Vídeo: Week 10 (Setembre 2024)
Si bé els metges han jurat no fer cap mal, el mateix no sembla cert per als equips o les xarxes que utilitzen per administrar atenció. Segons un nou informe de l'organització d'investigació SANS i nòrdica, els proveïdors mèdics ja estan succeint als ciberataques en les conduccions. L'estudi va trobar 49.917 esdeveniments maliciosos únics dels proveïdors de salut que van perfilar, i no us preocupeu: empitjora.
La vida salva que va convertir el mal
L'informe va trobar que molts hackers es van fer càrrec de molts dispositius mèdics en xarxa. Aquests incloïen programes d’imatges de radiologia, sistemes de videoconferència, sistemes de vídeo digitals, programes de contacte de trucades i sistemes de seguretat. Fins i tot els dispositius destinats a ajudar a organitzacions de blindatge, com ara VPNs, tallafocs i encaminadors, eren segrestats.
L’informe va trobar que els dispositius mèdics i el programari s’estan convertint en un objectiu favorit dels pirates informàtics per llançar altres atacs, ja sigui a la mateixa xarxa o en altres objectius. A partir de l'informe: "Un cop compromeses, aquestes xarxes no només són vulnerables a incompliments, sinó que també estan disponibles per ser utilitzades per a atacs com phishing, DDoS i activitats fraudulentes llançades contra altres xarxes i víctimes".
"Una de les raons més importants perquè veiem que la infraestructura dels hospitals s'utilitza com a plataformes de llançament d'altres cibercriminalitats i hacks és perquè molts d'aquests dispositius són dispositius mut", va dir el CTO i el cofundador Tommy Stiansen. "No són ordinadors de sobretaula o servidors, però tots porten Linux." Ja hem vist com alguns dispositius, sobretot càmeres de vídeo en xarxa, es poden utilitzar per guanyar peu a la xarxa de víctimes i causar tot tipus de problemes.
Malgrat les seves capacitats, els equips mèdics i les càmeres de vigilància no es consideren part de l'arquitectura de seguretat, va explicar Sam Glines, director general i cofundador. "Un document que els nostres rastrejadors van descobrir per a un hospital important tenia el mateix nom d'usuari i contrasenya per a tot", va dir. Inclouen dispositius de salvació, com ara equips de diàlisi. Recordeu que Internet encara està en vies de matar-vos fins al 2014.
Com si fos demostrat l’abast del problema, Stiansen va mencionar que primer es van interessar per aquest projecte quan van observar que la informació de la targeta de crèdit es transmetia per dispositius mèdics. "Si algú deixa la porta oberta, vindran els hackers", va dir Stiansen.
Dades més valorades
A més dels dispositius i programes no segurs que fan servir els hospitals, hi ha un problema encara més gran: les dades mèdiques robades. Els proveïdors d’assistència sanitària de tots els nivells tenen a l’abast dades personals extremadament valuoses i és que la informació que els atacants desesperen es posen de la mà.
El motiu, va explicar Stiansen, és senzill: "Es pot produir més frau amb ell amb les dades de la targeta de crèdit". Va assenyalar un atacant ràpidament amb les dades mèdiques, a través de vies com Medicare o un frau de recepta mèdica. A més de la informació mèdica, també es troba en risc la informació de propietat intel·lectual i de facturació emmagatzemada pels proveïdors sanitaris.
Més enllà de l’impacte evident sobre persones provocades per la roba de les vostres dades, l’informe també apunta que aquest frau condueix encara més el preu de l’assistència sanitària. L'informe cita un dipòsit de Ponemon de l'any passat, que va estimar el cost de la insruència i el frau mèdic a uns 12.000 milions de dòlars.
Com solucionar-ho
Organizationsbviament, les organitzacions sanitàries han de posar-se en serio per assegurar les seves xarxes i dispositius, fins i tot a un nivell bàsic. "Considereu que tot amb una adreça IP és un punt crític", va dir Glines, que va afirmar que protocols de contrasenya més forts per a tot, des dels dispositius mèdics fins als tallafocs millorarien la situació.
Una nova legislació també pot afavorir un millor comportament. Glines va assenyalar les lleis de la Unió Europea que multen a les empreses un percentatge dels seus ingressos quan es produeix un incompliment o es produeix una pèrdua de dades. Tot i que la HIPAA està destinada a proporcionar protecció, Nòrdic va afirmar que el compliment simplement no equivalia a la seguretat.
Però hi ha un paper per a la gent habitual. Stiansen va animar els pacients a preguntar al seu proveïdor de salut sobre ciberseguretat. Glines va coincidir dient que "els consumidors són els que més perden. Tenen dret a preguntar com es mantenen els seus registres i quins tipus de procediments de seguretat hi ha".
