Cơ sở hạ tầng quan trọng

Các giao thức cũ trong ngành chăm sóc sức khỏe tiềm ẩn những mối nguy hiểm có thể khiến các bệnh viện cực kỳ dễ bị tấn công mạng.

Tony Anscombe

08 Tháng 12 2023
 • 
,
3 phút đọc

Tôi chắc chắn rằng ngành chăm sóc sức khỏe sẽ vẫn là một mục tiêu quan trọng dành cho tội phạm mạng do tiềm năng to lớn mà nó mang lại cho họ để kiếm tiền từ những nỗ lực của mình thông qua nhu cầu ransomware hoặc bằng cách lạm dụng dữ liệu đã được lọc của bệnh nhân. Sự gián đoạn hoạt động và dữ liệu nhạy cảm, chẳng hạn như hồ sơ y tế, kết hợp với dữ liệu tài chính và bảo hiểm mang đến một ngày lĩnh lương tiềm năng mà đơn giản là không tồn tại ở nhiều môi trường khác.

Tại Black Hat Europe 2023, vấn đề về các giao thức cũ đang được nhiều tổ chức chăm sóc sức khỏe sử dụng đã được trình bày bởi một nhóm từ Aplite GmbH. Vấn đề về các giao thức cũ không có gì mới; đã có nhiều trường hợp thiết bị hoặc hệ thống vẫn được sử dụng do chi phí thay thế đáng kể mặc dù chúng sử dụng các giao thức không phù hợp với môi trường kết nối ngày nay. Ví dụ: việc thay thế một máy quét MRI có thể tốn tới 500,000 USD và nếu nhu cầu thay thế thiết bị là do thông báo hết hạn sử dụng trên phần mềm vận hành thiết bị thì rủi ro có thể chấp nhận được do yêu cầu về ngân sách.

Những rắc rối với DICOM

Nhóm Aplite đã nêu bật các vấn đề với DICOM (hình ảnh kỹ thuật số và truyền thông trong y học), được sử dụng để quản lý và truyền tải hình ảnh y tế và dữ liệu liên quan.

Giao thức này đã được sử dụng rộng rãi trong lĩnh vực hình ảnh y tế trong hơn 30 năm và đã trải qua nhiều lần sửa đổi và cập nhật. Khi tiến hành quét hình ảnh y tế, nó thường chứa một số hình ảnh; các hình ảnh được nhóm thành một chuỗi và dữ liệu bệnh nhân liên quan sau đó sẽ được lưu trữ cùng với hình ảnh, cùng với mọi ghi chú từ đội ngũ y tế của bệnh nhân, bao gồm cả chẩn đoán. Sau đó, dữ liệu có thể được truy cập bằng giao thức DICOM thông qua các giải pháp phần mềm cho phép truy cập, bổ sung và sửa đổi.

Các phiên bản cũ của DICOM không bắt buộc sử dụng ủy quyền để truy cập dữ liệu, cho phép bất kỳ ai có thể thiết lập kết nối với máy chủ DICOM đều có khả năng truy cập hoặc sửa đổi dữ liệu. Bài thuyết trình của Aplite nêu chi tiết rằng 3,806 máy chủ chạy DICOM có thể truy cập công khai qua internet và chứa dữ liệu liên quan đến 59 triệu bệnh nhân, trong đó chỉ hơn 16 triệu bệnh nhân bao gồm thông tin nhận dạng như tên, ngày sinh, địa chỉ hoặc số an sinh xã hội.

Nghiên cứu cho thấy chỉ 1% máy chủ có thể truy cập qua internet đã triển khai các cơ chế ủy quyền và xác thực có sẵn trong các phiên bản hiện tại của giao thức. Điều quan trọng cần lưu ý là các tổ chức hiểu rõ rủi ro liên quan và đã thực hiện hành động trước có thể đã loại bỏ máy chủ khỏi quyền truy cập công cộng bằng cách phân đoạn vào các mạng có sẵn các biện pháp xác thực và bảo mật thích hợp để bảo vệ bệnh nhân và dữ liệu y tế.

Chăm sóc sức khỏe là một lĩnh vực có luật pháp và quy định nghiêm ngặt, chẳng hạn như HIPPA (US), GDPR (EU), PIPEDA (Canada), v.v. Điều này gây ngạc nhiên khi 18.2 triệu hồ sơ có thể truy cập trên các máy chủ công khai này đều được định vị tại Hoa Kỳ.

Đọc liên quan: 5 lý do tại sao GDPR là một cột mốc quan trọng để bảo vệ dữ liệu

Bảo vệ các hệ thống quan trọng

Sản phẩm lạm dụng dữ liệu có thể truy cập từ các máy chủ có thể truy cập này mang lại cho tội phạm mạng cơ hội lớn. Tống tiền bệnh nhân do đe dọa tiết lộ công khai chẩn đoán của họ, sửa đổi dữ liệu để tạo ra chẩn đoán sai, buộc các bệnh viện chịu trách nhiệm hoặc các nhà cung cấp dịch vụ chăm sóc sức khỏe khác phải đòi tiền chuộc về những dữ liệu đã bị thay đổi, lạm dụng số an sinh xã hội và thông tin cá nhân của bệnh nhân hoặc sử dụng dữ liệu đó thông tin trong các chiến dịch lừa đảo trực tuyến chỉ là một số cách tiềm năng mà dữ liệu đó có thể được sử dụng để kiếm tiền từ tội phạm mạng.  

Các vấn đề bảo vệ các hệ thống cũ, vốn đã biết các vấn đề bảo mật tiềm ẩn, chẳng hạn như DICOM, phải nằm trong tầm ngắm của các cơ quan quản lý và lập pháp. Nếu các cơ quan quản lý có quyền áp đặt các hình phạt tài chính hoặc các hình phạt khác yêu cầu xác nhận cụ thể từ các tổ chức rằng các hệ thống dễ bị tổn thương này có các biện pháp bảo mật thích hợp để bảo mật dữ liệu cá nhân và y tế, thì đó sẽ là động lực để những người xử lý các hệ thống đó bảo mật. họ.

Nhiều ngành công nghiệp phải chịu gánh nặng thay thế tốn kém các hệ thống cũ, bao gồm cả những ngành như tiện ích, y tế và hàng hải, trừ một số ít. Điều quan trọng là các hệ thống này phải được thay thế hoặc trong những tình huống mà việc thay thế hệ thống có thể quá phức tạp hoặc khó khăn về mặt tài chính thì cần có hành động thích hợp. phải được thực hiện để tránh những giao thức trong quá khứ ám ảnh bạn.

Trước khi bạn đi: RSA - Chăm sóc sức khỏe kỹ thuật số đáp ứng bảo mật, nhưng nó có thực sự muốn không?