Zephyrnet-logo

Gezondheidszorg is goudmijn voor hackers

Datum:

De huidige digitale gezondheidszorgsystemen worden geconfronteerd met meedogenloze cyberaanvallen, die zowel gericht zijn op zorgorganisaties als op de medische apparaten die ze gebruiken.

De kritieke aard en omvang van de Amerikaanse markt voor gezondheidszorg — naar schatting $ 3.5 biljoen in 2020, met een verwachte aanzienlijke groei — maak het een favoriet doelwit van hackers. Vanson Bourne voerde begin 2021 een enquête uit voor Sophos, onder 5,400 IT-besluitvormers in 30 landen. Uit de reacties bleek dat 34% van de zorgorganisaties het voorgaande jaar werd aangevallen door ransomware en dat 65% op de een of andere manier het slachtoffer was geworden. Ransomware heeft met succes de gegevens van 54% van de IT-systemen bevroren. Ongeveer 44% van de getroffen bedrijven gebruikte back-ups om hun gegevens te herstellen, terwijl 34% uiteindelijk het losgeld betaalde om hun gegevens terug te krijgen.

Andere onderzoeken zijn nog alarmerender. Zwartboekonderzoek gaf aan dat meer dan 93% van de zorgorganisaties sinds Q3 2016 is gehackt en dat 57% meer dan vijf datalekken heeft gehad in dezelfde periode.

In 2020 eisten hackers in de gezondheidszorg gemiddeld $ 4.6 miljoen voor elke aanval. Dit aantal zal naar verwachting groeien naarmate hackers steeds agressiever worden. Over het algemeen kosten datalekken in de gezondheidszorg de industrie $ 4 miljard.

De impact van deze aanvallen is aanzienlijk. Bijvoorbeeld, Universele gezondheidsdiensten (UHS), een Fortune 500-gezondheidszorgorganisatie gevestigd in King of Prussia, PA, werd in september 2020 aangevallen door ransomware. UHS exploiteert 400 ziekenhuisfaciliteiten in de VS en het VK, en de hackers sloten computertoegangstelefoonsystemen en elektronische medische dossiers af voor alle hen. De reparatie duurde drie weken en UHS rapporteerde een verlies voor belastingen van $ 67 miljoen voor het jaar.

In een ander geval blokkeerden hackers de toegang tot de gegevens van het University of Vermont Medical Center. Werknemers konden geen elektronische medische dossiers (EPD's) en salarisprogramma's ophalen. Operaties moesten worden verplaatst. De gederfde inkomsten werden geschat op $ 50 miljoen.

Cyberaanvallen zijn er in verschillende vormen en stijlen. Ransomware haalt vaak de krantenkoppen. Hackers gebruiken echter ook veel andere soorten malware, waarbij ze ongewenste software installeren om verstoring en/of schade te veroorzaken.

Polymorfe virussen, spyware, stealth-virussen en aanvallen van Trojaanse paarden vallen allemaal onder de categorie malware. Hackers kunnen ook grote schade aanrichten met denial of service (DoS) en gedistribueerde denial of service (DDoS)-aanvallen, phishing, man-in-the-middle-aanvallen, afluisteren en meer.

"De zorgsector staat voor een aantal unieke uitdagingen", zegt Mark Knight, directeur productbeheer voor architectuur bij Arm. “Sommige van onze meest persoonlijke gegevens moeten worden beschermd, maar het veilig beschikbaar stellen van die gegevens aan bevoegde artsen en apparatuur is van vitaal belang om de resultaten van de gezondheidszorg te verbeteren en de efficiëntie van drukke gezondheidszorgdiensten te vergroten. Tegelijkertijd neemt de hoeveelheid gegevens die over ons wordt bewaard snel toe en zijn de potentiële voordelen van technologie in de gezondheidszorg enorm. Als we ons willen beschermen tegen mogelijke aanvallen, is het de moeite waard om op te merken dat de oplossingen die in de gezondheidszorg worden gebruikt, vergelijkbaar zijn met die welke worden gebruikt in andere industrieën die een cruciale afhankelijkheid van informatietechnologie hebben.”

Fig. 1: Toenemende bedreigingen voor de gezondheidszorg. Bron: Centrum voor internetbeveiliging

Fig. 1: Toenemende bedreigingen voor de gezondheidszorg. Bron: Centrum voor internetbeveiliging

Kwetsbaarheid medische apparatuur
Hoewel accounts van het hacken van medische apparaten op filmplots lijken, is het hacken maar al te echt, en van veel medische apparaten is aangetoond dat ze vatbaar zijn voor cyberaanvallen. Dat omvat medicijninfusie- en insulinepompen, pacemakers en implanteerbare cardioverter-defibrillatoren (ICD's).

