Υποδομές κρίσιμης σημασίας
Τα πρωτόκολλα παλαιού τύπου στον κλάδο της υγειονομικής περίθαλψης παρουσιάζουν κινδύνους που μπορούν να καταστήσουν τα νοσοκομεία εξαιρετικά ευάλωτα σε κυβερνοεπιθέσεις.
08 Δεκέμβριος 2023 • , 3 λεπτό. ανάγνωση
Ο κλάδος της υγειονομικής περίθαλψης, είμαι σίγουρος, θα παραμείνει α σημαντικός στόχος για τους εγκληματίες του κυβερνοχώρου λόγω των τεράστιων δυνατοτήτων που τους παρέχει να αποκομίσουν έσοδα από τις προσπάθειές τους μέσω απαιτήσεων ransomware ή με κατάχρηση των δεδομένων των ασθενών που έχουν διεισδύσει. Η λειτουργική διακοπή και τα ευαίσθητα δεδομένα, όπως τα ιατρικά αρχεία, σε συνδυασμό με τα οικονομικά και ασφαλιστικά δεδομένα προσφέρουν μια πιθανή ημέρα πληρωμής που απλά δεν υπάρχει σε πολλά άλλα περιβάλλοντα.
Στο Black Hat Europe 2023, το θέμα των πρωτοκόλλων παλαιού τύπου που χρησιμοποιούνται από πολλούς οργανισμούς υγειονομικής περίθαλψης παρουσιάστηκε από μια ομάδα από Aplite GmbH. Το θέμα των πρωτοκόλλων παλαιού τύπου δεν είναι κάτι νέο. Υπήρξαν πολλές περιπτώσεις όπου εξοπλισμός ή συστήματα εξακολουθούν να χρησιμοποιούνται λόγω του σημαντικού κόστους που σχετίζεται με την αντικατάσταση, παρόλο που χρησιμοποιούν πρωτόκολλα ακατάλληλα για το σημερινό συνδεδεμένο περιβάλλον. Για παράδειγμα, η αντικατάσταση ενός σαρωτή μαγνητικής τομογραφίας μπορεί να κοστίσει έως και 500,000 USD και εάν η ανάγκη αντικατάστασης της συσκευής οφείλεται σε ειδοποίηση λήξης ζωής στο λογισμικό που λειτουργεί τη συσκευή, τότε ο κίνδυνος μπορεί να φαίνεται αποδεκτός δεδομένων των δημοσιονομικών απαιτήσεων.
Τα προβλήματα με το DICOM
Η ομάδα της Aplite τόνισε προβλήματα με το ΝΙΚΟΜ πρωτόκολλο (ψηφιακή απεικόνιση και επικοινωνίες στην ιατρική), το οποίο χρησιμοποιείται για τη διαχείριση και μετάδοση ιατρικών εικόνων και σχετικών δεδομένων.
Το πρωτόκολλο χρησιμοποιείται ευρέως στον τομέα της ιατρικής απεικόνισης για περισσότερα από 30 χρόνια και έχει υποβληθεί σε πολλές αναθεωρήσεις και ενημερώσεις. Όταν πραγματοποιείται σάρωση ιατρικής εικόνας, συνήθως περιέχει πολλές εικόνες. οι εικόνες ομαδοποιούνται ως μια σειρά και τα σχετικά δεδομένα ασθενών αποθηκεύονται στη συνέχεια με την εικόνα, μαζί με τυχόν σημειώσεις από την ιατρική ομάδα του ασθενούς, συμπεριλαμβανομένων των διαγνώσεων. Στη συνέχεια, τα δεδομένα είναι προσβάσιμα χρησιμοποιώντας το πρωτόκολλο DICOM μέσω λύσεων λογισμικού που επιτρέπουν την πρόσβαση, την προσθήκη και την τροποποίηση.
