Black Hat Europe 2023: Det förflutna kan återvända för att förfölja dig

Kritisk infrastruktur

Äldre protokoll inom sjukvårdsindustrin utgör faror som kan göra sjukhus extremt sårbara för cyberattacker.

Tony Anscombe

08 Dec 2023  •  , 3 min. läsa

Jag är säker på att sjukvårdsindustrin kommer att förbli en betydande mål för cyberbrottslingar på grund av den enorma potential det ger dem att tjäna pengar på sina ansträngningar genom krav på ransomware eller genom att missbruka patienters exfiltrerade data. Driftstörningar och känsliga uppgifter, såsom medicinska journaler, i kombination med finans- och försäkringsdata erbjuder en potentiell lönedag som helt enkelt inte finns i många andra miljöer.

På Black Hat Europe 2023 presenterades frågan om äldre protokoll som används av många vårdorganisationer av ett team från Aplite GmbH. Frågan om äldre protokoll är inget nytt; det har förekommit många fall där utrustning eller system fortfarande används på grund av de betydande kostnaderna för att byta ut trots att de använder protokoll som inte är lämpliga för dagens uppkopplade miljö. Att byta ut en MRI-skanner kan till exempel kosta så mycket som 500,000 XNUMX USD och om behovet av att byta ut enheten beror på ett meddelande om uttjänt livslängd på programvaran som driver enheten, kan risken tyckas acceptabel med tanke på budgetkrav.

Problemen med DICOM

Aplite-teamet lyfte fram problem med DICOM (digital bildbehandling och kommunikation inom medicin) protokoll, som används för hantering och överföring av medicinska bilder och relaterad data.

Protokollet har använts flitigt inom den medicinska bildsektorn i mer än 30 år och har varit föremål för många revideringar och uppdateringar. När en medicinsk bildskanning utförs innehåller den vanligtvis flera bilder; bilderna grupperas som en serie och tillhörande patientdata lagras sedan tillsammans med bilden, tillsammans med eventuella anteckningar från patientens medicinska team, inklusive diagnoser. Datan är sedan tillgänglig med hjälp av DICOM-protokollet genom mjukvarulösningar som tillåter åtkomst, tillägg och modifiering.

Äldre versioner av DICOM tvingade inte användningen av behörighet för att komma åt data, vilket gjorde det möjligt för alla som kunde upprätta en anslutning till DICOM-servern att potentiellt komma åt eller ändra data. Aplite-presentationen beskrev att 3,806 59 servrar som kör DICOM är offentligt tillgängliga över internet och innehåller data om 16 miljoner patienter, med drygt XNUMX miljoner av dessa inklusive identifierbar information som namn, födelsedatum, adress eller personnummer.

Studien fann att bara 1 % av servrarna som är tillgängliga via internet hade implementerat de auktoriserings- och autentiseringsmekanismer som finns tillgängliga i de nuvarande versionerna av protokollet. Det är viktigt att notera att organisationer som förstår risken förknippade och som har vidtagit tidigare åtgärder kan ha tagit bort servrarna från allmänhetens åtkomst genom segmentering på nätverk som har lämpliga autentiserings- och säkerhetsåtgärder för att skydda patientens och medicinska data.

Hälso- och sjukvård är en sektor som har stränga lagar och förordningar, såsom HIPPA (USA), GDPR (EU), PIPEDA (Kanada), etc. Detta gör det sedan förvånande att 18.2 miljoner av de register som är tillgängliga på dessa offentligt vända servrar finns i USA.

Relaterad läsning: 5 skäl till varför GDPR var en milstolpe för dataskydd

Skydda kritiska system

Smakämnen missbruk av uppgifterna tillgänglig från dessa tillgängliga servrar ger cyberbrottslingar enorma möjligheter. Utpressning av patienterna på grund av hotet om att offentliggöra deras diagnoser, modifiera data för att skapa falska diagnoser, hålla ansvariga sjukhus eller andra vårdgivare för lösen för vilken data som har ändrats, missbruka patienternas personnummer och personlig information, eller använda det information i spearphishing-kampanjer är bara några möjliga sätt som sådan data kan användas för att tjäna pengar på cyberbrottsligheten.  

Frågor om säkra äldre system, som har känt till potentiella säkerhetsproblem, såsom DICOM, bör finnas på radarn för tillsynsmyndigheter och lagstiftare. Om tillsynsorgan som har befogenhet att utdöma ekonomiska eller andra påföljder specifikt begär bekräftelse från organisationer att dessa sårbara system har lämpliga säkerhetsåtgärder på plats för att säkra medicinska och personliga uppgifter, skulle det vara motivationen för dem som arbetar med sådana system att säkra dem.

Många industrier lider av bördan av dyra ersättningar av äldre system, inklusive sådana som verktyg, medicin och sjöfart för att bara nämna några. Det är viktigt att dessa system antingen byts ut eller i situationer där det kan vara för komplext eller ekonomiskt svårt att ersätta systemen, då lämpliga åtgärder måste vidtas för att undvika att dessa tidigare protokoll förföljer dig.

Innan du går: RSA – Digital sjukvård möter trygghet, men vill den verkligen det?