Современные цифровые системы здравоохранения сталкиваются с непрекращающимися кибератаками, нацеленными на организации здравоохранения, а также на используемые ими медицинские устройства.
Критический характер и размер рынка здравоохранения США — оценка $ 3.5 трлн в 2020 году, с ожидаемым существенным ростом — сделать его излюбленной целью хакеров. Вансон Борн провела опрос для Sophos в начале 2021 года, в котором приняли участие 5,400 лиц, принимающих решения в области ИТ, в 30 странах. Ответы показали, что 34% организаций здравоохранения подверглись атакам программ-вымогателей в прошлом году, а 65% так или иначе пострадали. Программа-вымогатель успешно заморозила данные 54% ИТ-систем. Около 44% пострадавших фирм использовали резервные копии для восстановления своих данных, а 34% в конечном итоге заплатили выкуп, чтобы вернуть свои данные.
Другие исследования вызывают еще большую тревогу. Черная книга исследований указали, что более 93% организаций здравоохранения были взломаны с третьего квартала 3 года, а в 2016% произошло более пяти утечек данных за тот же период времени.
В 2020 году хакеры в сфере здравоохранения требовали в среднем 4.6 миллиона долларов за каждую атаку. Ожидается, что это число будет расти, поскольку хакеры становятся все более и более агрессивными. В целом, утечка данных о здравоохранении дорого обходится отрасли. 4 млрд долларов США .
Воздействие этих атак является значительным. Например, Универсальные медицинские услуги (UHS), медицинская организация из списка Fortune 500, базирующаяся в городе Кинг-оф-Пруссия, штат Пенсильвания, в сентябре 2020 года подверглась атаке программы-вымогателя. UHS управляет 400 больницами в США и Великобритании, и хакеры отключили компьютерные телефонные системы доступа и электронные медицинские карты для всех их. Исправление заняло три недели, и UHS сообщила об убытках до вычета налогов в размере 67 миллионов долларов за год.
В другом случае хакеры заблокировали доступ к данным Медицинского центра Университета Вермонта. Сотрудники не могли получить электронные медицинские карты (EHR) и программы расчета заработной платы. Операции пришлось перенести. Упущенная выгода оценивается в 50 миллионов долларов.
Кибератаки бывают разных форм и стилей. Вымогатели часто захватывают заголовки. Однако хакеры также используют многие другие виды вредоносных программ, устанавливая нежелательное программное обеспечение, чтобы нарушить работу и/или нанести ущерб.
Полиморфные вирусы, программы-шпионы, вирусы-невидимки и атаки троянских коней подпадают под категорию вредоносных программ. Хакеры также могут сеять хаос с помощью атак типа «отказ в обслуживании» (DoS) и распределенного отказа в обслуживании (DDoS), фишинга, атак «человек посередине», подслушивания и т. д.
«Сектор здравоохранения сталкивается с некоторыми уникальными проблемами, — сказал Марк Найт, директор по управлению архитектурными продуктами в компании Arm. «Некоторые из наших самых личных данных нуждаются в защите, но безопасный доступ к этим данным уполномоченным врачам и оборудованию жизненно важен для улучшения результатов медицинского обслуживания и повышения эффективности загруженных медицинских служб. В то же время объем данных о нас быстро растет, а потенциальные преимущества технологий в здравоохранении огромны. При поиске защиты от потенциальных атак стоит отметить, что решения, используемые в здравоохранении, аналогичны решениям, используемым в других отраслях, критически зависящих от информационных технологий».
Рис. 1: Растущие угрозы здравоохранению. Источник: Центр Интернет-безопасности
Уязвимость медицинского устройства
Хотя отчеты о взломе медицинских устройств могут напоминать сюжеты фильмов, взлом слишком реален, и было показано, что многие медицинские устройства подвержены кибератакам. Сюда входят инфузионные и инсулиновые помпы, кардиостимуляторы и имплантируемые кардиовертеры-дефибрилляторы (ИКД).
В конце 2019 года Управление по санитарному надзору за качеством пищевых продуктов и медикаментов США опубликовало "СРОЧНО/11" предупреждение, чтобы предупредить пациентов, поставщиков медицинских услуг и персонал учреждения, а также производителей об уязвимостях кибербезопасности, представленных сторонним программным компонентом. Фирма по безопасности обнаружила 11 уязвимостей под названием «СРОЧНО/11», которые позволяют злоумышленникам удаленно управлять медицинским устройством и изменять его обычные функции. По данным FDA, могут быть затронуты некоторые версии ряда популярных операционных систем, в том числе:
- VxWorks (от Wind River)
- Встроенная операционная система (OSE) (ENEA)
- ЦЕЛОСТНОСТЬ (от Green Hills)
- ThreadX (от Microsoft)
- ITRON (форум TRON)
- ZebOS (от IP Infusion)
Хотя не каждая атака влияет на здоровье пациентов, хакеры могут захотеть украсть данные для получения финансовой выгоды. Это может произойти несколькими способами, например путем обратного проектирования одноразового медицинского устройства путем создания обходного пути для отключения этой одноразовой функции.
