GE Healthcare B450 และ B850 Security Exploits

ข้อดีประการแรกสุดของเทคโนโลยีคือการสร้างเทคโนโลยีที่สามารถช่วยชีวิตและทำให้เจ็บป่วยได้ง่ายขึ้น GE Healthcare เป็นบริษัทข้ามชาติเกี่ยวกับอุปกรณ์อิเล็กทรอนิกส์เพื่อสุขภาพซึ่งตั้งอยู่ในสหรัฐอเมริกา และก่อตั้งขึ้นในปี 1994

เมื่อเร็วๆ นี้บริษัทได้เปิดตัวอุปกรณ์อิเล็กทรอนิกส์ทางการแพทย์ที่เรียกว่า  CARESCAPE Monitor B450  และ CARESCAPETM Monitor B850 ซึ่งทั้งคู่มีไว้สำหรับเฝ้าติดตามผู้ป่วยและเคลื่อนย้ายไปพร้อมกับผู้ป่วยได้ง่าย

คุณสมบัติ CARESCAPET Monitor B450

CARESCAPET Monitor B450 เป็นจอภาพที่ติดตามและติดตามความรุนแรงของผู้ป่วย และติดตามกิจกรรมทั้งหมดขณะเคลื่อนย้ายผู้ป่วย อุปกรณ์นี้ทำขึ้นเพื่อให้ไม่หนักหรือเทอะทะเกินไปในการเคลื่อนย้ายผู้ป่วย ทำขึ้นเพื่อใช้ในกรณีฉุกเฉินหรือการผ่าตัดโดยเฉพาะ นอกจากนี้ยังมีตัวเลือกสำหรับการเชื่อมต่อแบบไร้สาย เพื่อให้เจ้าหน้าที่ด้านสุขภาพสามารถเข้าถึงข้อมูลผู้ป่วยได้อย่างง่ายดาย และโมดูลหลายพารามิเตอร์พร้อมการวัดค่าโลหิตวิทยาและโมดูลการวัดความกว้างเดียวเพิ่มเติมอีกหนึ่งโมดูล

ผู้ใช้สามารถตั้งค่าระบบเตือนและเตือนความจำที่ตรงตามความต้องการ ช่วยให้เข้าถึงข้อมูลทางสรีรวิทยาของผู้ป่วยได้ง่าย ซึ่งช่วยในการตัดสินใจเกี่ยวกับการรักษาได้รวดเร็วขึ้น และใช้อัลกอริธึมและวิธีการที่สามารถช่วยแพทย์ในการวินิจฉัยโรคได้ สามารถกำหนดค่าได้ตามความต้องการของหน่วยหรือจำนวนและประเภทของผู้ป่วยที่ใช้ และข้อมูลสามารถเข้าถึงได้ผ่านเกตเวย์ CARESCAPE จาก HIS/EMR ด้วยอุปกรณ์นี้ ทั้งผู้ใช้และผู้ปฏิบัติงานทางการแพทย์จะเชื่อมต่อกันและยังสามารถเชื่อมต่อกับอุปกรณ์บันทึก เครื่องพิมพ์ ฯลฯ เพื่อการจัดการผู้ป่วยที่ง่ายดาย

คุณสมบัติ CARECAPETM Monitor B850

ในทางกลับกัน CARESCAPETM Monitor B850 สามารถตรวจสอบกิจกรรมทางเดินหายใจและก๊าซ และใช้อัลกอริธึม Marquette* ECG ที่มีความเพียงพอเฉพาะของแนวคิดการระงับความรู้สึกสำหรับการดมยาสลบที่ปรับแต่งได้ นอกจากนี้ยังช่วยให้สามารถเชื่อมต่อและติดตามตรวจสอบข้อมูลที่ CARESCAPETM Monitor B450 ทำได้และนำเสนอข้อมูลทางคลินิกจากการวัดทางไกล การใช้ยา การทดสอบในห้องปฏิบัติการ ข้อมูลเกี่ยวกับระบบข้อมูลโรคหัวใจและอื่น ๆ

นอกจากนี้ยังสามารถเชื่อมต่อกับอุปกรณ์ดูภายนอกสำหรับการจัดการข้อมูล

ปัญหาการตรวจสอบ

เครื่องจักรทั้งสองใช้งานง่ายมาก ซึ่งทำให้การฝึกอบรมพนักงาน ตั้งแต่ผู้มีประสบการณ์ไปจนถึงการฝึกงานเป็นกระบวนการที่ง่ายมาก อินเทอร์เฟซผู้ใช้ยังใช้งานง่ายและเข้าใจง่าย แต่เครื่องเหล่านี้น่าทึ่งและให้การสนับสนุนเป็นอย่างดี ผลการศึกษาพบว่าพวกเขายังมีปัญหาด้านความปลอดภัยที่มีความเสี่ยงสูงอีกด้วย จากการศึกษาของหน่วยงานความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐานของสหรัฐอเมริกา (CISA) ปัญหาบางอย่างที่ค้นพบคือข้อมูลที่จัดเก็บและข้อมูลรับรองไม่ได้รับการปกป้อง ซึ่งหมายความว่าบุคคลที่สามสามารถเข้าถึงได้

