GE Healthcare B450 és B850 biztonsági kihasználások

A technológia egyik legkorábbi előnye az volt, hogy olyan technológiát hoztak létre, amely életeket menthet, és kezelhetőbbé teheti a betegségeket. A GE Healthcare egy multinacionális egészségügyi elektronikai cég, amelynek székhelye az Amerikai Egyesült Államokban található, és 1994-ben alakult.

A közelmúltban a cég piacra dobott néhány új orvosi elektronikát  CARESCAPE Monitor B450  és CARESCAPETM Monitor B850 néven, amelyek egyaránt a betegek megfigyelésére szolgáltak, és a betegekkel együtt is könnyen mozgathatóak voltak.

CARESCAPET Monitor B450 Jellemzők

A CARESCAPET Monitor B450 egy monitor, amely figyeli és nyomon követi a páciens élességét, valamint nyomon követi az összes tevékenységet a páciens mozgatásakor. A berendezés úgy készült, hogy ne legyen túl nehéz vagy terjedelmes ahhoz, hogy a pácienssel együtt szállíthassa. Kifejezetten vészhelyzetek vagy sebészeti beavatkozások esetére készült. Vezeték nélküli csatlakozási lehetőséggel is rendelkezik, így az egészségügyi dolgozók könnyedén hozzáférhetnek a betegek információihoz, valamint egy többparaméteres modul hemodinamikai mérésekkel és egy további egy szélességű mérőmodullal.

A felhasználók az igényeiknek megfelelő riasztásokat és emlékeztető rendszereket állíthatnak be. Könnyű hozzáférést tesz lehetővé a betegekről szóló fiziológiai információkhoz, amelyek segítik őket a kezeléssel kapcsolatos döntések gyorsabb meghozatalában, és olyan algoritmusokat és módszereket használ, amelyek segíthetik az orvosokat a diagnózis felállításában. Az egység igényeinek, illetve az azt használó betegek számának és típusának megfelelően konfigurálható, és az információk a CARESCAPE Gateway-n keresztül érhetők el a HIS/EMR-ből. Ezzel az eszközzel mind a felhasználók, mind az orvosok kapcsolatban maradnak, és csatlakoztatható felvevőkészülékekhez, nyomtatókhoz stb. az egyszerű betegkezelés érdekében.

CARESCAPETM Monitor B850 Jellemzők

A CARESCAPETM Monitor B850 viszont képes figyelni a légzési tevékenységeket és a gázt, és a Marquette* EKG algoritmust használja, amely egyedülállóan megfelelő érzéstelenítési koncepciót biztosít a testre szabott érzéstelenítéshez. Lehetővé teszi továbbá a CARESCAPETM Monitor B450 által is megvalósított csatlakozást és adatfigyelést, valamint klinikai intelligenciát kínál telemetriából, korábban gyógyszeres kezelésből, laboratóriumi vizsgálatok eredményeiből, többek között kardiológiai adatrendszerről.

Adatkezelés céljából külső megtekintő eszközökhöz is csatlakoztatható.

Érvényesítési problémák

Mindkét gép nagyon könnyen használható, ami nagyon egyszerű folyamatot tesz a személyzet képzésére, a tapasztalttól a gyakorlatig. A felhasználói felület is nagyon intuitív és könnyen érthető. De bármilyen csodálatosak és támogatóak is ezek a gépek, a tanulmányok kimutatták, hogy magas kockázatú biztonsági problémáik is vannak. Az Egyesült Államok Kiberbiztonsági és Infrastruktúra Ügynöksége (CISA) egyes tanulmányai szerint a feltárt problémák egy része az volt, hogy a tárolt adatok és hitelesítő adatok nem voltak védettek. Ez azt jelentette, hogy bármely harmadik fél hozzáférhetett.

Ezenkívül a bemenetek érvényesítése nem volt megfelelően érvényesítve, és további ellenőrzésre volt szükség. Vannak olyan betegek információi, amelyekhez csak az orvosnak kell hozzáférnie. Az ilyen információk esetében kétlépcsős ellenőrzésre volt szükség, amely hiányzott. A GE Healthcare monitorokból a nagyon fontos tevékenységekhez hiányzó hitelesítési rendszerek is voltak, ami azt jelenti, hogy bárki hozzáférhet ezekhez a funkciókhoz, és bármilyen dokumentumot feltölthetett a betegadatbázisba, ami veszélyezteti a monitorkonzolon található információk integritását. Nincs titkosítás a betegek adatainak védelmére, és könnyen feltörhető.

Mit jelentenek ezek a problémák a betegek számára

Mindezek első pillantásra talán nem tűnnek életveszélyesnek, de azok. Ha a monitorok támadás áldozatai lettek volna, könnyen pusztító változtatások hajthatók végre az eszköz szoftverén, ami viszont megváltoztatja annak működését, és végzetes is lehet. A riasztások és emlékeztetők beállításai is mérsékelhetők, ami határidő-kimaradást okozhat. A betegekkel kapcsolatos információk az interneten is megjelenhetnek.

Az egészségügyben a sikeres kezelés után az egyik legfontosabb, legkeresettebb dolog a diszkréció. Ezt azonban nem lehet megígérni a betegeknek, ha a kezelésükre használt szoftverek nincsenek biztonságban a kibertámadásokkal szemben. A rossz kezekbe kerülő orvosi információk nemcsak megbíznak, hanem nagyon ijesztőek is. Az ezekben az eszközökben talált hibákat és  sebezhetőséget  egy Elad Luz nevű CyberMDX-kutató helyreállította, aki 2019 szeptemberében ezeket a problémákat „MDhex” névre keresztelte át GE-re és CISA-ra. A legtöbb problémát először a CIC Pro-ban, a GE Healthcare egy másik elektronikájában fedezték fel. az egészségügyi dolgozók által a páciens szívadatainak tárolására használt eszköz.

A rendszer elemzésekor a Webmin egy olyan verzióját futtatta, amelyet nagyon veszélyesnek és nem biztonságosnak neveztek. Amikor megvizsgálták a CARESCAPETM Monitor B850 és CARESCAPETM Monitor B450 monitorokat, az eszközökkel kapcsolatban is kiderült néhány probléma. És bár mindkét eszköz csúcsminőségű és csodálatos orvosi munkát végez, nem nevezhető biztonságosnak, ha nem immunis a kibertámadásokkal szemben.

Ezekről az eredményekről számoltak be a GE Healthcare csapatának, amely 2019-ben a projekten dolgozott. A vállalat ígéretet tett arra, hogy erősebb és kibertámadásokra kevésbé hajlamos verziókat fog kiadni.