Eind 2019 heeft de Amerikaanse Food and Drug Administration een “DRINGEND/11″ waarschuwing om patiënten, zorgverleners en faciliteitspersoneel, evenals fabrikanten, te waarschuwen voor kwetsbaarheden in de cyberbeveiliging die zijn geïntroduceerd door een softwarecomponent van derden. Een beveiligingsbedrijf heeft 11 kwetsbaarheden geïdentificeerd, genaamd "URGENT/11", waarmee aanvallers het medische apparaat op afstand kunnen bedienen en de normale functies ervan kunnen wijzigen. Volgens de FDA kunnen sommige versies van een aantal populaire besturingssystemen worden beïnvloed, waaronder:

  • VxWorks (door Wind River)
  • Besturingssysteem ingebed (OSE) (door ENEA)
  • INTEGRITEIT (door Green Hills)
  • ThreadX (door Microsoft)
  • ITRON (door TRON-forum)
  • ZebOS (via IP-infusie)

Hoewel niet elke aanval de gezondheid van patiënten aantast, willen hackers misschien gegevens stelen voor financieel gewin. Dat kan op verschillende manieren gebeuren, zoals reverse-engineering van een medisch hulpmiddel voor eenmalig gebruik door een tijdelijke oplossing te bedenken om die functie voor eenmalig gebruik te omzeilen.

"De belangrijkste aanvalsvectoren zijn gericht op zwakke plekken op het gebied van cyberbeveiliging, waaronder pc's, laptops, tablets en telefoons met internetverbinding, die gebruikmaken van phishing-aanvallen en door de gebruiker geïnstalleerde malware", zegt Scott Best, directeur van anti-sabotagebeveiligingstechnologie bij Rambus. “Een secundaire aanvalsvector is gericht op elektronische apparaten voor de gezondheidszorg, zoals glucosemeters, ultrasone transducers en andere diagnostische randapparatuur. Deze apparaten zijn net zo gevoelig als laptops voor indringers en malware, maar ze zijn ook vatbaar voor klonen en herfabricage-aanvallen. In die context is er niet alleen een direct risico voor de patiëntveiligheid, maar ook voor de inkomstenstromen van toonaangevende fabrikanten van medische hulpmiddelen.”

In 2017 kondigde de FDA de terugroeping aan van enkele pacemakers van Abbott (formeel bekend als "St. Jude Medical"). De redenen zijn onder meer een vroegtijdig en snel leegraken van de batterij en te weinig tijd tussen de eerste waarschuwing voor leegraken van de batterij door de electieve vervangingsindicator (ERI) en het einde van de levensduur van het apparaat (EOS). Als pacemakers met deze nadelen worden gehackt, kan de aanvaller mogelijk de batterij leegmaken door het apparaat in een constante transmissiemodus te zetten. Bovendien zouden hackers de gebreken van de pacemaker kunnen misbruiken om losgeld te eisen.

Net als bij andere elektronische ontwerpen, gebruiken medische apparaten software, chips en andere elektronische componenten. Zoals met alle aangesloten elektronica, is het niet ongebruikelijk dat een medisch apparaat een of meer kwetsbaarheden heeft, die op elk moment tijdens hun levenscyclus kunnen optreden. Maar voor medische apparaten hebben deze bedreigingen gevolgen voor de veiligheid.

"Voor medische apparaten komt beveiliging in het spel vanwege veiligheid", zegt Andreas Kuehlmann, CEO van Tortuga Logic. “Voor bedrijven die deze apparaten maken, gaat het eigenlijk niet om de kosten van het implementeren van beveiliging. Beveiliging aan het eind van de dag omvat een indirecte zakelijke beslissing die zaken omvat als aansprakelijkheid en mogelijke terugroepacties. Maar met medisch heeft beveiliging een indirecte impact op de veiligheid, en veiligheid wordt zeer goed begrepen. Dus of het nu gaat om privacy of bescherming van medische dossiers onder HIPAA, er is een directe zakelijke impact.”

