vantaggi della tecnologia è stata la creazione di tecnologie in grado di salvare vite umane e rendere più gestibili le malattie. GE Healthcare è una multinazionale di elettronica sanitaria con sede negli Stati Uniti d'America ed è stata fondata nel 1994.

Recentemente l'azienda ha lanciato alcuni nuovi dispositivi elettronici medicali chiamati  CARESCAPE Monitor B450  e CARESCAPETM Monitor B850, entrambi destinati al monitoraggio dei pazienti ed erano anche facili da spostare con i pazienti.

Caratteristiche del monitor CARESCAPET B450

CARESCAPET Monitor B450 è un monitor che monitora e tiene traccia dell'acutezza di un paziente e tiene traccia di tutte le attività durante lo spostamento di un paziente. L'attrezzatura è realizzata in modo tale da non essere troppo pesante o ingombrante da trasportare con il paziente. È realizzato appositamente per essere utilizzato in caso di emergenze o operazioni chirurgiche. Ha anche un'opzione per la connessione wireless in modo che gli operatori sanitari possano accedere facilmente alle informazioni sui pazienti e un modulo multiparametrico con misurazioni emodinamiche e un modulo aggiuntivo di misurazione a larghezza singola.

Gli utenti possono impostare allarmi e sistemi di promemoria che si adattano alle loro esigenze. Consente un facile accesso alle informazioni fisiologiche sui pazienti che li aiutano a prendere decisioni più rapide sul trattamento e utilizza algoritmi e metodi che possono aiutare i medici con la diagnosi. Può essere configurato in base alle esigenze dell'unità o al numero e al tipo di pazienti che lo utilizzano e le informazioni sono accessibili tramite CARESCAPE Gateway dall'HIS/EMR. Con questo dispositivo, sia gli utenti che i medici rimarranno connessi e può anche essere collegato a dispositivi di registrazione, stampanti, ecc. Per una facile gestione del paziente.

Caratteristiche del monitor CARESCAPETM B850

Il monitor CARESCAPETM B850, d'altra parte, può monitorare le attività respiratorie e il gas e utilizza l'algoritmo ECG Marquette* con un concetto unico di adeguatezza dell'anestesia per un'anestesia su misura. Consente inoltre la connessione e il monitoraggio dei dati che fa anche CARESCAPETM Monitor B450 e offre intelligenza clinica dalla telemetria, in precedenza farmaci, dati sui risultati dei test di laboratorio sul sistema di dati cardiologici tra gli altri.

Può anche essere collegato a dispositivi di visualizzazione esterni per la gestione dei dati.

Problemi di convalida

Entrambe le macchine sono molto facili da usare, il che rende la formazione del personale su di essa, da esperto a tirocinio, un processo molto semplice. Anche l'interfaccia utente è molto intuitiva e di facile comprensione. Ma per quanto sorprendenti e di supporto siano queste macchine, gli studi hanno dimostrato che hanno anche problemi di sicurezza ad alto rischio. Secondo alcuni studi della US Cybersecurity and Infrastructure Agency (CISA), alcuni dei problemi scoperti erano che i dati e le credenziali archiviati non erano protetti. Ciò significava che era possibile accedervi da qualsiasi terza parte.

Inoltre, la convalida degli input non è stata convalidata correttamente e necessitava di un'ulteriore convalida. Ci sono alcune informazioni sui pazienti che dovrebbero essere accessibili solo al medico. Quelle possono sulle informazioni necessarie per la verifica in due passaggi che mancava. I monitor GE Healthcare avevano anche sistemi di autenticazione mancanti per attività molto importanti, il che significa che chiunque può accedere a tali funzioni e caricare qualsiasi documento nel database dei pazienti, compromettendo l'integrità delle informazioni nella console del monitor. Non esiste una crittografia per proteggere i dati dei pazienti ed è facile da hackerare.

Cosa significano questi problemi per i pazienti

Tutti questi a prima vista potrebbero non sembrare pericolosi per la vita, ma lo sono. Se i monitor fossero preda di un attacco, possono essere facilmente apportate modifiche devastanti al software del dispositivo che, a sua volta, cambierà il modo in cui funziona e può essere fatale. Le impostazioni di allarme e promemoria possono anche essere temperate con il che potrebbe comportare una scadenza mancata. Le informazioni sui pazienti possono anche essere esposte a Internet.

Una delle cose più importanti e ricercate nel sistema sanitario dopo un trattamento di successo è la discrezione. Ciò, tuttavia, non può essere promesso ai pazienti se il software utilizzato per curarli non è al sicuro da attacchi informatici. Le informazioni mediche che cadono nelle mani sbagliate non solo si fidano delle viole, ma sono anche molto spaventose. Gli errori e la  vulnerabilità  riscontrati in questi dispositivi sono stati recuperati da un ricercatore di CyberMDX chiamato Elad Luz che ha poi rinominato quei problemi come "MDhex", in GE e CISA nel settembre 2019. La maggior parte dei problemi è stata scoperta per la prima volta in CIC Pro, un altro GE Healthcare electronic dispositivo utilizzato dagli operatori sanitari per memorizzare i dati cardio dei pazienti.

Il sistema, quando è stato analizzato, utilizzava una versione di Webmin definita molto pericolosa e non sicura. Quando hanno esaminato il monitor CARESCAPETM B850 e il monitor CARESCAPETM B450, hanno scoperto anche alcuni problemi con i dispositivi. E sebbene entrambi i dispositivi siano di prim'ordine e svolgano un lavoro medico straordinario, non possono essere definiti sicuri se non sono immuni agli attacchi informatici.

Questi risultati sono stati riportati al team di GE Healthcare che ha lavorato al progetto nel 2019. La società ha promesso di rilasciare versioni più potenti e meno soggette ad attacchi informatici.