Експлойти на сигурността на GE Healthcare B450 и B850

Едно от най-ранните предимства на технологията беше създаването на технология, която може да спаси животи и да направи болестта по-управляема. GE Healthcare е мултинационална фирма за здравна електроника, базирана в Съединените американски щати и е основана през 1994 г.

Наскоро компанията пусна нова медицинска електроника, наречена  CARESCAPE Monitor B450  и CARESCAPETM Monitor B850, които бяха предназначени за наблюдение на пациенти и също така бяха лесни за придвижване с пациенти.

CARESCAPET Монитор B450 Характеристики

CARESCAPET Monitor B450 е монитор, който следи и следи остротата на пациента и проследява всички дейности при преместване на пациент. Оборудването е направено така, че да не е твърде тежко или обемисто за транспортиране с пациента. Създаден е специално за използване в случаи на спешни случаи или хирургични операции. Освен това има опция за безжична връзка, така че здравните работници да имат лесен достъп до информацията за пациента, както и многопараметричен модул с хемодинамични измервания и един допълнителен модул за измерване с една ширина.

Потребителите могат да настроят аларми и системи за напомняне, които отговарят на техните нужди. Той позволява лесен достъп до физиологична информация за пациентите, която им помага да вземат по-бързо решения за лечение и използва алгоритми и методи, които могат да помогнат на лекарите с диагнозата. Може да се конфигурира според нуждите на отделението или броя и вида на пациентите, които го използват, и информацията може да бъде достъпна чрез CARESCAPE Gateway от HIS/EMR. С това устройство както потребителите, така и практикуващите лекари ще останат свързани и то също може да бъде свързано към записващи устройства, принтери и т.н. за лесно управление на пациентите.

Характеристики на монитора CARESCAPETM B850

CARESCAPETM Monitor B850, от друга страна, може да наблюдава дихателните дейности и газове и използва алгоритъм на Marquette* ЕКГ с уникална адекватност на концепцията за анестезия за персонализирана анестезия. Той също така позволява свързването и наблюдението на данни, което прави и CARESCAPETM Monitor B450, и предлага клинична информация от телеметрия, предишни лекарства, данни от резултатите от лабораторни тестове за системата за кардиологични данни, наред с други.

Може също да бъде свързан към външни устройства за гледане за управление на данни.

Проблеми с валидирането

И двете машини са много лесни за използване, което прави обучението на персонал на тях, от опитен до стаж, много лесен процес. Потребителският интерфейс също е много интуитивен и лесен за разбиране. Но колкото и невероятни и подкрепящи да са тези машини, проучванията показват, че те също имат високорискови проблеми със сигурността. Според някои проучвания на Агенцията за киберсигурност и инфраструктура на САЩ (CISA) някои от откритите проблеми са, че съхранените данни и идентификационни данни не са защитени. Това означаваше, че може да бъде достъпен от всяка трета страна.

Също така, валидирането на входните данни не беше валидирано правилно и се нуждаеше от допълнително валидиране. Има информация за пациента, която трябва да бъде достъпна само за лекаря. Тези може да имат нужда от проверка в две стъпки, която им липсваше. Мониторите на GE Healthcare също имаха липсващи системи за удостоверяване за много важни дейности, което означава, че всеки може да получи достъп до тези функции и да качи всякакви документи в базата данни на пациентите, компрометирайки целостта на информацията в конзолата на монитора. Няма криптиране за защита на данните на пациентите и е лесно да се хакне.

Какво означават тези проблеми за пациентите

Всичко това на пръв поглед може да не изглежда животозастрашаващо, но са. Ако мониторите са били жертва на атака, опустошителни промени могат лесно да бъдат направени в софтуера на устройството, което от своя страна ще промени начина му на работа и може да бъде фатално. Настройките за аларма и напомняния също могат да бъдат коригирани, което може да доведе до пропуснат краен срок. Информацията за пациентите може да бъде изложена и в Интернет.

Едно от най-важните и най-търсените неща в здравната система след успешно лечение е дискретността. Това обаче не може да се обещае на пациентите, ако софтуерът, използван за лечението им, не е защитен от кибератаки. Медицинската информация, попадаща в грешни ръце, не само се доверява на теменужките, но е и много страшна. Грешките и  уязвимостите,  открити в тези устройства, бяха възстановени от изследовател на CyberMDX на име Елад Луз, който след това преименува тези проблеми на „MDhex“ на GE и CISA през септември 2019 г. Повечето от проблемите бяха открити за първи път в CIC Pro, друга електронна GE Healthcare устройство, използвано от медицински работници за съхраняване на кардио данни на пациента.

Системата, когато беше анализирана, работеше с версия на Webmin, която беше наречена много опасна и опасна. Когато продължиха да разгледат CARESCAPETM Monitor B850 и CARESCAPETM Monitor B450, те откриха и някои проблеми с устройствата. И докато и двете устройства са първокласни и вършат невероятна медицинска работа, те не могат да бъдат наречени безопасни, ако не са имунизирани срещу кибератаки.

Тези констатации бяха съобщени на екипа на GE Healthcare, който работи по проекта през 2019 г. Компанията обеща да пусне версии, които са по-силни и по-малко податливи на кибератаки.