Οι εκδόσεις παλαιού τύπου του DICOM δεν επέβαλλαν τη χρήση εξουσιοδότησης για πρόσβαση στα δεδομένα, επιτρέποντας σε οποιονδήποτε μπορούσε να δημιουργήσει σύνδεση με τον διακομιστή DICOM να έχει πιθανή πρόσβαση ή να τροποποιήσει τα δεδομένα. Η παρουσίαση της Aplite αναφέρει λεπτομερώς ότι 3,806 διακομιστές που εκτελούν το DICOM είναι δημόσια προσβάσιμοι μέσω του Διαδικτύου και περιέχουν δεδομένα που σχετίζονται με 59 εκατομμύρια ασθενείς, με λίγο περισσότερους από 16 εκατομμύρια από αυτούς να περιλαμβάνουν αναγνωρίσιμες πληροφορίες όπως όνομα, ημερομηνία γέννησης, διεύθυνση ή αριθμό κοινωνικής ασφάλισης.
Η μελέτη διαπίστωσε ότι μόλις το 1% των διακομιστών που είναι προσβάσιμοι μέσω του Διαδικτύου είχαν εφαρμόσει τους μηχανισμούς εξουσιοδότησης και ελέγχου ταυτότητας που είναι διαθέσιμοι στις τρέχουσες εκδόσεις του πρωτοκόλλου. Είναι σημαντικό να σημειωθεί ότι οι οργανισμοί που κατανοούν τον κίνδυνο που σχετίζεται και έχουν λάβει προηγούμενα μέτρα ενδέχεται να έχουν αφαιρέσει τους διακομιστές από δημόσια πρόσβαση μέσω τμηματοποίησης σε δίκτυα που διαθέτουν τα κατάλληλα μέτρα ελέγχου ταυτότητας και ασφάλειας για την προστασία των ασθενών και των ιατρικών δεδομένων.
Η υγειονομική περίθαλψη είναι ένας τομέας που έχει αυστηρή νομοθεσία και κανονισμούς, όπως HIPPA (ΗΠΑ), GDPR (ΕΕ), PIPEDA (Καναδάς) κ.λπ. Αυτό προκαλεί έκπληξη το γεγονός ότι 18.2 εκατομμύρια από τα αρχεία που είναι προσβάσιμα σε αυτούς τους διακομιστές που έχουν πρόσβαση στο κοινό βρίσκονται στις Η.Π.Α.
Σχετική ανάγνωση: 5 λόγοι για τους οποίους ο GDPR ήταν ορόσημο για την προστασία δεδομένων
Προστασία κρίσιμων συστημάτων
Η κακή χρήση των δεδομένων προσβάσιμο από αυτούς τους προσβάσιμους διακομιστές παρέχει στους εγκληματίες του κυβερνοχώρου τεράστιες ευκαιρίες. Εκβιασμός των ασθενών λόγω της απειλής δημόσιας αποκάλυψης των διαγνώσεων τους, τροποποίηση δεδομένων για τη δημιουργία ψευδών διαγνώσεων, επιβολή λύτρων από τα αρμόδια νοσοκομεία ή άλλους παρόχους υγειονομικής περίθαλψης για τα δεδομένα που έχουν αλλάξει, κατάχρηση των αριθμών κοινωνικής ασφάλισης και των προσωπικών στοιχείων των ασθενών ή χρήση αυτών Οι πληροφορίες σε εκστρατείες ψαρέματος είναι μόνο μερικοί πιθανοί τρόποι χρήσης αυτών των δεδομένων για τη δημιουργία εσόδων από το έγκλημα στον κυβερνοχώρο.
Θέματα του εξασφάλιση παλαιών συστημάτων, που έχουν γνωστά πιθανά ζητήματα ασφάλειας, όπως το DICOM, θα πρέπει να βρίσκονται στο ραντάρ των ρυθμιστικών αρχών και των νομοθετών. Εάν οι ρυθμιστικοί φορείς που έχουν την εξουσία να επιβάλλουν οικονομικές ή άλλες κυρώσεις ζητούν συγκεκριμένα επιβεβαίωση από οργανισμούς ότι αυτά τα ευάλωτα συστήματα διαθέτουν τα κατάλληλα μέτρα ασφαλείας για την προστασία των ιατρικών και προσωπικών δεδομένων, θα ήταν το κίνητρο για όσους επεξεργάζονται τέτοια συστήματα να ασφαλίσουν τους.