«Основные векторы атак сосредоточены на уязвимых местах кибербезопасности, включая подключенные к Интернету ПК, ноутбуки, планшеты и телефоны, с использованием фишинговых атак и установленных пользователями вредоносных программ», — сказал Скотт Бест, директор по технологиям защиты от несанкционированного доступа в Rambus. «Вторичный вектор атаки нацелен на электронные медицинские устройства, такие как мониторы глюкозы, ультразвуковые датчики и другие диагностические периферийные устройства. Эти устройства так же уязвимы к вторжению и вредоносным программам, как и ноутбуки, но они также подвержены атакам клонирования и повторного изготовления. В этом контексте существует не только прямой риск для безопасности пациентов, но и риск для потоков доходов ведущих производителей медицинского оборудования».
В 2017 году FDA объявило об отзыве некоторых кардиостимуляторов производства Abbott (ранее известной как «St. Jude Medical»). Причины включают ранний и быстрый разряд батареи и слишком короткий промежуток времени между первым предупреждением о разрядке батареи, выдаваемым индикатором плановой замены (ERI), и окончанием срока службы устройства (EOS). Если кардиостимуляторы с этими недостатками будут взломаны, злоумышленник потенциально может разрядить аккумулятор, установив устройство в режим постоянной передачи. Кроме того, хакеры могли использовать недостатки кардиостимулятора, чтобы потребовать выкуп.
Подобно другим электронным конструкциям, медицинские устройства используют программное обеспечение, микросхемы и другие электронные компоненты. Как и в случае любой подключенной электроники, медицинское устройство нередко имеет одну или несколько уязвимостей, которые могут проявиться в любое время на протяжении всего их жизненного цикла. Но для медицинских устройств эти угрозы имеют последствия для безопасности.
«Для медицинских устройств безопасность вступает в игру из-за безопасности», — сказал Андреас Кюльманн, генеральный директор Tortuga Logic. «Для компаний, производящих эти устройства, на самом деле речь идет не о стоимости обеспечения безопасности. В конце концов, безопасность включает в себя косвенное деловое решение, которое включает в себя такие вещи, как ответственность и потенциальные отзывы. Но в медицине безопасность оказывает косвенное влияние на безопасность, а безопасность очень хорошо понимается. Так что, будь то конфиденциальность или защита медицинских данных в соответствии с HIPAA, это оказывает прямое влияние на бизнес».
Работа с угрозами
Кибербезопасность в здравоохранении включает практику общепринятой конфиденциальности, целостности и доступности («ЦРУ триада») принцип:
- Конфиденциальные данные могут быть доступны или изменены только авторизованными пользователями.
- Целостность данных должна управляться и храниться таким образом, чтобы никто не мог изменить или модифицировать их случайно или злонамеренно.
- Данные должны быть доступны авторизованным пользователям. В случае атаки программы-вымогателя данные должны быть заблокированы и запрещены неавторизованным пользователям.
Для достижения триады ЦРУ требуется несколько основных шагов.
Мышление кибербезопасности: Медицинским организациям необходимо развивать подход к кибербезопасности по принципу «сверху вниз», поскольку эффективная защита данных и оборудования — это задача, связанная с несколькими устройствами и несколькими системами. Для этого требуется общая сквозная стратегия, а также план восстановления в случае атаки с регулярным обучением персонала, надлежащими процедурами, такими как передовые методы использования паролей для различных систем. Цель состоит в том, чтобы свести ущерб к минимуму и восстановиться в кратчайшие сроки.
Безопасность по дизайну: Доступ к ИТ должен строго контролироваться и ограничиваться. Только авторизованные пользователи и аутентифицированные устройства должны иметь доступ к соединениям и данным. Для новых ИТ-систем прикладной уровень (веб-приложения, облачные приложения, мобильная связь) должен иметь встроенную защиту.
«Атакующие найдут любую слабость, поэтому сложно переоценить сложность», — сказал Arm's Knight. «Ключом ко всей безопасности является надежная аутентификация пользователей и устройств. Очень важно, чтобы устройства можно было однозначно идентифицировать, а состояние каждого устройства (например, установленное программное обеспечение или встроенное ПО) можно было инвентаризировать, измерять и проверять. Это может гарантировать, что мошенническое или скомпрометированное устройство будет идентифицировано до того, как оно создаст угрозу целостности или конфиденциальности данных или сети здравоохранения в целом. Такие стандарты, как PSA Certified, позволяют производителям устройств демонстрировать, что их продукты могут быть идентифицированы и аутентифицированы на протяжении всего их жизненного цикла, обеспечивая основу для уверенности, которая обеспечивает надежное развертывание в любом масштабе. Кроме того, можно использовать передовые технологии изоляции, поддерживающие парадигму конфиденциальных вычислений, что позволяет все больше и больше разделять системы здравоохранения. Более сильная изоляция снизит риск со стороны привилегированных пользователей и значительно усложнит злоумышленникам, которые успешно скомпрометировали одно приложение, использование этого актива в качестве вектора для атаки на другое приложение или систему».
