Kritikus infrastruktúra
Az egészségügyi ágazat örökölt protokolljai olyan veszélyeket rejtenek magukban, amelyek rendkívül sebezhetővé tehetik a kórházakat a kibertámadásokkal szemben.
08 Dec 2023 • , 3 perc olvas
Biztos vagyok benne, hogy az egészségipar továbbra is a jelentős cél A kiberbûnözõk számára óriási lehetõségük miatt pénzzé teheti erõfeszítéseit ransomware-kérésekkel vagy a betegek kiszûrt adataival való visszaéléssel. A működési zavarok és az érzékeny adatok, például az orvosi feljegyzések, a pénzügyi és biztosítási adatokkal kombinálva olyan potenciális fizetési napot kínálnak, amely sok más környezetben egyszerűen nem létezik.
A Black Hat Europe 2023 rendezvényen a számos egészségügyi szervezet által használt örökölt protokollok kérdését mutatta be egy csapat Aplite GmbH. Az örökölt protokollok kérdése nem újdonság; Számos olyan eset volt, amikor a berendezések vagy rendszerek továbbra is használatban maradnak a cserével járó jelentős költségek miatt, annak ellenére, hogy a mai csatlakoztatott környezethez nem megfelelő protokollokat használnak. Például egy MRI-szkenner cseréje akár 500,000 XNUMX USD-ba is kerülhet, és ha az eszköz cseréjének szükségessége az eszközt üzemeltető szoftver élettartamának végére vonatkozó figyelmeztetés miatt van, akkor a kockázat elfogadhatónak tűnhet a költségvetési feltételek mellett.
A gondok a DICOM-mal
Az Aplite csapata kiemelte a problémákat a DICOM (digitális képalkotás és kommunikáció az orvostudományban) protokoll, amely orvosi képek és kapcsolódó adatok kezelésére és továbbítására szolgál.
A protokollt több mint 30 éve széles körben használják az orvosi képalkotási szektorban, és számos felülvizsgálaton és frissítésen esett át. Ha orvosi képvizsgálatot végeznek, az általában több képet tartalmaz; a képeket sorozatként csoportosítják, és a kapcsolódó betegadatokat a képpel együtt tárolják a páciens orvosi csapatától származó megjegyzésekkel együtt, beleértve a diagnózisokat is. Az adatok ezután a DICOM protokoll használatával elérhetők olyan szoftvermegoldásokon keresztül, amelyek lehetővé teszik a hozzáférést, a kiegészítést és a módosítást.
A DICOM régebbi verziói nem kényszerítették ki az adatokhoz való hozzáférés engedélyezését, így bárki, aki kapcsolatot tudott létesíteni a DICOM szerverrel, potenciálisan hozzáférhet vagy módosíthat az adatokhoz. Az Aplite prezentációja részletezte, hogy 3,806 DICOM-ot futtató szerver nyilvánosan elérhető az interneten keresztül, és 59 millió beteg adatait tartalmazzák, amelyek közül valamivel több mint 16 millió olyan azonosítható adatokat tartalmaz, mint a név, születési dátum, cím vagy társadalombiztosítási szám.
A tanulmány megállapította, hogy az interneten keresztül elérhető szerverek mindössze 1%-a valósította meg a protokoll jelenlegi verzióiban elérhető engedélyezési és hitelesítési mechanizmusokat. Fontos megjegyezni, hogy azok a szervezetek, amelyek megértik a kapcsolódó kockázatokat és megtették az előzetes lépéseket, szegmentálással eltávolíthatták a szervereket a nyilvános hozzáférésből olyan hálózatokra, amelyek rendelkeznek a megfelelő hitelesítési és biztonsági intézkedésekkel a betegek és az egészségügyi adatok védelmére.
Az egészségügy olyan ágazat, amely szigorú jogszabályokkal és szabályozásokkal rendelkezik, mint például a HIPPA (USA), GDPR (EU), PIPEDA (Kanada) stb. Ez aztán meglepővé teszi, hogy ezeken a nyilvános szervereken elérhető rekordok közül 18.2 millió található. az USA-ban.
Kapcsolódó olvasmány: 5 ok, amiért a GDPR mérföldkő volt az adatvédelemben
A kritikus rendszerek védelme
A az adatokkal való visszaélés ezekről az elérhető szerverekről elérhető, óriási lehetőségeket kínál a kiberbűnözők számára. A betegek zsarolása diagnózisaik nyilvánosságra hozatalával való fenyegetés miatt, adatok hamis diagnózis létrehozására való módosítása, a felelős kórházak vagy más egészségügyi szolgáltatók váltságdíj megfizetése miatt a megváltozott adatokért, a betegek társadalombiztosítási számával és személyes adataival való visszaélés, vagy ezek felhasználása Az adathalász kampányokban szereplő információk csak néhány lehetséges módja annak, hogy az ilyen adatokat felhasználják a kiberbűnözés pénzzé tételére.
A örökölt rendszerek biztosítása, amelyeknek ismert potenciális biztonsági problémái vannak, mint például a DICOM, a szabályozók és a jogalkotók látókörébe kell kerülniük. Ha a pénzügyi vagy egyéb szankciók kiszabására jogosult szabályozó testületek kifejezetten megerősítést kérnek a szervezetektől, hogy ezek a sebezhető rendszerek rendelkeznek a megfelelő biztonsági intézkedésekkel az egészségügyi és személyes adatok védelmére, ez arra ösztönözné az ilyen rendszerek feldolgozóit, hogy biztosítsák a biztonságot. őket.
