Експлойти безпеки GE Healthcare B450 і B850

Однією з найперших переваг технології було створення технологій, які могли б врятувати життя і зробити хворобу більш керованою. GE Healthcare — це багатонаціональна компанія Health Electronics, що базується в Сполучених Штатах Америки та була заснована в 1994 році.

Нещодавно компанія випустила нову медичну електроніку під назвою  CARESCAPE Monitor B450  і CARESCAPETM Monitor B850, які були призначені для спостереження за пацієнтами, а також їх було легко переміщати з пацієнтами.

Особливості монітора CARESCAPET B450

CARESCAPET Monitor B450 — це монітор, який контролює і відстежує гостроту зору пацієнта, а також відстежує всі дії під час переміщення пацієнта. Обладнання виготовлене таким чином, щоб воно не було занадто важким або громіздким для транспортування разом із пацієнтом. Він розроблений спеціально для використання в екстрених випадках або хірургічних операціях. Він також має опцію бездротового з’єднання, щоб медичні працівники могли легко отримувати доступ до інформації про пацієнтів, а також багатопараметрічний модуль із вимірюваннями гемодинаміки та один додатковий модуль вимірювання одної ширини.

Користувачі можуть налаштувати системи сигналізації та нагадування, які відповідають їхнім потребам. Він забезпечує легкий доступ до фізіологічної інформації про пацієнтів, яка допомагає їм швидше приймати рішення про лікування, а також використовує алгоритми та методи, які можуть допомогти лікарям поставити діагноз. Його можна налаштувати відповідно до потреб блоку або кількості та типу пацієнтів, які його використовують, а доступ до інформації можна отримати через шлюз CARESCAPE з HIS/EMR. За допомогою цього пристрою як користувачі, так і лікарі залишаться на зв’язку, а також його можна підключити до записуючих пристроїв, принтерів тощо для зручного керування пацієнтами.

Особливості монітора CARESCAPETM B850

Монітор CARESCAPETM B850, з іншого боку, може контролювати дихальну активність і газ і використовує алгоритм ЕКГ Маркетта* з унікальною адекватністю концепції анестезії для спеціальної анестезії. Він також дозволяє підключатися та відстежувати дані, які також виконує CARESCAPETM Monitor B450, а також пропонує клінічні дані з телеметрії, попередніх ліків, даних результатів лабораторних тестів про систему кардіологічних даних, серед іншого.

Його також можна підключити до зовнішніх пристроїв перегляду для керування даними.

Проблеми перевірки

Обидві машини дуже прості у використанні, що робить навчання персоналу на ньому, від досвідчених до стажування, дуже легким процесом. Інтерфейс користувача також дуже інтуїтивно зрозумілий і легкий для розуміння. Але незважаючи на те, що ці машини дивовижні та підтримують, дослідження показали, що вони також мають проблеми з безпекою високого ризику. Згідно з деякими дослідженнями Агентства кібербезпеки та інфраструктури США (CISA), деякі з виявлених проблем полягали в тому, що збережені дані та облікові дані не були захищені. Це означало, що до нього може отримати доступ будь-яка третя сторона.

Крім того, перевірка введених даних не була належним чином перевірена і потребувала додаткової перевірки. Є деяка інформація про пацієнта, яка має бути доступна лише лікарю. Тим, хто може отримати інформацію, потрібна двоетапна перевірка, якої їй бракувало. У моніторів GE Healthcare також були відсутні системи аутентифікації для дуже важливих дій, що означає, що будь-хто може отримати доступ до цих функцій і завантажити будь-які документи в базу даних пацієнтів, що порушує цілісність інформації на консолі монітора. Немає шифрування для захисту даних пацієнтів, і його легко зламати.

Що ці проблеми означають для пацієнтів

Все це на перший погляд може здатися небезпечним для життя, але це так. Якщо монітори стали жертвою атаки, до програмного забезпечення пристрою можна легко внести руйнівні зміни, що, у свою чергу, змінить його роботу та може стати фатальним. Налаштування будильника та нагадування також можна змінити, що може призвести до пропуску дедлайну. Інформація про пацієнтів також може бути відкрита в Інтернеті.

Однією з найважливіших, найбільш затребуваних речей у системі охорони здоров’я після успішного лікування, є розсудливість. Однак цього не можна обіцяти пацієнтам, якщо програмне забезпечення, яке використовується для їх лікування, не захищене від кібератак. Попадання медичної інформації в чужі руки не тільки довіряє фіалки, але й дуже страшно. Помилки та  вразливості,  виявлені в цих пристроях, були відновлені дослідником CyberMDX на ім’я Елад Луз, який потім у вересні 2019 року перейменував ці проблеми на «MDhex» на GE та CISA. Більшість проблем вперше було виявлено в CIC Pro, іншому електронному пристрої GE Healthcare. пристрій, що використовується медичними працівниками для зберігання кардіо даних пацієнтів.

Під час аналізу система працювала з версією Webmin, яку назвали дуже небезпечною та небезпечною. Коли вони переглянули монітор CARESCAPETM B850 і CARESCAPETM Monitor B450, вони також виявили деякі проблеми з пристроями. І хоча обидва пристрої є першокласними та виконують дивовижну медичну роботу, їх не можна назвати безпечними, якщо вони не захищені від кібератак.

Про ці висновки повідомили команді GE Healthcare, яка працювала над проектом у 2019 році. Компанія пообіцяла випустити версії, які були б сильнішими та менш схильними до кібератак.