| Разработчики: | GE HealthCare |
| Отрасли: | Фармацевтика, медицина, здравоохранение |
2019: Анестезиологические станции GE можно настраивать удалённо. Пациенты под угрозой
В середине июля 2019 года в анестезиологических станциях GE Aestiva и Aespire Anesthesia, которые используются в больницах на всей территории США, была обнаружена ошибка аутентификации. Уязвимость терминального сервера позволяет хакерам настраивать станции удаленно и ставит под угрозу жизнь пациентов.
Проблема затрагивает модели GE Aestiva и Aespire версий 7100 и 7900. Из-за ошибки аутентификации злоумышленник может удаленно изменять параметры уязвимого устройства и отключать сигналы тревоги. Среди прочего хакер способен изменить параметры газовой смеси, скорректировать показания датчика расхода газа и таймера устройства.
Проблема касается терминального сервера, который подключает анестезиологические станции GE Healthcare к сетям TCP/IP. Злоумышленники могут проникнуть в систему, если устройства будут подключены к сети через добавленный незащищенный терминальный сервер. Уязвимости был присвоен индекс опасности 5,3 из 10, поскольку в ходе официальной оценки риска исследователи пришли к заключению, что «клиническая опасность прямого риска для пациента отсутствует». GE Healthcare подтвердила, что ПО самого устройства не имеет подобного рода уязвимостей, и уже предприняла меры по предотвращению последствий. Специалисты подтвердили, что эта проблема не может использоваться для кражи персональных данных.
Пока что медицинским работникам рекомендуется использовать защищенные терминальные серверы и точно следовать инструкциям при подключении анестезиологических станций GE Healthcare. Безопасность на защищенных терминальных серверах обеспечивается за счет аутентификации пользователей, надежного шифрования, управления сетью, VPN, возможности ведения журналов и аудита, а также параметров безопасной настройки и управления.[1]
