Я уверен, что сфера здравоохранения останется значительной мишенью для киберпреступников из-за огромного потенциала для монетизации их усилий посредством требований ransomware или злоупотребления украденными данными пациентов. Операционные сбои и конфиденциальные данные, такие как медицинские записи, в сочетании с финансовой и страховой информацией, представляют собой потенциальный куш, которого просто не существует во многих других средах.
На конференции Black Hat Europe 2023 команда Aplite GmbH представила проблему использования устаревших протоколов многими медицинскими организациями. Проблема устаревших протоколов не нова; было множество случаев, когда оборудование или системы оставались в использовании из-за значительных затрат, связанных с их заменой, несмотря на то, что они использовали протоколы, непригодные для сегодняшней подключенной среды. Например, замена аппарата МРТ может стоить до 500 000 долларов США, и если необходимость замены устройства связана с уведомлением об окончании срока службы программного обеспечения, управляющего устройством, то риск может показаться приемлемым, учитывая бюджетные требования.
Проблемы с DICOM
Команда Aplite выделила проблемы с протоколом DICOM (Digital Imaging and Communications in Medicine), который используется для управления и передачи медицинских изображений и связанных с ними данных.
Этот протокол широко используется в секторе медицинской визуализации более 30 лет и претерпел множество ревизий и обновлений. Когда проводится сканирование медицинского изображения, оно обычно содержит несколько изображений; изображения группируются как серия, а связанные с пациентом данные затем хранятся вместе с изображением, а также любые заметки от медицинской команды пациента, включая диагнозы. Затем данные доступны с использованием протокола DICOM через программные решения, которые позволяют доступ, добавление и изменение.
Устаревшие версии DICOM не требовали авторизации для доступа к данным, позволяя любому, кто мог установить соединение с сервером DICOM, потенциально получать доступ или изменять данные. Презентация Aplite подробно описала, что 3806 серверов, работающих под управлением DICOM, общедоступны в Интернете и содержат данные, относящиеся к 59 миллионам пациентов, причем чуть более 16 миллионов из них включают идентифицирующую информацию, такую как имя, дата рождения, адрес или номер социального страхования.
Исследование показало, что только 1% серверов, доступных через Интернет, внедрили механизмы авторизации и аутентификации, доступные в текущих версиях протокола. Важно отметить, что организации, которые понимают связанные с этим риски и предприняли предварительные действия, могли удалить серверы из общедоступного доступа, сегментировав их в сети с соответствующими мерами аутентификации и безопасности для защиты данных пациента и медицинских данных.
Здравоохранение — это сектор со строгим законодательством и нормативными актами, такими как HIPPA (США), GDPR (ЕС), PIPEDA (Канада) и т. д. Поэтому удивительно, что 18,2 миллиона записей, доступных на этих общедоступных серверах, находятся в США.
Сопутствующее чтение: 5 причин, почему GDPR стал вехой в защите данных
Защита критически важных систем
Злоупотребление данными, доступными с этих общедоступных серверов, предоставляет киберпреступникам огромные возможности. Вымогательство у пациентов под угрозой публичного раскрытия их диагнозов, изменение данных для создания ложных диагнозов, удержание больниц или других поставщиков медицинских услуг в заложниках из-за измененных данных, злоупотребление номерами социального страхования и личной информацией пациентов или использование этой информации в кампаниях целенаправленного фишинга — это лишь несколько потенциальных способов использования таких данных для получения прибыли от киберпреступности.
Проблемы защиты устаревших систем с известными потенциальными проблемами безопасности, такими как DICOM, должны быть в поле зрения регулирующих органов и законодателей. Если регулирующие органы, имеющие право налагать финансовые или иные штрафы, будут конкретно запрашивать у организаций подтверждение того, что эти уязвимые системы имеют соответствующие меры безопасности для защиты медицинских и личных данных, это станет мотиватором для владельцев таких систем обеспечить их безопасность.
Многие отрасли страдают от бремени дорогостоящей замены устаревших систем, включая коммунальные услуги, медицинские учреждения, морскую отрасль и другие. Важно, чтобы эти системы были либо заменены, либо, в ситуациях, когда замена систем может быть слишком сложной или финансово обременительной, были предприняты соответствующие действия, чтобы избежать того, чтобы эти прошлые протоколы преследовали вас.
Прежде чем вы уйдете: RSA — Цифровое здравоохранение встречается с безопасностью, но действительно ли оно этого хочет?