A CyberMDX, empresa israelense de cibersegurança médica, avisa que máquinas de anestesia da GE Healthcare apresentaram vulnerabilidade de segurança e caso explorada com sucesso, permitiria o invasor interferir na operação das máquinas silenciando alarmes e adulterando logs, podendo alterar a composição dos gases aspirados, ajustando coquetel de oxigênio, C02, óxido nitroso e agentes anestésicos. Tal evento foi evidenciado em número seleto de anestesias e aparelhos respiratórios da GE Healthcare. Especificamente a vulnerabilidade foi no equipamento de administração de anestesia Aestiva da GE modelos 7100 e 7900 do GE Aespire.
Para a vulnerabilidade ser explorada, necessita que as appliances GE Healthcare estejam conectados a determinada rede, estando as máquinas configuradas para funcionar com um servidor de terminal. Sob tais condições, o invasor comprometeria os dispositivos, desconhecendo a topologia de rede da instalação médica ou a localização das máquinas. O incidente foi atribuído valor 5,3 pela equipe ICS-CERT do Departamento de Segurança Interna dos EUA, refletindo nível moderado de risco na manipulação de alarmes, composição de gases e alteração de timestamps que refletem e documentam o evento cirúrgico.
Moral da Nota: a anestesiologia segue protocolos documentando e relatando procedimentos, dosagens, sinais vitais e etc. Detalhes que levam os respiradores serem conectados à rede visando auditoria confiável. A GE Healthcare comentou o evento informando que "após investigação de risco, verificamos que o cenário de implementação em potencial não introduz perigo clínico ou risco direto ao paciente." O evento alerta que dispositivos médicos são quase sempre computadores, celulares ou laptops estando vulneráveis a riscos associados.