GE Healthcare B450 및 B850 보안 익스플로잇

기술의 초기 이점 중 하나는 생명을 구하고 질병을 보다 쉽게 ​​관리할 수 있는 기술을 만드는 것이었습니다. GE Healthcare는 미국에 본사를 둔 다국적 건강 전자 회사로 1994년에 설립되었습니다.

최근에 이 회사는  환자를 모니터링하고 환자와 함께 이동하기 쉬운 CARESCAPE Monitor B450 및 CARESCAPETM Monitor B850 이라는 새로운 의료 전자 제품을 출시했습니다  .

CARESCAPET 모니터 B450 기능

CARESCAPET 모니터 B450은 환자의 시력을 모니터링 및 추적하고 환자를 이동할 때 모든 활동을 추적하는 모니터입니다. 장비는 환자와 함께 운반하기에 너무 무겁거나 부피가 크지 않도록 제작되었습니다. 응급 상황이나 외과 수술의 경우에 사용하도록 특별히 제작되었습니다. 또한 무선 연결 옵션이 있어 의료 종사자가 환자 정보에 쉽게 액세스할 수 있으며 혈역학적 측정이 포함된 다중 매개변수 모듈과 하나의 추가 단일 너비 측정 모듈이 있습니다.

사용자는 필요에 따라 알람 및 알림 시스템을 설정할 수 있습니다. 환자의 생리학적 정보에 쉽게 액세스하여 치료에 대한 결정을 더 빨리 내리는 데 도움이 되며 의사의 진단에 도움이 되는 알고리즘과 방법을 사용합니다. 기기의 필요나 사용하는 환자의 수와 유형에 따라 구성할 수 있으며 HIS/EMR에서 CARESCAPE Gateway를 통해 정보에 액세스할 수 있습니다. 이 장치를 사용하면 사용자와 의료 종사자 모두 연결 상태를 유지할 수 있으며 손쉬운 환자 관리를 위해 기록 장치, 프린터 등에 연결할 수도 있습니다.

CARESCAPETM 모니터 B850 기능

반면 CARESCAPETM Monitor B850은 호흡 활동과 가스를 모니터링할 수 있으며 맞춤형 마취를 위해 고유한 마취 개념의 적절성을 가진 Marquette* ECG 알고리즘을 사용합니다. 또한 CARESCAPETM Monitor B450과 마찬가지로 연결 및 데이터 모니터링이 가능하며 원격 측정, 이전 약물, 심장학 데이터 시스템에 대한 실험실 테스트 결과 데이터의 임상 지능을 제공합니다.

데이터 관리를 위해 외부 보기 장치에 연결할 수도 있습니다.

검증 문제

두 기계 모두 사용이 매우 간편하여 숙련된 직원부터 인턴십에 이르기까지 직원 교육이 매우 쉽습니다. 사용자 인터페이스도 매우 직관적이고 이해하기 쉽습니다. 그러나 이러한 기계만큼이나 놀랍고 지원적인 연구 결과에 따르면 이러한 기계에도 고위험 보안 문제가 있는 것으로 나타났습니다. 미국 사이버보안 및 기반시설국(CISA)의 일부 연구에 따르면 발견된 문제 중 일부는 저장된 데이터와 자격 증명이 보호되지 않는다는 것이었습니다. 이는 제3자가 액세스할 수 있음을 의미했습니다.

또한 입력 검증이 제대로 검증되지 않아 추가 검증이 필요했습니다. 의사만 접근할 수 있는 환자 정보가 있습니다. 정보가 부족한 이중 단계 확인이 필요했습니다. GE Healthcare 모니터에는 매우 중요한 활동에 대한 인증 시스템이 누락되어 있어 누구나 해당 기능에 액세스하고 모든 문서를 환자 데이터베이스에 업로드하여 모니터 콘솔의 정보 무결성을 손상시킬 수 있습니다. 환자의 데이터를 보호하기 위한 암호화가 없으며 해킹하기 쉽습니다.

이러한 문제가 환자에게 의미하는 것

이 모든 것이 한 눈에 생명을 위협하는 것처럼 보이지 않을 수 있지만 실제로는 위험합니다. 모니터가 공격의 표적이 된 경우 장치 소프트웨어에 치명적인 변경이 쉽게 이루어질 수 있으며, 이는 결과적으로 작동 방식을 변경하고 치명적일 수 있습니다. 알람 및 미리 알림 설정도 조정하여 마감일을 놓칠 수 있습니다. 환자에 대한 정보도 인터넷에 노출될 수 있습니다.

성공적인 치료 후 의료 시스템에서 가장 중요하게 요구되는 것 중 하나는 재량입니다. 그러나 환자를 치료하는 데 사용되는 소프트웨어가 사이버 공격으로부터 안전하지 않은 경우 환자에게 약속할 수 없습니다. 엉뚱한 손에 들어가는 의료정보는 제비꽃을 믿을 뿐만 아니라 무섭기도 합니다. 이러한 장치에서 발견된 오류와  취약성  은 Elad Luz라는 CyberMDX 연구원에 의해 복구되었으며, 그는 2019년 9월 이러한 문제의 이름을 "MDhex"로 GE 및 CISA로 변경했습니다. 대부분의 문제는 다른 GE Healthcare 전자 제품인 CIC Pro에서 처음 발견되었습니다. 의료 종사자가 환자의 심장 데이터를 저장하는 데 사용하는 장치.

분석 당시 시스템은 매우 위험하고 안전하지 않은 Webmin 버전을 실행하고 있었습니다. 계속해서 CARESCAPETM Monitor B850 및 CARESCAPETM Monitor B450을 살펴보았을 때 장치에서도 몇 가지 문제를 발견했습니다. 그리고 두 장치 모두 최고 수준이며 놀라운 의료 작업을 수행하지만 사이버 공격에 면역이 없으면 안전하다고 할 수 없습니다.

이러한 결과는 2019년 프로젝트에 참여한 GE Healthcare 팀에 다시 보고되었습니다. 회사는 사이버 공격에 덜 취약하고 더 강력한 버전을 출시하겠다고 약속했습니다.