Infraestructura crítica
Los protocolos heredados en la industria de la salud presentan peligros que pueden hacer que los hospitales sean extremadamente vulnerables a los ciberataques.
08 Dec 2023 • , 3 minuto. leer
Estoy seguro de que el sector sanitario seguirá siendo un objetivo significativo para los ciberdelincuentes debido al enorme potencial que les brinda para monetizar sus esfuerzos mediante demandas de ransomware o abusando de los datos exfiltrados de los pacientes. Las interrupciones operativas y los datos confidenciales, como los registros médicos, combinados con datos financieros y de seguros ofrecen un potencial de pago que simplemente no existe en muchos otros entornos.
En Black Hat Europe 2023, un equipo de Aplite GmbH. La cuestión de los protocolos heredados no es nada nuevo; Ha habido numerosos casos en los que los equipos o sistemas permanecen en uso debido al costo significativo asociado con el reemplazo a pesar de que utilizan protocolos que no son adecuados para el entorno conectado actual. Por ejemplo, reemplazar un escáner de resonancia magnética puede costar hasta 500,000 dólares y si la necesidad de reemplazar el dispositivo se debe a un aviso de fin de vida útil en el software que lo opera, entonces el riesgo puede parecer aceptable considerando los requisitos presupuestarios.
Los problemas con DICOM
El equipo de Aplite destacó problemas con el DICOM (Imágenes digitales y comunicaciones en medicina), que se utiliza para la gestión y transmisión de imágenes médicas y datos relacionados.
El protocolo se ha utilizado ampliamente en el sector de las imágenes médicas durante más de 30 años y ha estado sujeto a muchas revisiones y actualizaciones. Cuando se realiza una exploración de imágenes médicas, normalmente contiene varias imágenes; las imágenes se agrupan como una serie y los datos asociados del paciente se almacenan con la imagen, junto con las notas del equipo médico del paciente, incluidos los diagnósticos. Luego se puede acceder a los datos mediante el protocolo DICOM a través de soluciones de software que permiten el acceso, la adición y la modificación.
Las versiones heredadas de DICOM no obligaban al uso de autorización para acceder a los datos, lo que permitía a cualquier persona que pudiera establecer una conexión con el servidor DICOM acceder o modificar los datos. La presentación de Aplite detalló que 3,806 servidores que ejecutan DICOM son de acceso público a través de Internet y contienen datos relacionados con 59 millones de pacientes, de los cuales poco más de 16 millones incluyen información identificable como nombre, fecha de nacimiento, dirección o número de seguro social.
El estudio encontró que sólo el 1% de los servidores accesibles a través de Internet habían implementado los mecanismos de autorización y autenticación disponibles en las versiones actuales del protocolo. Es importante tener en cuenta que las organizaciones que comprenden el riesgo asociado y han tomado medidas previas pueden haber eliminado los servidores del acceso público mediante la segmentación en redes que cuentan con las medidas de autenticación y seguridad adecuadas para proteger los datos médicos y del paciente.
La atención médica es un sector que tiene leyes y regulaciones estrictas, como HIPPA (EE. UU.), GDPR (UE), PIPEDA (Canadá), etc. Esto hace que resulte sorprendente que 18.2 millones de registros accesibles en estos servidores públicos se encuentren ubicados. en los EE.UU.
Lectura relacionada: 5 razones por las que el RGPD marcó un hito en la protección de datos
Protección de sistemas críticos
La mal uso de los datos accesible desde estos servidores accesibles ofrece a los ciberdelincuentes una gran oportunidad. Extorsionar a los pacientes debido a la amenaza de revelar públicamente sus diagnósticos, modificar datos para crear diagnósticos falsos, pedir rescate a los hospitales responsables u otros proveedores de atención médica por los datos que se habían cambiado, abusar de los números de seguro social y la información personal de los pacientes, o usar esa La información en campañas de phishing son solo algunas de las posibles formas en que dichos datos podrían usarse para monetizar el delito cibernético.
Problemas de asegurar sistemas heredados, que han conocido posibles problemas de seguridad, como DICOM, deberían estar en el radar de los reguladores y legisladores. Si los organismos reguladores que tienen el poder de imponer sanciones financieras o de otro tipo solicitan específicamente a las organizaciones confirmación de que estos sistemas vulnerables cuentan con las medidas de seguridad adecuadas para proteger los datos médicos y personales, sería el motivador para quienes están a cargo de dichos sistemas protegerlos. a ellos.
Muchas industrias sufren la carga del costoso reemplazo de sistemas heredados, incluidos los de servicios públicos, médicos y marítimos, por nombrar solo algunos. Es importante que estos sistemas sean reemplazados, o en situaciones donde puede ser demasiado complejo o financieramente difícil reemplazar los sistemas, entonces se toman las medidas apropiadas. debe Se deben tomar medidas para evitar que estos protocolos pasados lo atormenten.
