セキュリティウォッチ 悪意のある医療機器? ハッカーからの攻撃を受けている医師のデバイスとデータ

悪意のある医療機器? ハッカーからの攻撃を受けている医師のデバイスとデータ

ビデオ: Scorpions - Send Me An Angel (Official Music Video) (十一月 2024)

ビデオ: Scorpions - Send Me An Angel (Official Music Video) (十一月 2024)
Anonim

医師は危害を加えないことを誓いましたが、ケアを管理するために使用する機器やネットワークについても同じではないようです。 SANSの研究組織と北欧からの新しいレポートによると、医療提供者はすでにサイバー攻撃に圧倒されています。 この調査では、プロファイリングした医療提供者からの49, 917のユニークな悪意のあるイベントが見つかりましたが、心配する必要はありません。悪化します。

命の恩人が悪を回した

このレポートは、ネットワーク化された多くの医療機器がハッカーに簡単に乗っ取られることを発見しました。 これらには、放射線画像ソフトウェア、ビデオ会議システム、デジタルビデオシステム、コールコンタクトソフトウェア、セキュリティシステムが含まれます。 VPN、ファイアウォール、ルーターなど、組織を保護するためのデバイスでさえもハイジャックされていました。

このレポートは、医療機器とソフトウェアが、同じネットワーク上または他の標的のいずれかで、他の攻撃を仕掛けるハッカーのお気に入りの標的になっていることを発見しました。 レポートから:「これらのネットワークは侵害されると、侵害に対して脆弱になるだけでなく、フィッシング、DDoS、および他のネットワークや被害者に対する不正行為などの攻撃にも使用できるようになります。」

「病院のインフラストラクチャが他のサイバー犯罪やハッキングの立ち上げプラットフォームとして使用されている最大の理由の1つは、これらのデバイスの多くがダムデバイスであるためです」とNorseのCTOで共同設立者のTommy Stiansen氏は語ります。 「これらはデスクトップやサーバーではありませんが、すべてLinuxを実行しています。」 一部のデバイス、特にネットワークビデオカメラを使用して、被害者のネットワークに足場を築き、あらゆる種類の騒乱を引き起こす方法をすでに見てきました。

その機能にもかかわらず、医療機器と監視カメラはセキュリティアーキテクチャの一部とは見なされていないと、CEO兼共同設立者のサムグラインズは説明しました。 「私たちのクローラーが主要な病院のために発見したドキュメントには、すべてのユーザー名とパスワードが同じでした」と彼は言いました。 これには、透析装置などの救命具が含まれます。 インターネットは2014年までにあなたを殺すためにまだ軌道に乗っていることを忘れないでください。

問題の範囲を実証するかのように、Stiansenは、医療機器によって送信されているクレジットカード情報を観察したときに最初にこのプロジェクトに興味を持つようになったと述べました。 「誰かがドアを開けたままにしておくと、ハッカーがやってくるでしょう」とStiansenは言いました。

より貴重なデータ

病院で使用されているセキュリティ保護されていないデバイスとソフトウェアに加えて、盗まれた医療データというさらに大きな問題があります。 すべてのレベルの医療提供者は、非常に貴重な個人データを自由に利用できます。攻撃者が手に入れるには必死の情報です。

Stiansenが説明した理由は簡単です。「クレジットカードデータを使用するよりも、不正行為を多く行うことができます。」 攻撃者は、メディケアや処方詐欺などの手段を通じて、医療データを迅速に収益化できると彼は説明しました。 医療情報に加えて、医療提供者が保存する知的財産と請求情報も危険にさらされています。

データが盗まれたことによる個人への明らかな影響を超えて、レポートはこの詐欺が医療の価格をさらに高めていることも指摘しています。 報告書は昨年からのポネモンの備蓄を引用しており、これは損害賠償と医療詐欺のコストを約120億ドルと見積もっています。

修正方法

明らかに、医療機関は、基本レベルであっても、ネットワークとデバイスの保護について真剣に取り組む必要があります。 「IPアドレスを持つすべてのものを重要なエンドポイントと考えてください」とGlines氏は語りました。Glinesは、医療機器からファイアウォールに至るまで、より強力なパスワードプロトコルが状況を改善すると述べました。

新しい法律はまた、より良い行動を促すかもしれません。 Glinesは、違反が発生した場合、またはデータの損失が発生した場合、収益の一部を企業に罰金を課す欧州連合の法律を指摘しました。 HIPAAは保護を提供することを目的としていますが、Norseはコンプライアンスは単にセキュリティと同等ではないと主張しました。

しかし、一般の人々にも役割があります。 Stiansenは、患者に医療提供者にサイバーセキュリティについて質問するよう奨励しました。 グラインズは、「消費者は最も失うものが多い。彼らは、記録をどのように維持し、どのようなセキュリティ手順を実施しているかを尋ねる権利を持っている」と述べた。

悪意のある医療機器? ハッカーからの攻撃を受けている医師のデバイスとデータ