Πολλές βιομηχανίες υποφέρουν από το βάρος της δαπανηρής αντικατάστασης παλαιών συστημάτων, συμπεριλαμβανομένων των βιομηχανιών κοινής ωφέλειας, της ιατρικής και της ναυτιλίας για να αναφέρουμε μόνο μερικά. Είναι σημαντικό αυτά τα συστήματα είτε να αντικατασταθούν, είτε σε καταστάσεις όπου μπορεί να είναι πολύ περίπλοκο ή οικονομικά δύσκολο να αντικατασταθούν τα συστήματα, τότε η κατάλληλη δράση πρέπει φροντίστε να αποφύγετε αυτά τα προηγούμενα πρωτόκολλα να σας στοιχειώσουν.
Πριν φύγεις: RSA – Η ψηφιακή υγειονομική περίθαλψη συναντά την ασφάλεια, αλλά το θέλει πραγματικά;
- SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
- PlatoData.Network Vertical Generative Ai. Ενδυναμώστε τον εαυτό σας. Πρόσβαση εδώ.
- PlatoAiStream. Web3 Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
- PlatoESG. Ανθρακας, Cleantech, Ενέργεια, Περιβάλλον, Ηλιακός, Διαχείριση των αποβλήτων. Πρόσβαση εδώ.
- PlatoHealth. Ευφυΐα βιοτεχνολογίας και κλινικών δοκιμών. Πρόσβαση εδώ.
- πηγή: https://www.welivesecurity.com/en/critical-infrastructure/black-hat-europe-2023-the-past-could-return-to-haunt-you/
- :έχει
- :είναι
- :δεν
- :που
- 000
- 1
- 16
- 2023
- 30
- 500
- a
- αποδεκτό
- πρόσβαση
- προσιτός
- Ενέργειες
- Επιπλέον
- διεύθυνση
- επιτρέπουν
- Επιτρέποντας
- κατά μήκος
- am
- an
- και
- κάθε
- κάποιος
- κατάλληλος
- ΕΙΝΑΙ
- AS
- συσχετισμένη
- Πιστοποίηση
- εξουσιοδότηση
- διαθέσιμος
- αποφύγετε
- BE
- ήταν
- είναι
- γέννηση
- Μαύρη
- Μαύρο καπέλο
- φορείς
- βάρος
- αλλά
- by
- Καμπάνιες
- CAN
- Canada
- κατηγορία
- άλλαξε
- σε συνδυασμό
- Διαβιβάσεις
- συγκρότημα
- διενεργούνται
- επιβεβαίωση
- συνδεδεμένος
- σύνδεση
- περιέχουν
- Περιέχει
- Κόστος
- θα μπορούσε να
- δημιουργία
- κρίσιμης
- Ρεύμα
- cyberattacks
- εγκλήματος στον κυβερνοχώρο
- εγκληματίες του κυβερνοχώρου
- κινδύνους
- ημερομηνία
- Ημερομηνία
- Δεκέμβριος
- απαιτήσεις
- Παρά
- λεπτομερής
- συσκευή
- DID
- δύσκολος
- ψηφιακό
- ψηφιακή ιατρική περίθαλψη
- Αποκάλυψη
- Αναστάτωση
- κάνει
- δυο
- προσπάθειες
- είτε
- Περιβάλλον
- περιβάλλοντα
- εξοπλισμός
- εγκαθιδρύω
- κ.λπ.