Sok iparág szenved a régi rendszerek költséges cseréjétől, beleértve a közüzemi, orvosi és tengerészeti ágazatokat, hogy csak néhányat említsünk. Fontos, hogy ezeket a rendszereket vagy lecseréljék, vagy olyan helyzetekben, amikor túl bonyolult vagy pénzügyileg nehéz a rendszerek cseréje, akkor megfelelő lépéseket kell tenni kell meg kell tenni, hogy elkerülje, hogy ezek a múltbeli protokollok kísértsenek.
Mielőtt mész: RSA – A digitális egészségügy találkozik a biztonsággal, de tényleg akar?
- SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
- PlatoData.Network Vertical Generative Ai. Erősítse meg magát. Hozzáférés itt.
- PlatoAiStream. Web3 Intelligence. Felerősített tudás. Hozzáférés itt.
- PlatoESG. Carbon, CleanTech, Energia, Környezet, Nap, Hulladékgazdálkodás. Hozzáférés itt.
- PlatoHealth. Biotechnológiai és klinikai vizsgálatok intelligencia. Hozzáférés itt.
- Forrás: https://www.welivesecurity.com/en/critical-infrastructure/black-hat-europe-2023-the-past-could-return-to-haunt-you/
- :van
- :is
- :nem
- :ahol
- 000
- 1
- 16
- 2023
- 30
- 500
- a
- elfogadható
- hozzáférés
- hozzáférhető
- Akció
- mellett
- cím
- lehetővé
- lehetővé téve
- mentén
- am
- an
- és a
- bármilyen
- bárki
- megfelelő
- VANNAK
- AS
- társult
- Hitelesítés
- meghatalmazás
- elérhető
- elkerülése érdekében
- BE
- óta
- hogy
- születés
- Fekete
- Fekete sapka
- testületek
- teher
- de
- by
- Kampányok
- TUD
- Kanada
- Kategória
- megváltozott
- kombinált
- távközlés
- bonyolult
- lefolytatott
- megerősítés
- összefüggő
- kapcsolat
- tartalmaz
- tartalmaz
- Költség
- tudott
- teremt
- kritikai
- Jelenlegi
- cyberattacks
- a számítógépes bűnözés
- kiberbűnözők
- veszélyeket
- dátum
- találka
- december
- igények
- Ellenére
- részletes
- eszköz
- DID
- nehéz
- digitális
- digitális egészségügy
- Közzététel
- Zavar
- nem
- két
- erőfeszítések
- bármelyik
- Környezet
- környezetek
- felszerelés
- létrehozni
- stb.
- EU
- Európa
- példa
- létezik
- drága
- rendkívüli módon
- hamis
- kevés
- pénzügyi
- pénzügyileg
- A
- Kényszer
- talált
- ból ből
- GDPR
- adott
- Go
- kellett
- kalap
- kísértő
- Legyen
- egészségügyi
- egészségügyi ágazat
- Kiemelt
- holding
- kórházak
- HTTPS
- hatalmas
- i
- if
- kép
- képek
- Leképezés
- végre
- fontos
- szabhat
- in
- Beleértve
- iparágak
- ipar
- információ
- biztosítás
- Internet
- kérdés
- kérdések
- IT
- jpg
- éppen
- ismert
- Örökség
- Jogalkotás
- törvényhozók
- Kedvencek
- található
- csinál
- KÉSZÍT
- vezetés
- sok
- tengeri
- max-width
- Lehet..
- intézkedések
- mechanizmusok
- orvosi
- orvosi adatok
- orvostudomány
- Megfelel
- mérföldkő
- millió
- perc
- módosítása
- bevételt
- több
- MRI
- sok
- név
- Szükség
- hálózatok
- Új
- megjegyezni
- Megjegyzések
- semmi
- Értesítés..
- szám
- számok
- számos
- of
- ajánlat
- on
- -ra
- üzemeltetési
- operatív
- Alkalom
- or
- szervezetek
- Más
- felett
- múlt
- beteg
- betegek
- személyes
- személyes adat
- Hely
- Plató
- Platón adatintelligencia
- PlatoData
- potenciális
- potenciálisan
- hatalom
- be
- bemutatás
- bemutatott
- Előzetes
- védelme
- protokoll
- protokollok
- szolgáltatók
- biztosít
- nyilvános
- nyilvánosan
- radar
- Váltságdíj
- ransomware
- Olvasás
- tényleg
- miatt
- nyilvántartások
- előírások
- Szabályozók
- szabályozók
- összefüggő
- marad
- eltávolított
- cserélni
- helyébe
- csere
- kérni
- követelmények
- felelős
- visszatérés
- változathoz
- Kockázat
- futás
- beolvasás
- szektor
- biztonság
- biztonság
- Biztonsági intézkedések
- látszik
- szegmentáció
- érzékeny
- Series of
- szerver
- Szerverek
- számos
- kellene
- jelentős
- egyszerűen
- helyzetek
- Közösség
- szoftver
- Megoldások
- kifejezetten
- memorizált
- Szigorú
- Tanulmány
- tárgy
- ilyen
- megfelelő
- biztos
- meglepő
- Systems
- meghozott
- csapat
- mint
- hogy
- A
- azok
- Őket
- akkor
- Ott.
- Ezek
- ezt
- azok
- fenyegetés
- Keresztül
- nak nek
- mai
- Tony
- is
- jellemzően
- megért
- Frissítés
- us
- USAdollár
- használ
- használt
- segítségével
- hasznosság
- kihasználva
- verzió
- keresztül
- Sebezhető
- akar
- volt
- módon
- Mit
- amikor
- ami
- WHO
- miért
- széles körben
- lesz
- val vel
- lenne
- év
- te
- zephyrnet