Antes de que te vayas: RSA: la atención médica digital se encuentra con la seguridad, pero ¿realmente quiere hacerlo?
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
- PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
- PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
- PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
- Fuente: https://www.welivesecurity.com/en/critical-infrastructure/black-hat-europe-2023-the-past-could-return-to-haunt-you/
- :posee
- :es
- :no
- :dónde
- 000
- 1
- 16
- 2023
- 30
- 500
- a
- aceptable
- de la máquina
- accesible
- la columna Acción
- adición
- dirección
- permitir
- Permitir
- a lo largo de
- am
- an
- y
- cualquier
- nadie
- adecuado
- somos
- AS
- asociado
- Autenticación
- autorización
- Hoy Disponibles
- evitar
- BE
- esto
- "Ser"
- nacimiento
- Negro
- Sombrero Negro
- cuerpos
- carga
- pero
- by
- Campañas
- PUEDEN
- Ubicación: Canadá
- Categoría
- cambiado
- combinado
- Comunicaciónes
- integraciones
- llevado a cabo
- confirmación
- conectado
- conexión
- que no contengo
- contiene
- Cost
- podría
- Para crear
- crítico
- Current
- Ataques ciberneticos
- ciberdelincuencia
- ciberdelincuentes
- peligros
- datos
- Fecha
- dic
- demandas
- A pesar de las
- detallado
- dispositivo
- HIZO
- difícil
- digital
- sanidad digital
- Revelar
- Interrupción
- sí
- dos
- esfuerzos
- ya sea
- Entorno
- ambientes
- equipo
- establecer
- etc.
- EU
- Europa
- ejemplo
- existe
- costoso
- extremadamente
- false
- pocos
- financiero
- financialmente
- FORCE
- encontrado
- Desde
- RGPD
- dado
- Go
- tenido
- ¿Qué
- obsesionante
- Tienen
- la salud
- industria de la salud
- Destacado
- tenencia
- hospitales
- HTTPS
- enorme
- i
- if
- imagen
- imágenes
- Proyección de imagen
- implementado
- importante
- impuesta
- in
- Incluye
- industrias
- energético
- información
- aseguradora
- Internet
- cuestiones
- IT
- jpg
- solo
- conocido
- Legado
- Legislación
- legisladores
- Me gusta
- situados
- para lograr
- HACE
- Management
- muchos
- marítimo
- max-ancho
- Puede..
- medidas
- los mecanismos de
- servicios
- datos médicos
- medicina
- se une a la
- hito
- millones
- min
- modificar
- monetizar
- más,
- MRI
- mucho más
- nombre
- ¿ Necesita ayuda
- telecomunicaciones
- Nuevo
- nota
- Notas
- nada
- Aviso..
- número
- números
- numeroso
- of
- LANZAMIENTO
- on
- sobre
- funcionamiento
- operativos.
- Oportunidad
- or
- para las fiestas.
- Otro
- Más de
- pasado
- paciente
- los pacientes
- con
- datos personales
- Colocar
- Platón
- Inteligencia de datos de Platón
- PlatónDatos
- posible
- la posibilidad
- industria
- presente
- presentation
- presentó
- Anterior
- proteger
- protocolo
- protocolos
- los proveedores
- proporciona un
- público
- en público
- radar
- Rescate
- ransomware
- Reading
- realmente
- razones
- archivos
- reglamentos
- Reguladores
- regulador
- relacionado
- permanecer
- Remoto
- reemplazar
- reemplazados
- reemplazo
- solicita
- Requisitos
- responsable
- volvemos
- las revisiones
- Riesgo
- correr
- escanear
- sector
- seguro
- EN LINEA
- Medidas de Seguridad
- parecer
- segmentación
- sensible
- Serie
- servidor
- Servidores
- Varios
- tienes
- importante
- simplemente
- circunstancias
- Social
- Software
- Soluciones
- específicamente
- almacenados
- Estricto
- ESTUDIO
- sujeto
- tal
- adecuado
- seguro
- sorprendente
- Todas las funciones a su disposición
- toma
- equipo
- que
- esa
- La
- su
- Les
- luego
- Ahí.
- Estas
- así
- aquellos
- amenaza
- A través de esta formación, el personal docente y administrativo de escuelas y universidades estará preparado para manejar los recursos disponibles que derivan de la diversidad cultural de sus estudiantes. Además, un mejor y mayor entendimiento sobre estas diferencias y similitudes culturales permitirá alcanzar los objetivos de inclusión previstos.
- a
- de hoy
- tony
- demasiado
- típicamente
- entender
- Actualizaciones
- us
- USD
- utilizan el
- usado
- usando
- utilidad
- Utilizando
- versiones
- vía
- Vulnerable
- quieres
- fue
- formas
- ¿
- cuando
- que
- QUIENES
- porque
- extensamente
- seguirá
- se
- años
- Usted
- zephyrnet