Omgaan met bedreigingen
Cybersecurity in de zorg omvat de praktijk van de algemeen aanvaarde vertrouwelijkheid, integriteit en beschikbaarheid ("CIA-drietal") principe:

  • Alleen geautoriseerde gebruikers kunnen vertrouwelijke gegevens inzien of wijzigen.
  • De integriteit van gegevens moet zodanig worden beheerd en opgeslagen dat niemand deze per ongeluk of kwaadwillig kan wijzigen of wijzigen.
  • Gegevens moeten beschikbaar zijn voor geautoriseerde gebruikers. In het geval van een ransomware-aanval moeten gegevens worden vergrendeld en onbevoegde gebruikers worden geweigerd.

Om de CIA-triade te bereiken, zijn verschillende basisstappen vereist.

Cybersecurity-mentaliteit: Zorgorganisaties moeten een top-down cybersecurity-mindset ontwikkelen, omdat het effectief beschermen van gegevens en apparatuur een uitdaging is voor meerdere apparaten en meerdere systemen. Dat vereist een algehele end-to-end-strategie, evenals een herstelplan in geval van een aanval, met regelmatige training van het personeel, goede procedures, zoals goede wachtwoordpraktijken voor verschillende systemen. Het doel is om de schade tot een minimum te beperken en zo snel mogelijk te herstellen.

Beveiliging door ontwerp: IT-toegang moet streng worden gecontroleerd en beperkt. Alleen geautoriseerde gebruikers en geverifieerde apparaten mogen toegang hebben tot verbindingen en gegevens. Voor nieuwe IT-systemen moet de applicatielaag (web, cloudapplicaties, mobiele verbinding) een ingebouwde beveiliging hebben.

"Aanvallers zullen elke zwakte vinden, dus het is moeilijk om de uitdaging te overdrijven", zei Arm's Knight. “Een sleutel tot alle beveiliging is sterke authenticatie van gebruikers en apparaten. Het is essentieel dat apparaten uniek kunnen worden geïdentificeerd en dat de status van elk apparaat (bijvoorbeeld de software of firmware die is geïnstalleerd) kan worden geïnventariseerd, gemeten en geverifieerd. Dit kan ervoor zorgen dat een frauduleus of gecompromitteerd apparaat wordt geïdentificeerd voordat het een bedreiging vormt voor de integriteit of vertrouwelijkheid van gegevens of het zorgnetwerk als geheel. Met standaarden zoals PSA Certified kunnen fabrikanten van apparaten aantonen dat hun producten gedurende hun hele levenscyclus kunnen worden geïdentificeerd en geverifieerd, wat een basis van zekerheid biedt die betrouwbare implementaties op grote schaal mogelijk maakt. Bovendien kunnen geavanceerde isolatietechnologieën worden gebruikt die het paradigma van vertrouwelijke computers ondersteunen, waardoor een steeds sterkere compartimentering binnen gezondheidszorgsystemen mogelijk wordt. Sterkere isolatie zal het risico van bevoorrechte gebruikers verminderen en het veel moeilijker maken voor aanvallers die met succes een applicatie hebben gehackt om die asset te gebruiken als een vector om een ​​andere applicatie of systeem aan te vallen.”

Arm heeft onlangs zijn Confidential Compute Architecture (CCA) geïntroduceerd, die delen van code en gegevens tijdens gebruik afschermt tegen toegang of wijziging, zelfs tegen geprivilegieerde software.

Beveiligingscontroles en controles: Bewezen cyberbeveiligingstechnologie voor zowel hardware als software is beschikbaar, maar het voorkomen van aanvallen kan neerkomen op meer basale acties, zoals het snel updaten van software en het regelmatig opsporen van kwetsbaarheden en schadelijke software. Veel aanvallen vinden plaats als gevolg van vertragingen bij het installeren van bekende patches. Bovendien moeten beveiligingscontroles worden uitgevoerd voor alle software van derden, vooral die afkomstig van de toeleveringsketen. Soms besmet geïnfecteerde software van een leverancier uiteindelijk volledige IT-systemen van gebruikers.

Beschermde gezondheidsinformatie, of PHI, bevat medische dossiers van patiënten en andere privé-informatie. Een van de doelen van de "CIA-triade" is het verbieden van PHI-gegevensinbreuken, zoals gedefinieerd door de HIPAA Privacyregel, die passende maatregelen vereist om PHI te beschermen. Het stelt ook limieten en voorwaarden voor het gebruik en openbaarmaking van dergelijke informatie zonder toestemming van een persoon. Om gegevensbeveiliging te bereiken, moeten zorgorganisaties ten minste PHI tijdens opslag of tijdens verzending versleutelen en PHI opslaan op beveiligde interne systemen of op beveiligde locaties die alleen toegankelijk zijn voor geautoriseerde gebruikers.