Arm недавно представила свою архитектуру конфиденциальных вычислений (CCA), которая защищает части кода и данных от доступа или изменения во время использования даже со стороны привилегированного программного обеспечения.
Контроль безопасности и проверки: Доступны проверенные технологии кибербезопасности как для аппаратного, так и для программного обеспечения, но предотвращение атак может сводиться к более простым действиям, таким как оперативное обновление программного обеспечения и регулярный поиск уязвимостей и вредоносного программного обеспечения. Многие атаки происходят из-за задержек с установкой известных исправлений. Кроме того, проверки безопасности должны выполняться для всего стороннего программного обеспечения, особенно для цепочками поставок. Иногда зараженное программное обеспечение от поставщика заражает целые пользовательские ИТ-системы.
Защищенная медицинская информация, или PHI, содержит медицинские записи пациентов и другую личную информацию. Одна из целей «триады ЦРУ» состоит в том, чтобы запретить утечку данных PHI, как это определено HIPAA Правило конфиденциальности, что требует соответствующих мер для защиты PHI. Он также устанавливает ограничения и условия использования и раскрытия такой информации без разрешения физического лица. Для обеспечения безопасности данных организации здравоохранения должны, как минимум, шифровать PHI при хранении или передаче и хранить PHI в защищенных внутренних системах или в безопасных местах, доступ к которым имеют только авторизованные пользователи.
Минимизация уязвимости медицинских устройств: Для организаций здравоохранения важно устанавливать медицинские устройства от надежных поставщиков с хорошими знаниями и практиками в области безопасности.
Для производителей медицинских изделий важно соблюдать все правила проектирования безопасности и интегрировать безопасность на самых ранних этапах проектирования. Это включает в себя нулевое доверие и безопасную загрузку, использование алгоритмов шифрования для защиты от поддельных ИС, ограничение сбора данных и хранение данных в течение кратчайшего возможного времени для минимизации риска.
«Производители медицинских устройств обязаны разрабатывать устройства с защищенным программным и аппаратным обеспечением с нуля, — сказал Стив Ханна, выдающийся инженер Infineon Technologies. «Защищенное оборудование необходимо для надежной защиты безопасности пациентов и данных во время хранения и обработки. Устройство должно включать микросхемы безопасности, которые выполняют аутентификацию и шифрование конфиденциальных данных, а также генерацию и хранение криптографических ключей. Кроме того, микросхемы безопасности должны проверять целостность программного обеспечения, машин и устройств для выявления манипуляций и обнаружения несанкционированных изменений. Только когда вы строите все эти функции на аппаратном корне доверия, вы можете быть уверены в безопасности медицинских устройств».
Но даже при самых лучших мерах безопасности хакеры могут получить доступ.
«Атаки «человек посередине» становятся все более и более распространенными, — сказал Тьерри Кутон, технический менеджер по продуктам Rambus Security. «Повышение спроса на беспроводные медицинские устройства предоставляет хакерам новые возможности для проведения кибератак. Атаки бывают разных форм, включая перехват конфиденциальных данных, внедрение вредоносного кода, перехват сеанса и прерывание передачи данных. Обнаружение атак типа «человек посередине» может быть затруднено. Примером может служить сопряжение медицинского устройства Bluetooth. Производитель устройства должен обеспечить встроенную безопасность. Соображения включают сокращение диапазона связи Bluetooth, если это вообще возможно. Протокол Bluetooth также поддерживает пароли или PIN-коды, которые пользователь должен вводить на этапе сопряжения между двумя устройствами Bluetooth. Это затруднит перехват трафика злоумышленником, не зная ключа доступа, а также потребует физического интерфейса для вставки ключа доступа».
Будущее
В декабре 2021 года Орегонская группа анестезиологов (OAG) объявила о кибератаке 11 июля. 21 октября ФБР сообщило OAG, что обнаружила учетную запись, принадлежащую HelloKitty, украинской хакерской группе. Учетная запись содержала файлы пациентов и сотрудников OAG. По данным OAG, утечка данных потенциально затронула 750,000 522 пациентов и XNUMX действующих и бывших сотрудника OAG.
Другие атаки продолжаются, часто без особого внимания общественности. Но большинство экспертов также считают, что кибератаки будут только усиливаться, вызывая серьезные сбои в самом здравоохранении, потери доходов среди поставщиков и все больше заставляя разработчиков оборудования, программного обеспечения и систем разрабатывать системы безопасности с самого начала.
Полезные ресурсы
Содержание предпродажных заявок на управление кибербезопасностью медицинских устройств (2018 г.)
Проект руководства FDA США для промышленности и персонала Управления по санитарному надзору за качеством пищевых продуктов и медикаментов, ОКТЯБРЬ 2018 г.
Пострыночное управление кибербезопасностью медицинских устройств (2016 г.)
Руководство FDA США для промышленности и сотрудников Управления по санитарному надзору за качеством пищевых продуктов и медикаментов, ДЕКАБРЬ 2016 г.
