Explotación de seguridad de GE Healthcare B450 y B850

Uno de los primeros beneficios de la tecnología fue la creación de tecnología que podría salvar vidas y facilitar el manejo de la enfermedad. GE Healthcare es una empresa multinacional de productos electrónicos para la salud con sede en EE. UU. Fundada en 1994.

La compañía lanzó recientemente una serie de nuevos dispositivos médicos electrónicos llamados Monitor CARESCAPE B450 y el monitor CARESCAPETM B850, para la monitorización del paciente y la facilidad de movimiento con los pacientes.

Características del monitor CARESCAPET B450

CARESCAPET Monitor B450 es un monitor que monitorea y monitorea la agudeza del paciente y rastrea todas las actividades durante el movimiento del paciente. El equipo está fabricado de tal manera que no sea demasiado pesado o voluminoso para llevarlo con el paciente. Está especialmente diseñado para su uso en emergencias o procedimientos quirúrgicos. También tiene una opción de conexión inalámbrica para que los profesionales de la salud accedan fácilmente a la información del paciente y un módulo multiparámetro con mediciones hemodinámicas y un módulo adicional de medición de ancho único.

Los usuarios pueden configurar alarmas y sistemas de recordatorios que se adapten a sus necesidades. Permite un fácil acceso a la información fisiológica de los pacientes que les ayuda a tomar decisiones de tratamiento con mayor rapidez y utiliza algoritmos y métodos que ayudan a los médicos a realizar un diagnóstico. Se puede configurar según las necesidades de la unidad o el número y tipo de pacientes que lo utilicen y se puede acceder a la información a través del Portal CARESCAPE en HIS / EMR. Con este dispositivo, los usuarios y médicos permanecerán conectados y podrán conectarse a grabadoras, impresoras, etc. Para un manejo sencillo del paciente.

Características del monitor CARESCAPETM B850

Por el contrario, el monitor CARESCAPETM B850 puede controlar la actividad respiratoria y el gas y utiliza el algoritmo de ECG de Marquette * para adaptarse correctamente al concepto de anestesia para una anestesia personalizada. También permite vincular y monitorear los datos del monitor CARESCAPETM B450 y proporciona, entre otras cosas, información clínica sobre telemetría, medicamentos anteriores, resultados de pruebas de laboratorio en el sistema de datos de cardiología.

Se puede conectar a dispositivos de visualización externos para la gestión de datos.

Problemas de validación

Ambas máquinas son muy fáciles de usar, lo que hace que sea un proceso muy simple capacitar al personal desde la experiencia hasta la pasantía. La interfaz de usuario es muy intuitiva y fácil de entender. Pero, sorprendentemente y en apoyo de estos autos, los estudios han demostrado que también tienen problemas de seguridad de alto riesgo. Según un estudio realizado por la Agencia de Infraestructura y Seguridad Cibernética de EE. UU. (CISA), algunos de los problemas encontrados fueron la falta de datos y credenciales almacenados. Esto significa que puede ser accesible a terceros.

Además, la validación de entrada no se validó correctamente y se requirió una validación adicional. Existe cierta información sobre el paciente que solo debe estar disponible para el médico. Faltaba la información necesaria para la verificación en dos pasos. Los monitores GE Healthcare no tenían sistemas de autenticación para actividades muy importantes, lo que significa que cualquiera puede acceder a estas funciones y cargar cualquier documento en la base de datos del paciente, comprometiendo la integridad de la información de la consola del monitor. No hay cifrado para proteger los datos de los pacientes y son fáciles de piratear.

¿Qué significan estos problemas para los pacientes?

Todo esto puede no parecer mortal a primera vista, pero lo es. Si sus monitores son atacados, puede realizar fácilmente cambios catastróficos en el software de su dispositivo, lo que cambiará la forma en que funciona y puede ser fatal. También se pueden reducir las configuraciones de alarmas y recordatorios que pueden expirar dentro de un límite de tiempo. La información del paciente también se puede publicar en Internet.

Una de las cosas más importantes en el sistema de salud después de un tratamiento exitoso es la discreción. Sin embargo, esto no se puede garantizar a los pacientes a menos que el software utilizado para tratarlos esté a salvo de ataques cibernéticos. La información médica que cae en las manos equivocadas no solo viola la confianza, sino que también es muy aterradora. Errores y vulnerabilidad En estos dispositivos, un investigador de CyberMDX llamado Elad Luz descubrió estos problemas, que luego fueron rebautizados como «MDhex» a GE y CISA en septiembre de 2019. La mayoría de los problemas se descubrieron por primera vez en CIC Pro, otro dispositivo electrónico de GE Healthcare utilizado por profesionales de la salud para almacenar datos cardiovasculares del paciente.

Cuando se escaneó, el sistema estaba ejecutando una versión de Webmin que se decía que era muy peligrosa e insegura. Mientras continuaban mirando el monitor CARESCAPETM B850 y el monitor CARESCAPETM B450, también encontraron algunos problemas con los dispositivos. Y aunque ambos dispositivos son excelentes y realizan un trabajo médico extraordinario, no pueden considerarse seguros a menos que sean inmunes a los ciberataques.

Estos resultados se informaron al personal de GE Healthcare que trabajó en el proyecto en 2019. La compañía prometió lanzar versiones más potentes que son menos propensas a los ataques cibernéticos.