Kwetsbaarheid van medische apparatuur minimaliseren: Voor zorgorganisaties is het belangrijk om medische hulpmiddelen te installeren van gerenommeerde leveranciers met goede kennis en praktijken op het gebied van beveiliging.

Voor fabrikanten van medische hulpmiddelen is het belangrijk om alle ontwerpregels voor beveiliging in acht te nemen en beveiliging in de vroegste stadia van het ontwerp te integreren. Dit omvat zero trust en veilig opstarten, het gebruik van encryptie-algoritmen om te beschermen tegen vervalste IC's, het beperken van gegevensverzameling en het zo kort mogelijk bewaren van gegevens om blootstelling te minimaliseren.

"Fabrikanten van medische apparaten hebben de verantwoordelijkheid om apparaten van de grond af te ontwikkelen met beveiligde software en hardware", zegt Steve Hanna, onderscheiden ingenieur bij Infineon Technologies. “Beveiligde hardware is nodig om de patiëntveiligheid en gegevens tijdens opslag en verwerking betrouwbaar te beschermen. Het apparaat moet beveiligingschips bevatten die authenticatie en codering van gevoelige gegevens uitvoeren, evenals het genereren en opslaan van cryptografische sleutels. Bovendien moeten de beveiligingschips de integriteit van software, machines en apparaten controleren om manipulatie te identificeren en ongeoorloofde wijzigingen te detecteren. Alleen als je al deze functies bouwt op een hardware-root of trust, kun je erop vertrouwen dat medische apparaten veilig zijn.”

Maar zelfs met de beste beveiligingsmaatregelen kunnen hackers toegang krijgen.

"Man-in-the-middle-aanvallen komen steeds vaker voor", zegt Thierry Kouthon, technisch productmanager bij Rambus Security. “De toegenomen vraag naar draadloze medische apparaten biedt nieuwe kansen voor hackers om cyberaanvallen uit te voeren. De aanvallen zijn er in veel verschillende vormen, waaronder het onderscheppen van vertrouwelijke gegevens, het invoegen van kwaadaardige code, het kapen van sessies en het onderbreken van de gegevensoverdracht. Het detecteren van man-in-the-middle-aanvallen kan moeilijk zijn. Een voorbeeld is het koppelen van een medisch Bluetooth-apparaat. Het is aan de fabrikant van het apparaat om ervoor te zorgen dat beveiliging is ingebouwd. Overwegingen zijn onder meer het verminderen van het bereik van Bluetooth-communicatie, indien mogelijk. Het Bluetooth-protocol ondersteunt ook wachtwoordsleutels of pincodes die door de gebruiker moeten worden ingevoerd tijdens de koppelingsfase tussen twee Bluetooth-apparaten. Dit maakt het voor een afluisteraar moeilijker om verkeer te onderscheppen zonder de wachtwoordsleutel te kennen, en vereist ook een fysieke interface om de wachtwoordsleutel in te voeren.”

De toekomst
In december 2021, de Oregon Anesthesiologie Groep (OAG) kondigde aan dat het op 11 juli een cyberaanval had ondergaan. Op 21 oktober liet de FBI OAG weten dat het een account had ontdekt van HelloKitty, een Oekraïense hackgroep. De rekening bevatte OAG patiënten- en medewerkersdossiers. Volgens OAG trof het datalek mogelijk 750,000 patiënten en 522 huidige en voormalige OAG-medewerkers.

Andere aanvallen gaan door, vaak zonder veel publieke aankondiging. Maar de meeste experts zijn ook van mening dat cyberaanvallen alleen maar erger zullen worden, met grote verstoringen van de gezondheidszorg zelf, inkomstenverliezen bij providers en toenemende druk op hardware-, software- en systeemontwikkelaars om vanaf het begin veilig te ontwerpen.

Resources
Inhoud van premarket-inzendingen voor het beheer van cyberbeveiliging in medische hulpmiddelen (2018)
Ontwerprichtlijnen van de Amerikaanse FDA voor personeel van de industrie en de voedsel- en geneesmiddelenadministratie, OKTOBER 2018

Postmarket-beheer van cyberbeveiliging in medische hulpmiddelen (2016)
Richtlijnen van de Amerikaanse FDA voor personeel van de industrie en de voedsel- en geneesmiddelenadministratie, DECEMBER 2016

Actieplan voor de veiligheid van medische hulpmiddelen: patiënten beschermen, volksgezondheid bevorderen
Amerikaanse FDA

spot_img

Laatste intelligentie

spot_img