Videó: Maszk, orvosi összeesküvés, járványkilátások egy fertőző osztályt vezető orvos szemével (November 2024)
Miközben az orvosok esküsznek, hogy nem ártanak, ugyanez nem tűnik igaznak a felszerelés vagy a hálózatok számára, amelyeket az ellátáshoz használnak. A SANS kutatóintézet és a norvég új jelentés szerint az egészségügyi szolgáltatók már megbuknak a drogbetegek cyberatámadásain. A tanulmány 49 917 egyedi rosszindulatú eseményt talált az általuk profilozott egészségügyi szolgáltatók részéről, és ne aggódjon: ez még rosszabbá válik.
Az életmentők gonoszsá váltak
A jelentés megállapította, hogy sok hálózatba kötött orvostechnikai eszközt könnyen átvettek a hackerek. Ide tartoztak a radiológiai képalkotó szoftverek, a videokonferencia-rendszerek, a digitális video-rendszerek, a hívás-kapcsolat szoftver és a biztonsági rendszerek. Még azokat az eszközöket is, amelyek célja a szervezetek védelme, például VPN-ket, tűzfalakat és útválasztókat, eltérítették.
A jelentés megállapította, hogy az orvosi eszközök és szoftverek a hackerek kedvenc célpontjává válnak más támadások indításához - akár ugyanazon a hálózaton, akár más célokon. A jelentésből: "Miután veszélybe kerültek, ezek a hálózatok nemcsak kiszolgáltatottak a jogsértésekkel szemben, hanem felhasználhatók olyan támadásokra is, mint például adathalászat, DDoS, valamint más hálózatok és áldozatok ellen indított csaló tevékenységek."
"Az egyik legnagyobb oka annak, hogy a kórházak infrastruktúráját más számítógépes bűnözés és a hackerek indítóplatformjaként használják, azért, mert ezeknek az eszközöknek nagy része hülye eszköz" - mondta a Norse CTO és Tommy Stiansen társalapítója. "Nem asztali számítógépek vagy szerverek, de Linuxot futtatnak mindegyikük." Már láttuk, hogy egyes eszközök, különösen a hálózatba csatlakoztatott videokamerák felhasználhatók az áldozatok hálózatának lábának megszerzésére, és mindenféle súlyos testi sértést okozhatnak.
Képességeik ellenére az orvosi felszereléseket és a kamerákat nem tekintik a biztonsági architektúra részének - magyarázta Sam Glines vezérigazgatója és társalapítója. "Egy dokumentumnak, amelyet a nagy kórház bejáróinak fedeztek fel, ugyanaz a felhasználónév és jelszó volt mindenben" - mondta. Ide tartoztak az életmentő eszközök, például a dialízisberendezés. Ne felejtse el, hogy az internet továbbra is megfelelő úton halad 2014-ig.
Mintha bizonyítani kellene a probléma terjedelmét, Stiansen megemlítette, hogy először érdeklődtek a projekt iránt, amikor megfigyelték, hogy az orvostechnikai eszközök továbbítják a hitelkártya-információkat. "Ha valaki nyitva hagyja az ajtót, akkor hackerek jönnek" - mondta Stiansen.
Több értékes adat
A kórházak által használt nem biztonságos eszközök és szoftverek mellett egy még nagyobb probléma: lopott orvosi adatok. Az egészségügyi ellátók minden szintjén rendkívül értékes személyes adatok állnak a rendelkezésükre, és a támadók kétségbeesetten szeretnék megkapni a kezüket.
Az ok - magyarázta Stiansen - egyszerű: "Több csalást folytathat vele, mint amennyit hitelkártya-adatokkal tudott tenni." A támadó gyorsan bevételszerzésre képes az orvosi adatokkal - magyarázta a Medicare vagy vényköteles csalások útján. Az orvosi információk mellett az egészségügyi szolgáltatók által tárolt szellemi tulajdon és számlázási információk szintén veszélyben vannak.
Az adatainak ellopása által az egyénekre gyakorolt nyilvánvaló hatásokon túl a jelentés rámutat arra, hogy ez a csalás az egészségügyi ellátás árát még magasabbra növeli. A jelentés egy Ponemon repot idézett a tavalyi évről, amely körülbelül 12 milliárd dollárra becsülte az állameljárások és az orvosi csalások költségeit.
Hogyan javítható
Nyilvánvaló, hogy az egészségügyi szervezeteknek komolyan kell venniük hálózataik és eszközeik biztonságát, még az alapszinten is. "Az IP-címmel rendelkezők mindegyikét kritikus végpontnak tekintjük" - mondta Glines, aki azt mondta, hogy az erősebb jelszóprotokollok az orvostechnikai eszközöktől a tűzfalakig minden javítják a helyzetet.
Az új jogszabályok szintén ösztönözhetik a jobb viselkedést. Glines rámutatott az Európai Unió jogszabályaira, miszerint a bírságot kiszolgáló társaságok bevételük egy százalékát szabálysértés vagy adatvesztés esetén követik el. Noha a HIPAA célja a védelem biztosítása, norvég azt állította, hogy a megfelelés egyszerűen nem jelenti a biztonságot.
De a normál embereknek is szerepe van. Stiansen arra buzdította a betegeket, hogy kérdezzék meg egészségügyi szolgáltatójukat a kiberbiztonságról. Glines egyetértett azzal, hogy "a fogyasztók veszítik a legtöbb veszteget. Joguk van arra, hogy megkérdezzék nyilvántartásaik vezetését és milyen biztonsági eljárásokat alkalmaznak."
