GE Healthcare B450 a B850 Security Exploits

Jednou z prvých výhod technológie bolo vytvorenie technológie, ktorá by mohla zachraňovať životy a robiť choroby lepšie zvládnuteľnými. GE Healthcare je nadnárodná spoločnosť zaoberajúca sa zdravotníckou elektronikou so sídlom v Spojených štátoch amerických a bola založená v roku 1994.

Nedávno spoločnosť uviedla na trh novú medicínsku elektroniku s názvom  CARESCAPE Monitor B450  a CARESCAPETM Monitor B850, ktoré boli určené na monitorovanie pacientov a zároveň sa s nimi dalo ľahko pohybovať.

Vlastnosti monitora CARESCAPET B450

CARESCAPET Monitor B450 je monitor, ktorý monitoruje a sleduje ostrosť pacienta a sleduje všetky aktivity pri pohybe pacienta. Zariadenie je vyrobené tak, aby nebolo príliš ťažké alebo objemné na prepravu s pacientom. Je vyrobený špeciálne na použitie v prípadoch núdze alebo chirurgických operácií. Má tiež možnosť bezdrôtového pripojenia, takže zdravotnícki pracovníci môžu ľahko pristupovať k informáciám o pacientovi, a multiparametrový modul s hemodynamickými meraniami a jedným dodatočným modulom merania s jednou šírkou.

Používatelia si môžu nastaviť alarmy a systémy pripomienok, ktoré zodpovedajú ich potrebám. Umožňuje jednoduchý prístup k fyziologickým informáciám o pacientoch, ktoré im pomáhajú rýchlejšie sa rozhodovať o liečbe a využíva algoritmy a metódy, ktoré môžu lekárom pomôcť s diagnózou. Dá sa nakonfigurovať podľa potrieb jednotky alebo podľa počtu a typu pacientov, ktorí ju používajú, a informácie sú prístupné cez bránu CARESCAPE z HIS/EMR. S týmto zariadením zostanú používatelia aj lekári v spojení a možno ho tiež pripojiť k záznamovým zariadeniam, tlačiarňam atď. pre jednoduchú správu pacienta.

Vlastnosti monitora CARESCAPETM B850

Monitor CARESCAPETM B850 na druhej strane dokáže monitorovať dýchacie aktivity a plyny a využíva algoritmus EKG Marquette* s unikátnym konceptom primeranosti anestézie pre anestéziu na mieru. Umožňuje tiež pripojenie a monitorovanie údajov, ktoré robí aj CARESCAPETM Monitor B450, a okrem iného ponúka klinickú inteligenciu z telemetrie, predtým liekov, výsledkov laboratórnych testov o systéme kardiologických údajov.

Môže byť tiež pripojený k externým zobrazovacím zariadeniam na správu údajov.

Problémy s validáciou

Obidva stroje sa veľmi ľahko používajú, vďaka čomu je školenie personálu na nich, od skúsených až po prax, veľmi jednoduchým procesom. Používateľské rozhranie je tiež veľmi intuitívne a ľahko pochopiteľné. Ale akokoľvek sú tieto stroje úžasné a podporujúce, štúdie ukázali, že majú aj vysoko rizikové bezpečnostné problémy. Podľa niektorých štúdií americkej Agentúry pre kybernetickú bezpečnosť a infraštruktúru (CISA) niektoré zo zistených problémov spočívali v tom, že uložené údaje a poverenia neboli chránené. To znamenalo, že k nemu mohla mať prístup akákoľvek tretia strana.

Validácia vstupov tiež nebola správne overená a vyžadovala si ďalšiu validáciu. Niektoré informácie o pacientovi by mali byť dostupné iba lekárovi. Tie môžu na informácie potrebné dvojstupňové overenie, ktoré im chýbalo. Monitorom GE Healthcare tiež chýbali autentifikačné systémy pre veľmi dôležité činnosti, čo znamená, že ktokoľvek môže pristupovať k týmto funkciám a nahrať akékoľvek dokumenty do databázy pacientov, čím sa ohrozí integrita informácií v konzole monitora. Neexistuje žiadne šifrovanie na ochranu údajov pacientov a je ľahké ho preniknúť.

Čo tieto problémy znamenajú pre pacientov

To všetko sa na prvý pohľad nemusí zdať život ohrozujúce, ale je. Ak boli monitory korisťou útoku, v softvéri zariadenia možno ľahko vykonať zničujúce zmeny, ktoré následne zmenia jeho fungovanie a môžu byť fatálne. Nastavenia budíkov a pripomienok možno tiež zmierniť, čo môže spôsobiť zmeškanie termínu. Informácie o pacientoch môžu byť zverejnené aj na internete.

Jednou z najdôležitejších vecí v zdravotníctve po úspešnej liečbe je diskrétnosť. To však nemožno sľúbiť pacientom, ak softvér používaný na ich liečbu nie je bezpečný pred kybernetickými útokmi. Lekárske informácie, ktoré sa dostanú do nesprávnych rúk, nielenže oslabujú dôveru, ale sú aj veľmi desivé. Chyby a  zraniteľnosť  nájdené v týchto zariadeniach boli obnovené výskumníkom CyberMDX s názvom Elad Luz, ktorý potom v septembri 2019 premenoval tieto problémy na „MDhex“ na GE a CISA. Väčšina problémov bola prvýkrát objavená v CIC Pro, ďalšej elektronickej GE Healthcare. zariadenie používané zdravotníckymi pracovníkmi na ukladanie kardio údajov pacienta.

V systéme bola pri analýze spustená verzia Webmin, ktorá bola označená ako veľmi nebezpečná a nebezpečná. Keď sa pozreli na CARESCAPETM Monitor B850 a CARESCAPETM Monitor B450, zistili aj nejaké problémy so zariadeniami. A hoci sú obe zariadenia špičkové a vykonávajú úžasnú lekársku prácu, nemožno ich označiť za bezpečné, ak nie sú imúnne voči kybernetickým útokom.

Tieto zistenia boli nahlásené späť tímu GE Healthcare, ktorý na projekte pracoval v roku 2019. Spoločnosť sľúbila, že vydá verzie, ktoré budú silnejšie a menej náchylné na kybernetické útoky.