Wykorzystywanie zabezpieczeń B450 i B850 firmy GE Healthcare

Jedną z najwcześniejszych zalet technologii było stworzenie technologii, która mogłaby ratować życie i ułatwiać leczenie chorób. GE Healthcare to międzynarodowa firma zajmująca się elektroniką zdrowotną z siedzibą w Stanach Zjednoczonych Ameryki, założona w 1994 roku.

Niedawno firma wprowadziła na rynek nowe urządzenia elektroniczne o nazwie  CARESCAPE Monitor B450  i CARESCAPETM Monitor B850, które były przeznaczone zarówno do monitorowania pacjentów, jak i do łatwego przemieszczania się wraz z pacjentami.

Cechy monitora CARESCAPET B450

Monitor CARESCAPET B450 to monitor, który monitoruje i śledzi stan pacjenta oraz śledzi wszystkie czynności podczas poruszania się pacjenta. Sprzęt jest wykonany w taki sposób, aby nie był zbyt ciężki ani nieporęczny do transportu z pacjentem. Został stworzony specjalnie do użycia w nagłych wypadkach lub operacjach chirurgicznych. Posiada również opcję połączenia bezprzewodowego, dzięki czemu pracownicy służby zdrowia mogą z łatwością uzyskać dostęp do informacji o pacjencie, a także moduł wieloparametrowy z pomiarami hemodynamicznymi i jeden dodatkowy moduł pomiarowy o pojedynczej szerokości.

Użytkownicy mogą skonfigurować alarmy i systemy przypomnień, które odpowiadają ich potrzebom. Umożliwia łatwy dostęp do informacji fizjologicznych o pacjentach, które pomagają im w szybszym podejmowaniu decyzji dotyczących leczenia oraz wykorzystuje algorytmy i metody, które mogą pomóc lekarzom w postawieniu diagnozy. Można go skonfigurować zgodnie z potrzebami jednostki lub liczbą i rodzajem korzystających z niej pacjentów, a dostęp do informacji można uzyskać za pośrednictwem bramy CARESCAPE z poziomu HIS/EMR. Dzięki temu urządzeniu zarówno użytkownicy, jak i lekarze pozostaną w kontakcie, można je również podłączyć do urządzeń rejestrujących, drukarek itp. w celu łatwego zarządzania pacjentami.

Cechy monitora CARESCAPETM B850

Z drugiej strony monitor CARESCAPETM B850 może monitorować czynności oddechowe i gazy oraz wykorzystuje algorytm Marquette* EKG z unikalną koncepcją adekwatności znieczulenia do znieczulenia dostosowanego do potrzeb. Umożliwia również monitorowanie połączenia i danych, które wykonuje również CARESCAPETM Monitor B450, a także oferuje inteligencję kliniczną z telemetrii, wcześniej leków, danych wyników badań laboratoryjnych dotyczących między innymi systemu danych kardiologicznych.

Może być również podłączony do zewnętrznych urządzeń do przeglądania w celu zarządzania danymi.

Problemy z walidacją

Obie maszyny są bardzo łatwe w obsłudze, co sprawia, że ​​szkolenie na nich personelu, od doświadczonego po staż, jest bardzo łatwym procesem. Interfejs użytkownika jest również bardzo intuicyjny i łatwy do zrozumienia. Ale choć te maszyny są niesamowite i pomocne, badania wykazały, że mają również problemy z bezpieczeństwem wysokiego ryzyka. Według niektórych badań przeprowadzonych przez amerykańską Agencję ds. Bezpieczeństwa i Infrastruktury (CISA) niektóre z wykrytych problemów polegały na tym, że przechowywane dane i dane uwierzytelniające nie były chronione. Oznaczało to, że dostęp do niego może uzyskać każda osoba trzecia.

Ponadto walidacja danych wejściowych nie została właściwie zwalidowana i wymagała dodatkowej walidacji. Istnieją pewne informacje dla pacjenta, które powinny być dostępne tylko dla lekarza. Te mogą na informacjach potrzebnych dwuetapowej weryfikacji, której im brakowało. W monitorach GE Healthcare brakowało również systemów uwierzytelniania dla bardzo ważnych czynności, co oznacza, że ​​każdy może uzyskać dostęp do tych funkcji i przesłać dowolne dokumenty do bazy danych pacjentów, naruszając integralność informacji w konsoli monitora. Nie ma szyfrowania w celu ochrony danych pacjentów i łatwo się do nich włamać.

Co te problemy oznaczają dla pacjentów

Wszystko to na pierwszy rzut oka może nie wydawać się zagrażające życiu, ale tak jest. Gdyby monitory padły ofiarą ataku, w oprogramowaniu urządzenia można łatwo wprowadzić niszczycielskie zmiany, które z kolei zmienią sposób jego działania i mogą być śmiertelne. Można również złagodzić ustawienia alarmów i przypomnień, co może skutkować przekroczeniem terminu. Informacje o pacjentach można również udostępniać w Internecie.

Jedną z najważniejszych rzeczy w służbie zdrowia po udanym leczeniu jest dyskrecja. Nie można tego jednak obiecać pacjentom, jeśli oprogramowanie używane do ich leczenia nie jest zabezpieczone przed cyberatakami. Informacje medyczne wpadające w niepowołane ręce nie tylko ufają fiołkom, ale są też bardzo przerażające. Błędy i  luki  znalezione w tych urządzeniach zostały naprawione przez badacza CyberMDX o imieniu Elad Luz, który następnie przemianował te problemy na „MDhex” na GE i CISA we wrześniu 2019 r. Większość problemów została po raz pierwszy wykryta w CIC Pro, innym elektronicznym oprogramowaniu GE Healthcare. urządzenie używane przez pracowników medycznych do przechowywania danych o wysiłkach kardiochirurgicznych pacjenta.

Analizowany system działał na wersji Webmina, która została określona jako bardzo niebezpieczna i niebezpieczna. Kiedy przyjrzeli się monitorom CARESCAPETM B850 i CARESCAPETM B450, odkryli również pewne problemy z urządzeniami. I chociaż oba urządzenia są najwyższej klasy i wykonują niesamowitą pracę medyczną, nie można ich nazwać bezpiecznymi, jeśli nie są odporne na cyberataki.

Odkrycia te zostały zgłoszone zespołowi GE Healthcare, który pracował nad projektem w 2019 r. Firma obiecała wydać wersje silniejsze i mniej podatne na cyberataki.