Pomimo, że jak dotychczas nieznane są przypadki ataków hakerskich na sprzęt medyczny, administracja USA ostrzega przed produktami firmy GE Healthcare Systems (GEHC). Według specjalistów amerykańskiego CERT-u ryzyko obejmuje m.in. urządzenia telemetryczne i stacje informacji klinicznej.
Podatności wykryto w urządzeniach ApexPro i CARESCAPE, a także w stacji CIC Pro Clinical w wersji pierwszej. Wadliwy sprzęt wykorzystywany jest przed wszystkim w placówkach medycznych i służy do monitorowania stanu pacjentów, takich jak np. tempa bicia serca, czy ciśnienia tętniczego. Monitoring może być prowadzony zarówno przy łóżku chorego, jak i zdalnie w ramach centrali informacyjnej, np. z pokoju pielęgniarskiego.
W oświadczeniu amerykańskiej rządowej agencji Food and Drug Administration (FDA), która obok resortu bezpieczeństwa wewnętrznego wydała oficjalne ostrzeżenie w związku z podatnościami wykrytymi w urządzeniach, czytamy że mogą one pozwalać potencjalnym atakującym na zdalne przejęcie dostępu oraz wyciszenie sygnałów alarmowych przez nie emitowanych. Hakerzy mogą również wygenerować fałszywe alarmy, a także modyfikować ustawienia innych urządzeń połączonych z atakowanym sprzętem w ramach jednej sieci.
Według zespołu CERT atakujący mogą także wykorzystać luki w bezpieczeństwie sprzętów po to, by pozyskać chronione prawnie dane medyczne oraz tak zmodyfikować działanie atakowanych urządzeń, by stały się w praktyce bezużyteczne. Rządowi eksperci w oficjalnych rekomendacjach zalecili, by urządzenia GEHC były prawidłowo konfigurowane i by działały w odizolowanych od innych urządzeń sieciach. Również producent wadliwych sprzętów opublikował instrukcje służące minimalizacji ryzyka na swojej stronie internetowej, a także zapowiedział wydanie aktualizacji bezpieczeństwa oprogramowania, w oparciu o które działają zawierające podatności produkty.
Cytowana przez serwis Infosecurity Magazine FDA poinformowała, że obecnie amerykańskiej administracji nie są znane przypadki wykorzystania podatności sprzętowych urządzeń GEHC przez hakerów.