- EU
- Ευρώπη
- παράδειγμα
- υπάρχουν
- ακριβά
- εξαιρετικά
- ψευδής
- λίγοι
- οικονομικός
- οικονομικά
- Για
- Δύναμη
- Βρέθηκαν
- από
- GDPR
- δεδομένου
- Go
- είχε
- καπέλο
- που στοιχειώνει
- Έχω
- υγειονομική περίθαλψη
- στον τομέα της υγείας
- Τόνισε
- κράτημα
- νοσοκομεία
- HTTPS
- τεράστιος
- i
- if
- εικόνα
- εικόνες
- Απεικόνιση
- εφαρμοστεί
- σημαντικό
- επιβάλλω
- in
- Συμπεριλαμβανομένου
- βιομηχανίες
- βιομηχανία
- πληροφορίες
- ασφάλιση
- Internet
- ζήτημα
- θέματα
- IT
- jpg
- μόλις
- γνωστός
- Κληροδότημα
- Νομοθεσία
- νομοθέτες
- συμπαθεί
- που βρίσκεται
- κάνω
- ΚΑΝΕΙ
- διαχείριση
- πολοί
- θαλάσσιων
- max-width
- Ενδέχεται..
- μέτρα
- μηχανισμούς
- ιατρικών
- ιατρικά δεδομένα
- ιατρική
- πληροί
- ορόσημο
- εκατομμύριο
- πρακτικά
- τροποποιήσει
- νομισματοποιώ
- περισσότερο
- MRI
- πολύ
- όνομα
- Ανάγκη
- δίκτυα
- Νέα
- σημείωση
- Notes
- τίποτα
- Ειδοποίηση..
- αριθμός
- αριθμοί
- πολυάριθμες
- of
- προσφορά
- on
- επάνω σε
- λειτουργίας
- επιχειρήσεων
- Ευκαιρία
- or
- οργανώσεις
- ΑΛΛΑ
- επί
- Το παρελθόν
- ασθενής
- pacientes
- προσωπικός
- προσωπικά δεδομένα
- Μέρος
- Πλάτων
- Πληροφορία δεδομένων Plato
- Πλάτωνα δεδομένα
- δυναμικού
- ενδεχομένως
- δύναμη
- παρόν
- παρουσίαση
- παρουσιάζονται
- Πριν
- προστασία
- πρωτόκολλο
- πρωτόκολλα
- Παρόχους υπηρεσιών
- παρέχει
- δημόσιο
- δημοσίως
- ραντάρ
- Λύτρα
- ransomware
- Ανάγνωση
- πραγματικά
- λόγους
- αρχεία
- κανονισμοί
- Ρυθμιστικών Αρχών
- ρυθμιστές
- σχετίζεται με
- παραμένουν
- Καταργήθηκε
- αντικαθιστώ
- αντικατασταθούν
- αντικατάσταση
- ζητήσει
- απαιτήσεις
- υπεύθυνος
- απόδοση
- αναθεωρήσεις
- Κίνδυνος
- τρέξιμο
- σάρωση
- τομέας
- προστατευμένο περιβάλλον
- ασφάλεια
- Μέτρα ασφαλείας
- φαίνομαι
- κατάτμηση
- ευαίσθητος
- Σειρές
- διακομιστής
- Διακομιστές
- διάφοροι
- θα πρέπει να
- σημαντικός
- απλά
- καταστάσεων
- Μ.Κ.Δ
- λογισμικό
- Λύσεις
- ειδικά
- αποθηκεύονται
- Αυστηρός
- Μελέτη
- θέμα
- τέτοιος
- κατάλληλος
- βέβαιος
- εκπληκτικός
- συστήματα
- λαμβάνεται
- από
- ότι
- Η
- τους
- Τους
- τότε
- Εκεί.
- Αυτοί
- αυτό
- εκείνοι
- απειλή
- Μέσω
- προς την
- σημερινή
- αντωνάκης
- πολύ
- συνήθως
- καταλαβαίνω
- ενημερώσεις
- us
- USD
- χρήση
- μεταχειρισμένος
- χρησιμοποιώντας
- χρησιμότητα
- αξιοποιώντας
- εκδόσεις
- μέσω
- Ευάλωτες
- θέλω
- ήταν
- τρόπους
- Τι
- πότε
- Ποιό
- Ο ΟΠΟΊΟΣ
- WHY
- ευρέως
- θα
- με
- θα
- χρόνια
- Εσείς
- zephyrnet