Varnostna izkoriščanja GE Healthcare B450 in B850

Ena najzgodnejših prednosti tehnologije je bila ustvarjanje tehnologije, ki bi lahko rešila življenja in naredila bolezen bolj obvladljivo. GE Healthcare je multinacionalno podjetje Health Electronics s sedežem v Združenih državah Amerike in je bilo ustanovljeno leta 1994.

Pred kratkim je podjetje predstavilo nekaj novih medicinskih elektronskih naprav, imenovanih  CARESCAPE Monitor B450  in CARESCAPETM Monitor B850, ki sta bili namenjeni spremljanju pacientov in jih je bilo enostavno premikati s pacienti.

CARESCAPET Monitor B450 Lastnosti

CARESCAPET Monitor B450 je monitor, ki spremlja in spremlja bolnikovo ostrino ter spremlja vse aktivnosti pri premikanju pacienta. Oprema je narejena tako, da ni pretežka ali obsežna za prevoz s pacientom. Narejen je posebej za uporabo v nujnih primerih ali kirurških operacijah. Ima tudi možnost brezžične povezave, tako da lahko zdravstveni delavci zlahka dostopajo do podatkov o pacientih, in večparametrski modul s hemodinamičnimi meritvami ter en dodatni modul za merjenje ene širine.

Uporabniki lahko nastavijo alarme in sisteme opomnikov, ki ustrezajo njihovim potrebam. Omogoča enostaven dostop do fizioloških informacij o pacientih, ki jim pomagajo pri hitrejšem odločanju o zdravljenju, ter uporablja algoritme in metode, ki lahko zdravnikom pomagajo pri diagnozi. Lahko se konfigurira glede na potrebe enote ali glede na število in vrsto pacientov, ki ga uporabljajo, in do informacij je mogoče dostopati prek prehoda CARESCAPE iz HIS/EMR. S to napravo bodo tako uporabniki kot zdravniki ostali povezani in jo je mogoče povezati tudi s snemalnimi napravami, tiskalniki itd. za enostavno upravljanje pacientov.

Značilnosti monitorja CARESCAPETM B850

CARESCAPETM Monitor B850 po drugi strani lahko spremlja dihalne aktivnosti in pline ter uporablja Marquette* EKG algoritem z edinstveno ustreznostjo koncepta anestezije za prilagojeno anestezijo. Omogoča tudi povezavo in spremljanje podatkov, kar omogoča tudi CARESCAPETM Monitor B450, in ponuja klinično inteligenco iz telemetrije, predhodnih zdravil, podatkov o rezultatih laboratorijskih testov o kardiološkem podatkovnem sistemu med drugim.

Lahko se poveže tudi z zunanjimi napravami za pregledovanje za upravljanje podatkov.

Težave s validacijo

Oba stroja sta zelo enostavna za uporabo, zaradi česar je usposabljanje osebja na njem, od izkušenega do pripravništva, zelo enostaven proces. Uporabniški vmesnik je tudi zelo intuitiven in enostaven za razumevanje. Toda ne glede na to, kako so ti stroji neverjetni in podporni, so študije pokazale, da imajo tudi varnostne težave z visokim tveganjem. Po nekaterih študijah ameriške agencije za kibernetsko varnost in infrastrukturo (CISA) so bile nekatere od odkritih težav v tem, da shranjeni podatki in poverilnice niso bili zaščiteni. To je pomenilo, da lahko do njega dostopa katera koli tretja oseba.

Prav tako potrditev vnosov ni bila pravilno potrjena in je bila potrebna dodatna potrditev. Nekatere informacije o pacientu bi morale biti dostopne le zdravniku. Tisti lahko za informacije potrebujejo preverjanje v dveh korakih, ki jim je manjkalo. Monitorji GE Healthcare so imeli tudi manjkajoče sisteme za preverjanje pristnosti za zelo pomembne dejavnosti, kar pomeni, da lahko vsakdo dostopa do teh funkcij in naloži vse dokumente v bazo podatkov pacientov, kar ogroža celovitost informacij v konzoli monitorja. Za zaščito podatkov pacientov ni šifriranja in vanj je enostavno vdreti.

Kaj te težave pomenijo za bolnike

Vse to se na prvi pogled morda ne zdi življenjsko nevarno, vendar je. Če so bili monitorji žrtev napada, je mogoče zlahka narediti uničujoče spremembe v programski opremi naprave, kar bo posledično spremenilo njeno delovanje in je lahko usodno. Nastavitve alarmov in opomnikov je mogoče tudi ublažiti, kar lahko povzroči zamudo roka. Informacije o pacientih so lahko izpostavljene tudi internetu.

Ena najpomembnejših najbolj iskanih stvari v zdravstvenem sistemu po uspešnem zdravljenju je diskretnost. Tega pa pacientom ni mogoče obljubiti, če programska oprema, ki se uporablja za njihovo zdravljenje, ni varna pred kibernetskimi napadi. Medicinske informacije, ki padejo v napačne roke, vijolicam ne zaupajo le, ampak so tudi zelo strašljive. Napake in  ranljivosti,  ugotovljene v teh napravah, je odkril raziskovalec CyberMDX po imenu Elad Luz, ki je te težave nato preimenoval v »MDhex« v GE in CISA septembra 2019. Večino težav so najprej odkrili v CIC Pro, drugi elektronski elektronski opremi GE Healthcare. naprava, ki jo uporabljajo zdravstveni delavci za shranjevanje kardio podatkov pacienta.

Sistem je ob analizi izvajal različico Webmina, ki je bila označena kot zelo nevarna in nevarna. Ko so si ogledali CARESCAPETM Monitor B850 in CARESCAPETM Monitor B450, so odkrili tudi nekaj težav z napravama. In čeprav sta obe napravi vrhunski in opravljata neverjetno medicinsko delo, ju ni mogoče označiti za varno, če nista imuni na kibernetske napade.

O teh ugotovitvah so poročali skupini GE Healthcare, ki je delala na projektu leta 2019. Podjetje je obljubilo, da bo izdalo različice, ki so močnejše in manj nagnjene k kibernetskim napadom.