GE Healthcare B450 och B850 Säkerhetsutnyttjande

En av de tidigaste fördelarna med teknik var att skapa teknik som kunde rädda liv och göra sjukdom mer hanterbar. GE Healthcare är ett multinationellt hälsoelektronikföretag baserat i USA och grundades 1994.

Nyligen lanserade företaget lite ny medicinsk elektronik som heter  CARESCAPE Monitor B450  och CARESCAPETM Monitor B850 som båda var avsedda för att övervaka patienter och som också var lätt att flytta med patienter.

CARESCAPET Monitor B450 Funktioner

CARESCAPET Monitor B450 är en monitor som övervakar och håller koll på en patients skärpa och spårar alla aktiviteter vid förflyttning av en patient. Utrustningen är gjord så att den inte är för tung eller skrymmande att transportera med patienten. Den är gjord speciellt för att användas i nödfall eller kirurgiska operationer. Den har också ett alternativ för trådlös anslutning så att sjukvårdspersonal enkelt kan komma åt patientinformation och en multiparametermodul med hemodynamiska mätningar och en extra mätmodul med enkel bredd.

Användare kan ställa in larm och påminnelsesystem som passar deras behov. Det ger enkel tillgång till fysiologisk information om patienter som hjälper dem att fatta beslut om behandling snabbare och använder algoritmer och metoder som kan hjälpa läkare med diagnosen. Den kan konfigureras efter enhetens behov eller antalet och typen av patienter som använder den och informationen kan nås via CARESCAPE Gateway från HIS/EMR. Med den här enheten kommer både användare och läkare att förbli uppkopplade och den kan även anslutas till inspelningsenheter, skrivare etc. för enkel patienthantering.

CARESCAPETM Monitor B850 Funktioner

CARESCAPETM Monitor B850, å andra sidan, kan övervaka andningsaktiviteter och gas och använder Marquette* EKG-algoritm med ett unikt anestesikoncept för skräddarsydd anestesi. Den tillåter också den anslutning och dataövervakning som CARESCAPETM Monitor B450 gör också och erbjuder klinisk intelligens från telemetri, tidigare medicinering, resultatdata från laboratorietester om kardiologiska datasystem bland annat.

Den kan också anslutas till externa visningsenheter för hantering av data.

Valideringsproblem

Båda maskinerna är mycket enkla att använda vilket gör utbildning av personal på den, från erfaren till praktik till en mycket enkel process. Användargränssnittet är också mycket intuitivt och lätt att förstå. Men hur fantastiska och stödjande dessa maskiner än är, studier har visat att de också har säkerhetsproblem med hög risk. Enligt några studier av US Cybersecurity and Infrastructure Agency (CISA) var några av de problem som upptäcktes att lagrad data och referenser inte var skyddade. Detta innebar att den kunde nås av vilken tredje part som helst.

Dessutom validerades inte valideringen av indata ordentligt och behövde extra validering. Det finns viss patientinformation som endast ska vara tillgänglig för läkaren. De kan på information som behövs dubbelstegsverifiering som den saknade. GE Healthcares monitorer saknade också autentiseringssystem för mycket viktiga aktiviteter, vilket innebär att vem som helst kan komma åt dessa funktioner och ladda upp alla dokument till patientdatabasen, vilket äventyrar integriteten för informationen i monitorkonsolen. Det finns ingen kryptering för att skydda patienternas data och det är lätt att hacka sig in.

Vad dessa problem betyder för patienter

Alla dessa vid ett ögonkast kanske inte verkar livshotande, men de är det. Om monitorerna var offer för en attack, kan förödande förändringar enkelt göras i enhetens programvara, vilket i sin tur kommer att förändra hur det fungerar och kan bli ödesdigert. Larm- och påminnelseinställningar kan också dämpas med vilket kan leda till en missad deadline. Information om patienter kan också exponeras för Internet.

En av de viktigaste mest eftertraktade sakerna inom hälso- och sjukvården efter en lyckad behandling är diskretion. Det kan dock inte lovas patienter om programvaran som används för att behandla dem inte är säker från cyberattacker. Medicinsk information som faller i orätta händer, inte bara litar på violer utan är också väldigt skrämmande. Felen och  sårbarheten som  hittades i dessa enheter återställdes av en CyberMDX-forskare vid namn Elad Luz som sedan döpte om problemen till "MDhex", till GE och CISA i september 2019. De flesta av problemen upptäcktes först i CIC Pro, en annan GE Healthcare-elektronik enhet som används av medicinsk personal för att lagra patientens hjärtdata.

Systemet, när det analyserades, körde en version av Webmin som kallades mycket farlig och osäker. När de fortsatte med att titta på CARESCAPETM Monitor B850 och CARESCAPETM Monitor B450 fick de reda på några problem med enheterna också. Och även om båda enheterna är förstklassiga och gör fantastiskt medicinskt arbete, kan de inte betecknas som säkra om de inte är immuna mot cyberattacker.

Dessa fynd rapporterades tillbaka till GE Healthcare-teamet som arbetade med projektet 2019. Företaget lovade att släppa versioner som var starkare och mindre benägna för cyberattacker.