Exploitacions de seguretat de GE Healthcare B450 i B850

Un dels primers avantatges de la tecnologia va ser crear tecnologia que podria salvar vides i fer que les malalties fossin més manejables. GE Healthcare és una empresa multinacional d'electrònica de salut amb seu als Estats Units d'Amèrica i va ser fundada l'any 1994.

Recentment, l'empresa va llançar una nova electrònica mèdica anomenada  CARESCAPE Monitor B450  i CARESCAPETM Monitor B850 que estaven pensades per controlar pacients i també era fàcil de moure amb pacients.

Característiques del monitor CARESCAPET B450

CARESCAPET Monitor B450 és un monitor que supervisa i fa un seguiment de l'agudesa d'un pacient i fa un seguiment de totes les activitats quan es mou un pacient. L'equip està fet de manera que no sigui massa pesat o voluminós per transportar-lo amb el pacient. Està fet específicament per ser utilitzat en casos d'urgències o intervencions quirúrgiques. També té una opció de connexió sense fil perquè els treballadors sanitaris puguin accedir a la informació del pacient amb facilitat i un mòdul multiparàmetre amb mesures hemodinàmiques i un mòdul addicional de mesurament d'amplada única.

Els usuaris poden configurar alarmes i sistemes de recordatoris segons les seves necessitats. Permet un fàcil accés a la informació fisiològica dels pacients que els ajuda a prendre decisions sobre el tractament més ràpidament i utilitza algorismes i mètodes que poden ajudar els metges amb el diagnòstic. Es pot configurar segons les necessitats de la unitat o el nombre i tipus de pacients que l'utilitzen i es pot accedir a la informació a través de CARESCAPE Gateway des del HIS/EMR. Amb aquest dispositiu, tant els usuaris com els metges es mantindran connectats i també es pot connectar a dispositius de gravació, impressores, etc. per facilitar la gestió del pacient.

Característiques del monitor CARESCAPETM B850

El monitor CARESCAPETM B850, d'altra banda, pot controlar les activitats respiratòries i els gasos i utilitza l'algoritme d'ECG de Marquette* amb un concepte d'anestèsia adequat per a una anestèsia personalitzada. També permet la connexió i el seguiment de dades que CARESCAPETM Monitor B450 també fa i ofereix intel·ligència clínica des de telemetria, anteriorment medicació, dades de resultats de proves de laboratori sobre sistema de dades de cardiologia entre d'altres.

També es pot connectar a dispositius de visualització externs per a la gestió de dades.

Problemes de validació

Ambdues màquines són molt fàcils d'utilitzar, cosa que fa que la formació del personal, des d'una experiència fins a una pràctica, sigui un procés molt fàcil. La interfície d'usuari també és molt intuïtiva i fàcil d'entendre. Però, per molt sorprenents i solidaris que són aquestes màquines, els estudis han demostrat que també tenen problemes de seguretat d'alt risc. Segons alguns estudis de l'Agència de Ciberseguretat i Infraestructura dels Estats Units (CISA), alguns dels problemes descoberts van ser que les dades i credencials emmagatzemades no estaven protegides. Això significava que qualsevol tercer podria accedir-hi.

A més, la validació de les entrades no es va validar correctament i necessitava una validació addicional. Hi ha informació del pacient que només hauria de ser accessible per al metge. Aquells que poden tenir informació necessitaven una verificació en dos passos que no tenien. Als monitors de GE Healthcare també faltaven sistemes d'autenticació per a activitats molt importants, la qual cosa significa que qualsevol persona pot accedir a aquestes funcions i carregar qualsevol document a la base de dades de pacients, comprometent la integritat de la informació de la consola del monitor. No hi ha xifratge per protegir les dades dels pacients i és fàcil de piratejar-hi.

Què signifiquen aquests problemes per als pacients

Tot això d'un cop d'ull pot no semblar potencialment mortal, però ho són. Si els monitors van ser víctima d'un atac, es poden fer fàcilment canvis devastadors al programari del dispositiu que, al seu torn, canviaran el seu funcionament i poden ser fatals. La configuració d'alarmes i recordatoris també es pot moderar, cosa que pot suposar un termini perdut. La informació sobre pacients també es pot exposar a Internet.

Una de les coses més importants més buscades en el sistema sanitari després d'un tractament amb èxit és la discreció. Això, però, no es pot prometre als pacients si el programari utilitzat per tractar-los no està segur dels atacs cibernètics. La informació mèdica que cau en mans equivocades no només les violetes confien, sinó que també fa molta por. Els errors i la  vulnerabilitat  trobats en aquests dispositius van ser recuperats per un investigador de CyberMDX anomenat Elad Luz que després va canviar el nom d'aquests problemes com a "MDhex", a GE i CISA el setembre de 2019. La majoria dels problemes es van descobrir per primera vegada a CIC Pro, una altra electrònica de GE Healthcare. dispositiu utilitzat pels treballadors mèdics per emmagatzemar les dades cardio del pacient.

Quan es va analitzar, el sistema funcionava amb una versió de Webmin que es va anomenar molt perillosa i insegura. Quan van mirar el monitor CARESCAPETM B850 i el monitor CARESCAPETM B450, també van descobrir alguns problemes amb els dispositius. I tot i que tots dos dispositius són de primer nivell i fan un treball mèdic increïble, no es poden qualificar de segurs si no són immunes als ciberatacs.

Aquestes troballes es van informar a l'equip de GE Healthcare que va treballar en el projecte el 2019. La companyia va prometre llançar versions més fortes i menys propenses als ciberatacs.