Infrastructure critique
Les anciens protocoles du secteur de la santé présentent des dangers qui peuvent rendre les hôpitaux extrêmement vulnérables aux cyberattaques.
08 Dec 2023 • , 3 minute. lis
Le secteur de la santé restera, j'en suis sûr, un objectif important pour les cybercriminels en raison de l'énorme potentiel qu'il leur offre pour monétiser leurs efforts via des demandes de ransomware ou en abusant des données exfiltrées des patients. Les perturbations opérationnelles et les données sensibles, telles que les dossiers médicaux, combinées aux données financières et d'assurance, offrent un potentiel de gain qui n'existe tout simplement pas dans de nombreux autres environnements.
Lors de Black Hat Europe 2023, la question des protocoles existants utilisés par de nombreux organismes de santé a été présentée par une équipe de Aplite GmbH. La question des protocoles hérités n’est pas nouvelle ; Il existe de nombreux cas où des équipements ou des systèmes restent utilisés en raison du coût important associé à leur remplacement, même s'ils utilisent des protocoles non adaptés à l'environnement connecté d'aujourd'hui. Par exemple, le remplacement d'un scanner IRM peut coûter jusqu'à 500,000 XNUMX USD et si la nécessité de remplacer l'appareil est due à un avis de fin de vie sur le logiciel exploitant l'appareil, alors le risque peut sembler acceptable compte tenu des exigences budgétaires.
Les problèmes avec DICOM
L'équipe Aplite a mis en évidence des problèmes avec le DICOM (imagerie numérique et communications en médecine), qui est utilisé pour la gestion et la transmission des images médicales et des données associées.
Le protocole est largement utilisé dans le secteur de l’imagerie médicale depuis plus de 30 ans et a fait l’objet de nombreuses révisions et mises à jour. Lorsqu'une numérisation d'images médicales est effectuée, elle contient généralement plusieurs images ; les images sont regroupées en série et les données associées du patient sont ensuite stockées avec l'image, ainsi que toutes les notes de l'équipe médicale du patient, y compris les diagnostics. Les données sont ensuite accessibles via le protocole DICOM via des solutions logicielles qui permettent l'accès, l'ajout et la modification.
Les anciennes versions de DICOM n'imposaient pas l'utilisation d'une autorisation pour accéder aux données, permettant à toute personne pouvant établir une connexion au serveur DICOM d'accéder ou de modifier potentiellement les données. La présentation d'Aplite a précisé que 3,806 59 serveurs exécutant DICOM sont accessibles au public sur Internet et contiennent des données relatives à 16 millions de patients, dont un peu plus de XNUMX millions incluent des informations identifiables telles que le nom, la date de naissance, l'adresse ou le numéro de sécurité sociale.
L'étude a révélé que seulement 1 % des serveurs accessibles via Internet avaient mis en œuvre les mécanismes d'autorisation et d'authentification disponibles dans les versions actuelles du protocole. Il est important de noter que les organisations qui comprennent le risque associé et ont pris des mesures préalables peuvent avoir retiré les serveurs de l'accès public en les segmentant sur des réseaux dotés des mesures d'authentification et de sécurité appropriées pour protéger les patients et les données médicales.
La santé est un secteur soumis à des lois et réglementations strictes, telles que HIPPA (États-Unis), GDPR (UE), PIPEDA (Canada), etc. Il est alors surprenant que 18.2 millions de dossiers accessibles sur ces serveurs publics se trouvent aux Etats-Unis.
Lecture connexe: 5 raisons pour lesquelles le RGPD a marqué une étape importante pour la protection des données
Protection des systèmes critiques
Le utilisation abusive des données accessible à partir de ces serveurs accessibles offre aux cybercriminels une énorme opportunité. Extorquer les patients en raison de la menace de divulguer publiquement leurs diagnostics, modifier les données pour créer de faux diagnostics, demander une rançon aux hôpitaux responsables ou à d'autres prestataires de soins de santé pour les données qui ont été modifiées, abuser des numéros de sécurité sociale et des informations personnelles des patients, ou utiliser ces informations. Les informations contenues dans les campagnes de spearphishing ne sont que quelques-unes des façons possibles d'utiliser ces données pour monétiser la cybercriminalité.
Problèmes de sécuriser les systèmes existants, qui ont connu des problèmes de sécurité potentiels, tels que DICOM, devraient être sur le radar des régulateurs et des législateurs. Si les organismes de réglementation qui ont le pouvoir d'imposer des sanctions financières ou autres demandent spécifiquement aux organisations de confirmer que ces systèmes vulnérables disposent des mesures de sécurité appropriées pour sécuriser les données médicales et personnelles, cela inciterait ceux qui utilisent de tels systèmes à sécuriser eux.
