중요 인프라
의료 산업의 레거시 프로토콜은 병원을 사이버 공격에 극도로 취약하게 만들 수 있는 위험을 제시합니다.
08 12 월 2023
•
,
3 분. 읽다
의료 산업은 앞으로도 계속될 것이라고 확신합니다. 중요한 목표 랜섬웨어 요구를 통해 또는 유출된 환자 데이터를 남용하여 노력으로 수익을 창출할 수 있는 엄청난 잠재력으로 인해 사이버 범죄자의 경우. 운영 중단 및 의료 기록과 같은 민감한 데이터가 재무 및 보험 데이터와 결합되어 다른 많은 환경에는 존재하지 않는 잠재적인 급여를 제공합니다.
Black Hat Europe 2023에서는 많은 의료 기관에서 사용하고 있는 레거시 프로토콜 문제가 다음 팀에서 발표되었습니다. Aplite GmbH. 레거시 프로토콜 문제는 새로운 것이 아닙니다. 장비나 시스템이 오늘날의 연결된 환경에 적합하지 않은 프로토콜을 사용함에도 불구하고 교체와 관련된 상당한 비용으로 인해 계속 사용되는 사례가 많이 있었습니다. 예를 들어, MRI 스캐너를 교체하는 데는 최대 500,000달러가 소요될 수 있으며 장치를 교체해야 하는 이유가 장치를 작동하는 소프트웨어의 수명 종료 통지로 인해 발생하는 경우 예산 요구 사항을 고려할 때 위험은 허용 가능한 것처럼 보일 수 있습니다.
DICOM의 문제점
Aplite 팀은 다음과 같은 문제를 강조했습니다. 디컴 (Digital Imaging and Communications in Medicine) 프로토콜은 의료 영상 및 관련 데이터의 관리 및 전송에 사용됩니다.
이 프로토콜은 30년 이상 의료 영상 분야에서 널리 사용되어 왔으며 많은 수정과 업데이트를 거쳤습니다. 의료 이미지 스캔이 수행되면 일반적으로 여러 이미지가 포함됩니다. 이미지는 시리즈로 그룹화되며 관련 환자 데이터는 진단을 포함하여 환자 의료팀의 메모와 함께 이미지와 함께 저장됩니다. 그런 다음 액세스, 추가 및 수정을 허용하는 소프트웨어 솔루션을 통해 DICOM 프로토콜을 사용하여 데이터에 액세스할 수 있습니다.
DICOM의 레거시 버전은 데이터에 액세스하기 위해 인증 사용을 강요하지 않았으므로 DICOM 서버에 대한 연결을 설정할 수 있는 사람은 누구나 잠재적으로 데이터에 액세스하거나 데이터를 수정할 수 있었습니다. Aplite 프레젠테이션에서는 DICOM을 실행하는 3,806개의 서버가 인터넷을 통해 공개적으로 액세스할 수 있으며 59만 명의 환자와 관련된 데이터를 포함하고 있으며 이 중 16만 개가 넘는 데이터에는 이름, 생년월일, 주소 또는 사회보장번호와 같은 식별 가능한 정보가 포함되어 있다고 자세히 설명했습니다.
연구에 따르면 인터넷을 통해 액세스할 수 있는 서버 중 단 1%만이 현재 버전의 프로토콜에서 사용할 수 있는 권한 부여 및 인증 메커니즘을 구현한 것으로 나타났습니다. 관련된 위험을 이해하고 사전 조치를 취한 조직은 환자 및 의료 데이터를 보호하기 위해 적절한 인증 및 보안 조치를 갖춘 네트워크로 분할하여 공개 액세스에서 서버를 제거했을 수 있다는 점에 유의하는 것이 중요합니다.
의료는 HIPPA(미국), GDPR(유럽연합), PIPEDA(캐나다) 등과 같은 엄격한 법률과 규정이 있는 분야입니다. 따라서 이러한 공개 서버에서 액세스할 수 있는 기록 중 18.2만 개가 있다는 것은 놀라운 일입니다. 미국에서.
관련 읽기 : GDPR이 데이터 보호의 이정표가 된 5가지 이유
중요 시스템 보호
XNUMXD덴탈의 데이터의 오용 이러한 액세스 가능한 서버에서 액세스할 수 있는 것은 사이버 범죄자에게 엄청난 기회를 제공합니다. 환자의 진단 내용을 공개하겠다고 위협하여 환자를 갈취하는 행위, 허위 진단을 생성하기 위해 데이터를 수정하는 행위, 변경된 데이터에 대해 담당 병원이나 기타 의료 서비스 제공자에게 몸값을 요구하는 행위, 환자의 주민등록번호 및 개인정보를 악용하거나 이를 이용하는 행위 스피어피싱 캠페인의 정보는 이러한 데이터를 사용하여 사이버 범죄로 수익을 창출할 수 있는 몇 가지 잠재적 방법에 불과합니다.
문제 레거시 시스템 보안, DICOM과 같은 잠재적인 보안 문제가 알려진 것은 규제 기관과 입법 기관의 관심을 끌 것입니다. 재정적 또는 기타 처벌을 부과할 권한이 있는 규제 기관이 이러한 취약한 시스템에 의료 및 개인 데이터를 보호하기 위한 적절한 보안 조치가 마련되어 있다는 확인을 조직에 구체적으로 요청하는 경우, 이는 그러한 시스템을 처리하는 사람들이 보안을 유지하도록 동기를 부여할 것입니다. 그들을.
많은 산업이 유틸리티, 의료, 해양 등을 포함하여 레거시 시스템을 교체하는 비용이 많이 드는 부담으로 어려움을 겪고 있습니다. 이러한 시스템을 교체하는 것이 중요합니다. 또는 시스템을 교체하는 것이 너무 복잡하거나 재정적으로 어려울 수 있는 상황에서는 적절한 조치를 취해야 합니다. 절대로 필요한 것 이러한 과거 프로토콜이 당신을 괴롭히지 않도록 주의하세요.
- SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
- PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
- PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
- 플라톤ESG. 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
- PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
- 출처: https://www.welivesecurity.com/en/critical-infrastructure/black-hat-europe-2023-the-past-could-return-to-haunt-you/