นอกจากนี้ การตรวจสอบความถูกต้องของอินพุตไม่ได้รับการตรวจสอบอย่างถูกต้องและจำเป็นต้องมีการตรวจสอบเพิ่มเติม มีข้อมูลผู้ป่วยบางอย่างที่ควรเข้าถึงได้เฉพาะกับแพทย์เท่านั้น ข้อมูลเหล่านี้จำเป็นต้องมีการตรวจสอบสองขั้นตอนซึ่งขาดไป จอภาพของ GE Healthcare ยังขาดระบบการตรวจสอบสิทธิ์สำหรับกิจกรรมที่สำคัญมาก ซึ่งหมายความว่าทุกคนสามารถเข้าถึงฟังก์ชันเหล่านั้นและอัปโหลดเอกสารใดๆ ลงในฐานข้อมูลของผู้ป่วย ซึ่งทำให้ข้อมูลในคอนโซลมอนิเตอร์เสียหาย ไม่มีการเข้ารหัสเพื่อปกป้องข้อมูลของผู้ป่วยและง่ายต่อการแฮ็ค

ปัญหาเหล่านี้มีความหมายต่อผู้ป่วยอย่างไร

ข้อมูลทั้งหมดนี้อาจดูไม่เป็นอันตรายถึงชีวิตแต่ก็เป็นเช่นนั้น หากจอภาพตกเป็นเหยื่อของการโจมตี การเปลี่ยนแปลงร้ายแรงสามารถเกิดขึ้นกับซอฟต์แวร์ของอุปกรณ์ได้ ซึ่งจะทำให้วิธีการทำงานเปลี่ยนไปและอาจถึงแก่ชีวิตได้ นอกจากนี้ยังสามารถปรับการตั้งค่าการเตือนและการเตือนความจำ ซึ่งอาจทำให้เกินกำหนดส่งที่พลาดไป ข้อมูลเกี่ยวกับผู้ป่วยยังสามารถเปิดเผยทางอินเทอร์เน็ตได้

สิ่งที่สำคัญที่สุดอย่างหนึ่งในระบบการดูแลสุขภาพหลังการรักษาที่ประสบความสำเร็จคือการใช้ดุลยพินิจ อย่างไรก็ตาม ไม่สามารถให้คำมั่นสัญญากับผู้ป่วยได้หากซอฟต์แวร์ที่ใช้รักษาพวกเขาไม่ปลอดภัยจากการโจมตีทางไซเบอร์ ข้อมูลทางการแพทย์ที่ตกไปอยู่ในมือของคนผิด ไม่เพียงแต่ไวโอเล็ตไว้ใจเท่านั้น แต่ยังน่ากลัวอีกด้วย ข้อผิดพลาดและ  ช่องโหว่ที่ พบในอุปกรณ์เหล่านี้ได้รับการกู้คืนโดยนักวิจัย CyberMDX ชื่อ Elad Luz ซึ่งเปลี่ยนชื่อปัญหาเหล่านั้นเป็น “MDhex” เป็น GE และ CISA ในเดือนกันยายน 2019 ปัญหาส่วนใหญ่ถูกค้นพบครั้งแรกใน CIC Pro ซึ่งเป็นอุปกรณ์อิเล็กทรอนิกส์ของ GE Healthcare อีกเครื่องหนึ่ง อุปกรณ์ที่เจ้าหน้าที่ทางการแพทย์ใช้เพื่อเก็บข้อมูลเกี่ยวกับหัวใจของผู้ป่วย

เมื่อวิเคราะห์ระบบได้เรียกใช้ Webmin เวอร์ชันหนึ่งซึ่งเรียกว่าอันตรายมากและไม่ปลอดภัย เมื่อพวกเขาไปดู CARESCAPETM Monitor B850 และ CARESCAPETM Monitor B450 พวกเขาพบปัญหาบางอย่างเกี่ยวกับอุปกรณ์เช่นกัน และแม้ว่าอุปกรณ์ทั้งสองจะมีประสิทธิภาพสูงสุดและทำงานทางการแพทย์ได้อย่างน่าทึ่ง แต่ก็ไม่สามารถเรียกได้ว่าปลอดภัยหากพวกเขาไม่มีภูมิคุ้มกันต่อการโจมตีทางไซเบอร์

การค้นพบนี้รายงานกลับไปยังทีม GE Healthcare ที่ทำงานในโครงการนี้ในปี 2019 บริษัทสัญญาว่าจะเผยแพร่เวอร์ชันที่แข็งแกร่งกว่าและมีแนวโน้มที่จะโจมตีทางไซเบอร์น้อยกว่า