GE Healthcare B450 和 B850 安全漏洞

技術最早的優勢之一是創造可以挽救生命並使疾病更易於控制的技術。GE Healthcare 是一家總部位於美國的跨國健康電子公司，成立於 1994 年。

最近，該公司推出了一些名為CARESCAPE Monitor B450 和 CARESCAPETM Monitor B850 的新型醫療電子產品 ，它們都旨在用於監測患者，並且易於與患者一起移動。

CARESCAPET Monitor B450 特點

CARESCAPET 監護儀 B450 是一款監護儀，可監測和跟踪患者的視力，並在移動患者時跟踪所有活動。該設備的製造使其不會太重或笨重，無法與患者一起運輸。它專門用於緊急情況或外科手術。它還具有無線連接選項，因此衛生工作者可以輕鬆訪問患者信息，以及具有血流動力學測量功能的多參數模塊和一個額外的單寬度測量模塊。

用戶可以根據自己的需要設置警報和提醒系統。它允許輕鬆訪問有關患者的生理信息，幫助他們更快地做出治療決策，並使用可以幫助醫生進行診斷的算法和方法。它可以根據單位的需要或使用它的患者的數量和類型進行配置，並且可以通過 HIS/EMR 的 CARESCAPE 網關訪問信息。使用此設備，用戶和醫療從業者都將保持連接，它還可以連接到記錄設備、打印機等，以便輕鬆管理患者。

CARESCAPETM 顯示器 B850 特點

另一方面，CARESCAPETM Monitor B850 可以監測呼吸活動和氣體，並使用 Marquette* ECG 算法和獨特的麻醉概念進行量身定制的麻醉。它還允許 CARESCAPETM Monitor B450 進行連接和數據監控，並提供來自遙測、先前藥物治療、有關心髒病學數據系統的實驗室測試結果數據等的臨床情報。

它還可以連接到外部查看設備進行數據管理。

驗證問題

兩台機器都非常易於使用，這使得從有經驗到實習的員工培訓變得非常容易。用戶界面也非常直觀且易於理解。但與這些機器一樣令人驚嘆和支持的研究表明，它們也存在高風險的安全問題。根據美國網絡安全和基礎設施局 (CISA) 的一些研究，發現的一些問題是存儲的數據和憑據沒有得到保護。這意味著它可以被任何第三方訪問。

此外，輸入的驗證未正確驗證，需要額外驗證。有一些患者信息只能由醫生訪問。那些可以對所需的信息進行雙步驗證，這是它所缺乏的。GE Healthcare 監護儀還缺少用於非常重要活動的身份驗證系統，這意味著任何人都可以訪問這些功能並將任何文件上傳到患者數據庫中，從而損害了監護儀控制台中信息的完整性。沒有加密來保護患者的數據，而且很容易被入侵。

這些問題對患者意味著什麼

乍一看，所有這些似乎不會危及生命，但它們確實會危及生命。如果監視器受到攻擊，則很容易對設備軟件進行破壞性更改，這反過來會改變其工作方式並且可能是致命的。警報和提醒設置也可以調整，這可能會導致錯過最後期限。有關患者的信息也可能會暴露在 Internet 上。

成功治療後，醫療保健系統中最重要、最受追捧的事情之一就是謹慎。但是，如果用於治療患者的軟件不受網絡攻擊，則無法向患者承諾這一點。醫療信息落入壞人之手不僅紫羅蘭信任，而且非常可怕。在這些設備中發現的錯誤和 漏洞 由名為 Elad Luz 的 Cyber​​MDX 研究人員恢復，他於 2019 年 9 月將這些問題重命名為“MDhex”，分別為 GE 和 CISA。大多數問題首先在另一家 GE Healthcare 電子產品 CIC Pro 中發現醫療工作者用來存儲患者心肺數據的設備。

該系統在分析時正在運行一個被稱為非常危險和不安全的 Webmin 版本。當他們繼續查看 CARESCAPETM Monitor B850 和 CARESCAPETM Monitor B450 時，他們也發現了這些設備的一些問題。雖然這兩種設備都是一流的，並且在醫療方面表現出色，但如果它們不能免受網絡攻擊，就不能被稱為安全。

這些發現已報告給 2019 年參與該項目的 GE Healthcare 團隊。該公司承諾發布更強大且不易受到網絡攻擊的版本。