Хоча лікарі присягали, що не завдадуть шкоди, те саме не здається правдою для обладнання та мереж, якими вони користуються для надання догляду. Згідно з новим звітом дослідницької організації SANS та Norse, медичні працівники вже піддаються кібератакам у групі. Дослідження виявило 49 917 унікальних шкідливих подій від медичних працівників, які вони профілювали, і не хвилюйтеся: воно стає гірше.
Рятувальники життя перетворилися на зло
У звіті встановлено, що багато мережевих медичних пристроїв легко перебрали хакери. Сюди входили програмне забезпечення для візуальної рентгенології, системи відеоконференцій, цифрові відеосистеми, програмне забезпечення для контакту з дзвінками та системи безпеки. Навіть пристрої, які мали допомогти захищати такі організації, як VPN, брандмауері та маршрутизатори, були викрадені.
У звіті встановлено, що медичні пристрої та програмне забезпечення стають улюбленою ціллю хакерів для запуску інших атак - або в одній мережі, або на інших цілях. Звіт: "Після компромісу ці мережі не тільки вразливі до порушень, але також можуть бути використані для атак, таких як фішинг, DDoS та шахрайських дій, розпочатих проти інших мереж та жертв".
"Однією з найважливіших причин, по якій ми бачимо, що інфраструктура для лікарень використовується як запуск платформ для інших кіберзлочинностей і хакерів, це те, що багато цих пристроїв - це німі пристрої", - сказав норвезький центральний директор та співзасновник Томмі Стіансен. "Вони не настільні або сервери, але всі вони працюють під Linux". Ми вже бачили, як деякі пристрої, зокрема мережеві відеокамери, можуть використовуватись для закріплення в мережі жертви та спричинення різного роду погроз.
Незважаючи на свої можливості, медичне обладнання та камери спостереження не вважаються частиною архітектури безпеки, пояснив генеральний директор і співзасновник Сем Глінес. "Документ, який виявили наші сканери для великої лікарні, мав однакове ім'я користувача та пароль для всього", - сказав він. Сюди входили рятувальні пристрої, такі як обладнання для діалізу. Пам'ятайте, що Інтернет все ще на шляху до вбивства до 2014 року.
Як би продемонструвавши масштаб проблеми, Стіансен зазначив, що вперше вони зацікавилися цим проектом, коли спостерігали, як інформація про кредитні картки передається медичними пристроями. "Якщо хтось залишить двері відчиненими, хакери прийдуть", - сказав Стіансен.
Більш цінні дані
Окрім незахищених пристроїв та програмного забезпечення, якими користуються лікарні, є ще більша проблема: викрадені медичні дані. Медичні працівники всіх рівнів мають у своєму розпорядженні надзвичайно цінні особисті дані, і це та інформація, яку зловмисники відчайдушно хочуть отримати.
Причина, пояснила Стіансен, проста: "Ви можете скоїти з цим більше шахрайства, ніж ви могли б із даними кредитної картки". Зловмисник може швидко монетизувати медичні дані, пояснив він, через такі засоби, як Medicare або шахрайство за рецептом. Окрім медичної інформації, під загрозою також потрапляє інформація про інтелектуальну власність та рахунки, що зберігаються медичними працівниками.
Крім очевидного впливу на людей, спричиненого викраденням ваших даних, у звіті також вказується, що це шахрайство призводить до підвищення ціни на охорону здоров’я ще вище. У звіті цитується репортаж Понемону з минулого року, який оцінив вартість страховки та медичне шахрайство приблизно в 12 мільярдів доларів.
Як це виправити
Очевидно, що медичним організаціям потрібно серйозно ставитись до безпеки своїх мереж та пристроїв навіть на базовому рівні. "Вважайте, що все з IP-адресою є критичною кінцевою точкою", - сказав Глінес, який продовжував говорити, що посилення протоколів паролів для всього, від медичних пристроїв до брандмауерів, покращить ситуацію.
Нове законодавство також може заохочувати кращу поведінку. Глінес вказував на закони Європейського Союзу про те, що штрафують компанії відсоток від їх доходу в разі порушення або втрати даних. Хоча HIPAA призначений для захисту, Норс зазначив, що відповідність просто не прирівнюється до безпеки.
Але є роль і для звичайних людей. Стіансен закликав пацієнтів допитати свого лікаря про кібербезпеку. Глінес погодився сказати, що "споживачі - це ті, хто найбільше втрачає. Вони мають право запитувати, як ведеться їхній запис та які процедури безпеки".