וִידֵאוֹ: XXI Congresso do PCP - 1.ª Sessão (אוֹקְטוֹבֶּר 2024)
אמנם הרופאים נשבעו כי לא יפגעו, אך נראה כי הדבר לא נכון לגבי הציוד או הרשתות בהם הם משתמשים לצורך טיפול. על פי דוח חדש של ארגון המחקר SANS ונורשה, ספקי הרפואה כבר נכנעים להתקפות סייבר בהמוניהם. המחקר מצא 49, 917 אירועים זדוניים ייחודיים מצד נותני הבריאות שהם תיארו, ואל תדאגו: זה מחמיר.
מצילי חיים הפכו רעים
בדו"ח נמצא כי מכשירים רפואיים רבים ברשת השתלטו על ידי האקרים בקלות. אלה כללו תוכנת הדמיה רדיולוגית, מערכות ועידת וידאו, מערכות וידאו דיגיטליות, תוכנות ליצירת קשר להתקשרות ומערכות אבטחה. אפילו מכשירים שנועדו לסייע לארגונים, כמו VPN, חומות אש ונתבים, נחטפו.
בדו"ח נמצא כי מכשירים רפואיים ותוכנה הופכים ליעד מועדף על האקרים לצורך הפעלת התקפות אחרות - או באותה רשת או ביעדים אחרים. מהדו"ח: "לאחר שהתפשר, הרשתות הללו אינן חשופות רק להפרות, אלא גם זמינות לשימוש בהתקפות כמו דיוג, DDoS ופעולות הונאה שהושקו נגד רשתות אחרות וקורבנות."
"אחת הסיבות הגדולות ביותר לכך שאנו רואים את התשתית לבתי חולים המשמשים כפלטפורמות שיגור לפשעי רשת אחרים ופריצות אחרות היא מכיוון שרבים מהמכשירים הללו הם מכשירים מטומטמים, " אמר ה- CTO הנורדי ומייסד שותף טומי סטיסן. "הם לא שולחנות עבודה או שרתים, אבל כולם מנהלים לינוקס." כבר ראינו כיצד ניתן להשתמש בכמה מכשירים, במיוחד מצלמות וידיאו מרושתות בכדי להשיג דריסת רגל ברשת של הקורבן ולגרום לכל מיני מהומות.
למרות היכולות שלהם, ציוד רפואי ומצלמות מעקב אינן נחשבות לחלק מארכיטקטורת האבטחה, הסביר המנכ"ל והמייסד המשותף סם גלינס. "למסמך שהתגלה על ידי הסורקים שלנו לבית חולים מרכזי היה אותו שם משתמש וסיסמא לכל דבר, " אמר. זה כלל מכשירים מצילי חיים כמו ציוד דיאליזה. זכור שהאינטרנט עדיין בדרכו להרוג אותך עד שנת 2014.
כאילו כדי להדגים את היקף הבעיה, ציין סטיאנסן כי הם התעניינו לראשונה בפרויקט זה כאשר הם צפו במידע על כרטיסי אשראי המועברים על ידי מכשירים רפואיים. "אם מישהו ישאיר את הדלת פתוחה, האקרים יבואו, " אמר סטיאנסן.
נתונים בעלי ערך רב יותר
בנוסף למכשירים שאינם מאובטחים ותוכנות המשמשות בתי חולים מהווה בעיה גדולה עוד יותר: נתונים רפואיים גנובים. לספקי שירותי הבריאות בכל הרמות עומדים לרשותם נתונים אישיים בעלי ערך רב, וזה המידע שהתוקפים נואשים לשים עליהם.
הסיבה לכך, הסביר סטיאנסן, היא פשוטה: "אתה יכול לבצע הונאה רבה יותר עם זה אתה יכול לעשות עם נתוני כרטיסי אשראי." תוקף יכול להרוויח במהירות מנתונים רפואיים, הסביר, באמצעות דרכים כמו מדיקייר או הונאת מרשם. בנוסף למידע רפואי, הקניין הרוחני ומידע החיוב המאוחסנים על ידי נותני שירותי הבריאות הם גם בסיכון.
מעבר להשפעה הברורה על אנשים הנגרמים כתוצאה מגניבת הנתונים שלך, הדו"ח מציין גם כי הונאה זו מעלה את מחיר שירותי הבריאות אפילו גבוה יותר. בדו"ח מוזכרים מזכ"ל Ponemon מהשנה שעברה אשר העריך את עלות ההפרעה וההונאה הרפואית בסביבות 12 מיליארד דולר.
איך לתקן את זה
ברור שארגוני שירותי הבריאות צריכים להתייחס ברצינות לאבטחת הרשתות והמכשירים שלהם, אפילו ברמה בסיסית. גלינס המשיך ואמר כי פרוטוקולי סיסמא חזקים יותר מכל המכשירים הרפואיים ועד חומות האש ישפרו את המצב.
חקיקה חדשה עשויה גם לעודד התנהגות טובה יותר. Glines הצביע על חוקים של האיחוד האירופי, שקנסות חברות אחוז מההכנסות שלהן כאשר מתרחשת הפרה או אובדן נתונים. אף כי HIPAA נועדה לספק הגנה, נורס הדגיש כי הציות פשוט לא שווה ביטחון.
אבל יש תפקיד גם עבור אנשים רגילים. סטיאנסן עודד חולים לחקור את נותן שירותי הבריאות שלהם בנושא אבטחת סייבר. גלינס הסכימה ואמרה, "צרכנים הם אלה שיש להם הכי הרבה להפסיד. יש להם את הזכות לשאול כיצד נשמרים הרשומות שלהם ואיזה סוג של נהלי אבטחה קיימים."
