GE Healthcare B450 e B850 Security Exploits

Uma das primeiras vantagens da tecnologia foi criar tecnologia que pudesse salvar vidas e tornar as doenças mais controláveis. GE Healthcare é uma empresa multinacional de Eletrônicos de Saúde com sede nos Estados Unidos da América e foi fundada em 1994.

Recentemente, a empresa lançou alguns novos produtos eletrônicos médicos chamados  CARESCAPE Monitor B450  e CARESCAPETM Monitor B850, ambos destinados ao monitoramento de pacientes e também fáceis de transportar com os pacientes.

Características do CARESCAPET Monitor B450

O CARESCAPET Monitor B450 é um monitor que monitora e rastreia a acuidade do paciente e rastreia todas as atividades ao mover um paciente. O equipamento é feito de modo que não seja muito pesado ou volumoso para ser transportado com o paciente. É feito especificamente para ser usado em casos de emergência ou operações cirúrgicas. Ele também tem uma opção de conexão sem fio para que os profissionais de saúde possam acessar as informações do paciente com facilidade e um módulo multiparâmetro com medições hemodinâmicas e um módulo de medição de largura única adicional.

Os usuários podem configurar alarmes e sistemas de lembrete de acordo com suas necessidades. Ele permite fácil acesso às informações fisiológicas dos pacientes que os auxiliam na tomada de decisões sobre o tratamento com mais rapidez e utiliza algoritmos e métodos que podem auxiliar os médicos no diagnóstico. Pode ser configurado de acordo com a necessidade da unidade ou do número e tipo de pacientes que o utilizam e as informações podem ser acessadas via Portal CARESCAPE do HIS / EMR. Com este dispositivo, tanto os usuários quanto os médicos ficarão conectados e ele também pode ser conectado a dispositivos de gravação, impressoras, etc. para facilitar o gerenciamento do paciente.

Características do CARESCAPETM Monitor B850

O CARESCAPETM Monitor B850, por outro lado, pode monitorar atividades respiratórias e gases e usa o algoritmo Marquette * ECG com adequação exclusiva do conceito de anestesia para anestesia personalizada. Também permite a conexão e o monitoramento dos dados que o CARESCAPETM Monitor B450 também faz e oferece inteligência clínica desde telemetria, anteriormente medicamentos, dados de resultados de exames laboratoriais sobre sistema de dados de cardiologia entre outros.

Também pode ser conectado a dispositivos de visualização externos para gerenciamento de dados.

Problemas de validação

Ambas as máquinas são muito fáceis de usar, o que torna o treinamento do pessoal, desde o experiente até o estágio, um processo muito fácil. A interface do usuário também é muito intuitiva e fácil de entender. Mas, por mais incríveis e úteis que sejam essas máquinas, estudos têm mostrado que elas também têm problemas de segurança de alto risco. De acordo com alguns estudos da Agência de Segurança e Infraestrutura dos Estados Unidos (CISA), alguns dos problemas descobertos foram que os dados armazenados e as credenciais não estavam protegidos. Isso significava que ele poderia ser acessado por terceiros.

Além disso, a validação das entradas não foi validada adequadamente e precisava de validação extra. Existem algumas informações do paciente que só devem ser acessíveis ao médico. Aqueles podem na informação necessária verificação em duas etapas que faltava. Os monitores GE Healthcare também tinham sistemas de autenticação ausentes para atividades muito importantes, o que significa que qualquer pessoa pode acessar essas funções e fazer upload de quaisquer documentos no banco de dados do paciente, comprometendo a integridade das informações no console do monitor. Não há criptografia para proteger os dados dos pacientes e é fácil de hackear.

O que esses problemas significam para os pacientes

Tudo isso à primeira vista pode não parecer uma ameaça à vida, mas é. Se os monitores forem vítimas de um ataque, mudanças devastadoras podem ser feitas facilmente no software do dispositivo, o que, por sua vez, muda a forma como ele funciona e pode ser fatal. As configurações de alarme e lembrete também podem ser moderadas, o que pode resultar em um prazo perdido. As informações sobre os pacientes também podem ser expostas na Internet.

Uma das coisas mais importantes e mais procuradas no sistema de saúde depois de um tratamento bem-sucedido é a discrição. Isso, entretanto, não pode ser prometido aos pacientes se o software usado para tratá-los não estiver seguro contra ataques cibernéticos. Informações médicas caindo em mãos erradas não só confiam em violetas, mas também são muito assustadoras. Os erros e a  vulnerabilidade  encontrados nesses dispositivos foram recuperados por um pesquisador CyberMDX chamado Elad Luz, que então renomeou esses problemas como “MDhex”, para GE e CISA em setembro de 2019. A maioria dos problemas foi descoberta pela primeira vez no CIC Pro, outro eletrônico da GE Healthcare dispositivo usado por profissionais da área médica para armazenar dados cardiovasculares do paciente.

O sistema, quando analisado, estava executando uma versão do Webmin que foi considerada muito perigosa e insegura. Quando eles examinaram o CARESCAPETM Monitor B850 e o CARESCAPETM Monitor B450, eles descobriram alguns problemas com os dispositivos também. E embora ambos os dispositivos sejam de primeira linha e façam um trabalho médico incrível, eles não podem ser considerados seguros se não forem imunes a ataques cibernéticos.

Essas descobertas foram relatadas à equipe da GE Healthcare que trabalhou no projeto em 2019. A empresa prometeu lançar versões que eram mais fortes e menos sujeitas a ataques cibernéticos.