GE Healthcare B450 og B850 sikkerhetsutnyttelser

En av de tidligste fordelene med teknologi var å skape teknologi som kunne redde liv og gjøre sykdom mer håndterlig. GE Healthcare er et multinasjonalt helseelektronikkfirma med base i USA og ble grunnlagt i 1994.

Nylig lanserte selskapet noe ny medisinsk elektronikk kalt  CARESCAPE Monitor B450  og CARESCAPETM Monitor B850 som begge var beregnet på overvåking av pasienter og som også var lett å flytte med pasienter.

CARESCAPET Monitor B450 funksjoner

CARESCAPET Monitor B450 er en monitor som overvåker og holder styr på en pasients skarphet og sporer alle aktiviteter når en pasient flyttes. Utstyret er laget slik at det ikke er for tungt eller klumpete å transportere med pasienten. Den er laget spesielt for å brukes i nødstilfeller eller kirurgiske operasjoner. Den har også et alternativ for trådløs tilkobling slik at helsearbeidere enkelt kan få tilgang til pasientinformasjon og en multiparametermodul med hemodynamiske målinger og en ekstra målemodul med én bredde.

Brukere kan sette opp alarmer og påminnelsessystemer som passer deres behov. Den gir enkel tilgang til fysiologisk informasjon om pasienter som hjelper dem med å ta beslutninger om behandling raskere og bruker algoritmer og metoder som kan hjelpe leger med diagnosen. Den kan konfigureres i henhold til behovene til enheten eller antall og type pasienter som bruker den, og informasjonen kan nås via CARESCAPE Gateway fra HIS/EMR. Med denne enheten vil både brukere og leger forbli tilkoblet, og den kan også kobles til opptaksenheter, skrivere osv. for enkel pasientbehandling.

CARESCAPETM Monitor B850 Funksjoner

CARESCAPETM Monitor B850, derimot, kan overvåke åndedrettsaktiviteter og gass og bruker Marquette* EKG-algoritme med et unikt anestesikonsept for skreddersydd anestesi. Den tillater også tilkoblingen og dataovervåkingen som CARESCAPETM Monitor B450 gjør også, og tilbyr klinisk intelligens fra telemetri, tidligere medisinering, resultatdata fra laboratorietester om kardiologisk datasystem blant annet.

Den kan også kobles til eksterne visningsenheter for håndtering av data.

Valideringsproblemer

Begge maskinene er svært enkle å bruke, noe som gjør opplæring av ansatte på den, fra erfarne til praksisplass, til en veldig enkel prosess. Brukergrensesnittet er også veldig intuitivt og lett å forstå. Men så fantastiske og støttende som disse maskinene er, har studier vist at de også har høyrisikosikkerhetsproblemer. I følge noen studier fra US Cybersecurity and Infrastructure Agency (CISA) var noen av problemene som ble oppdaget at de lagrede dataene og legitimasjonene ikke var beskyttet. Dette betydde at den kunne nås av enhver tredjepart.

Valideringen av inndata ble ikke riktig validert og trengte ekstra validering. Det er en del pasientinformasjon som kun skal være tilgjengelig for legen. De kan på informasjon nødvendig dobbelttrinnsverifisering som den manglet. GE Healthcare-monitorene manglet også autentiseringssystemer for svært viktige aktiviteter, noe som betyr at alle kan få tilgang til disse funksjonene og laste opp alle dokumenter til pasientdatabasen, noe som kompromitterte integriteten til informasjonen i monitorkonsollen. Det er ingen kryptering for å beskytte pasientens data og det er enkelt å hacke seg inn.

Hva disse problemene betyr for pasienter

Alle disse på et øyeblikk virker kanskje ikke livstruende, men de er det. Hvis monitorene var offer for et angrep, kan det enkelt gjøres ødeleggende endringer i enhetsprogramvaren, som igjen vil endre hvordan den fungerer og kan være dødelig. Alarm- og påminnelsesinnstillinger kan også dempes med, noe som kan føre til en forbigått frist. Informasjon om pasienter kan også eksponeres for Internett.

En av de viktigste mest ettertraktede tingene i helsevesenet etter en vellykket behandling er diskresjon. Det kan imidlertid ikke loves pasienter hvis programvaren som brukes til å behandle dem ikke er trygg mot cyberangrep. Medisinsk informasjon som faller i feil hender, stoler ikke bare på fioler, men er også veldig skummelt. Feilene og  sårbarheten som ble  funnet i disse enhetene ble gjenopprettet av en CyberMDX-forsker kalt Elad Luz, som deretter omdøpte disse problemene til "MDhex", til GE og CISA i september 2019. De fleste problemene ble først oppdaget i CIC Pro, en annen GE Healthcare-elektronikk enhet som brukes av medisinske arbeidere til å lagre pasientens cardiodata.

Når systemet ble analysert, kjørte det en versjon av Webmin som ble betegnet som svært farlig og usikker. Da de fortsatte med å se på CARESCAPETM Monitor B850 og CARESCAPETM Monitor B450, fant de ut noen problemer med enhetene også. Og selv om begge enhetene er førsteklasses og gjør fantastisk medisinsk arbeid, kan de ikke betegnes som trygge hvis de ikke er immune mot cyberangrep.

Disse funnene ble rapportert tilbake til GE Healthcare-teamet som jobbet med prosjektet i 2019. Selskapet lovet å gi ut versjoner som var sterkere og mindre utsatt for cyberangrep.