De nombreux secteurs souffrent du fardeau du remplacement coûteux des systèmes existants, notamment ceux des services publics, médicaux et maritimes, pour n'en citer que quelques-uns. Il est important que ces systèmes soient remplacés ou, dans les situations où il peut être trop complexe ou financièrement difficile de remplacer les systèmes, des mesures appropriées soient alors prises. must soyez pris pour éviter que ces protocoles passés ne vous hantent.
Avant que tu partes: RSA – La santé numérique rencontre la sécurité, mais le veut-elle vraiment ?
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
- PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
- PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
- PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
- La source: https://www.welivesecurity.com/en/critical-infrastructure/black-hat-europe-2023-the-past-could-return-to-haunt-you/
- :possède
- :est
- :ne pas
- :où
- 000
- 1
- 16
- 2023
- 30
- 500
- a
- acceptable
- accès
- accessible
- Action
- ajout
- propos
- permettre
- Permettre
- le long de
- am
- an
- et les
- tous
- chacun.e
- approprié
- SONT
- AS
- associé
- Authentification
- autorisation
- disponibles
- éviter
- BE
- était
- va
- naissance
- Noir
- Black Hat
- corps
- fardeau
- mais
- by
- Campagnes
- CAN
- Canada
- Catégories
- modifié
- combiné
- Communications
- complexe
- menée
- confirmation
- connecté
- connexion
- contiennent
- contient
- Prix
- pourriez
- engendrent
- critique
- Courant
- cyber-attaques
- la cybercriminalité
- les cybercriminels
- dangers
- données
- Date
- déc
- demandes
- Malgré
- détaillé
- dispositif
- DID
- difficile
- numérique
- soins de santé numériques
- Divulgation
- Perturbation
- deux
- efforts
- non plus
- Environment
- environnements
- l'équipements
- établir
- etc
- EU
- Europe
- exemple
- exister
- cher
- extrêmement
- non
- few
- la traduction de documents financiers
- financièrement
- Pour
- Force
- trouvé
- De
- RGPD
- donné
- Go
- ait eu
- chapeau
- hanté
- Vous avez
- la médecine
- secteur de la santé
- Surbrillance
- tenue
- les hôpitaux
- HTTPS
- majeur
- i
- if
- image
- satellite
- Imagerie
- mis en œuvre
- important
- imposer
- in
- Y compris
- secteurs
- industrie
- d'information
- Assurance
- Internet
- aide
- vous aider à faire face aux problèmes qui vous perturbent
- IT
- jpg
- juste
- connu
- Legacy
- Législation
- législateurs
- aime
- situé
- a prendre une
- FAIT DU
- gestion
- de nombreuses
- maritime
- largeur maximale
- Mai..
- les mesures
- mécanismes
- médical
- données médicales
- médecine
- Se rencontre
- étape importante
- million
- m.
- modifier
- monétiser
- PLUS
- MRI
- beaucoup
- prénom
- Besoin
- réseaux
- Nouveauté
- noter
- Notes
- rien
- Remarquer..
- nombre
- numéros
- nombreux
- of
- code
- on
- sur
- d'exploitation
- opérationnel
- Opportunités
- or
- organisations
- Autre
- plus de
- passé
- patientforward
- patients
- personnel
- données à caractère personnel
- Place
- Platon
- Intelligence des données Platon
- PlatonDonnées
- défaillances
- l'éventualité
- power
- représentent
- présentation
- présenté
- Avant
- protéger
- protocole
- protocoles
- fournisseurs
- fournit
- public
- publiquement
- radar
- Ransom
- ransomware
- en cours
- vraiment
- Les raisons
- Articles
- règlements
- Régulateurs
- régulateurs
- en relation
- rester
- Supprimé
- remplacer
- remplacé
- remplacement
- nécessaire
- Exigences
- responsables
- retourner
- révisions
- Analyse
- pour le running
- balayage
- secteur
- sécurisé
- sécurité
- Mesures de sécurité
- sembler
- segmentation
- sensible
- Série
- serveur
- Serveurs
- plusieurs
- devrait
- significative
- simplement
- situations
- Réseaux sociaux
- Logiciels
- Solutions
- spécifiquement
- stockée
- Strict
- Étude
- sujet
- tel
- convient
- sûr
- surprenant
- Système
- tâches
- équipe
- que
- qui
- Le
- leur
- Les
- puis
- Là.
- Ces
- this
- ceux
- menace
- Avec
- à
- aujourd'hui
- Tony
- trop
- typiquement
- comprendre
- Actualités
- us
- USD
- utilisé
- d'utiliser
- en utilisant
- utilitaire
- Utilisant
- versions
- via
- Vulnérable
- souhaitez
- était
- façons
- Quoi
- quand
- qui
- WHO
- why
- largement
- sera
- comprenant
- pourra
- années
- Vous n'avez
- zéphyrnet
