Cyberkriminelle greifen das Gesundheitswesen an (aber wir können uns wehren)
Eine Version dieses Artikels lief in Cyber Defense Magazin. Es wurde hier für die Syndizierung aktualisiert.
Cyberangriffe sind heutzutage zu einer Lebensweise geworden. Die Menschen erwarten fast, Neuigkeiten über neue Sicherheitslücken oder Sicherheitslücken zu hören, die alles betreffen, vom Bankwesen über die Luftfahrt bis hin zu Geräten, die so unterschiedlich sind wie Smartphones und Ampeln. Selbst unsere Häuser sind nicht mehr völlig sicher. Ganze Städte und Gemeinden werden angegriffen fast täglich von Kriminellen, wobei Angreifer Lösegeld in Millionenhöhe fordern, um kompromittierte kritische Dienste wiederherzustellen.
Aber ein Ort, an dem wir uns hoffentlich noch sicher fühlen konnten, war in der Arztpraxis oder sogar in einem Krankenhaus. Menschen sind am anfälligsten, wenn sie sich an einen Gesundheitsdienstleister wenden. Der menschliche Anstand würde fast verlangen, dass die örtlichen Kliniker ihre edle Arbeit in Ruhe erledigen dürfen. Leider ist das nicht der Fall. Unter den heutigen Cyberdieben scheint wenig Ehre "oder vielleicht schiere Verzweiflung" zu herrschen. Tatsächlich könnte das Gesundheitswesen das nächste „große“ Schlachtfeld im Bereich Cybersicherheit sein, auf dem Kriminelle genau die Maschinen angreifen, die medizinische Probleme diagnostizieren, Behandlungen durchführen und Leben erhalten. Angesichts der Tatsache, dass sich vor unseren Augen eine anhaltende globale Gesundheitskrise abspielt, ist es von entscheidender Bedeutung, dies von mehreren Punkten aus anzugehen.
Bedrohungen werden persönlicher als je zuvor.
Angriffe auf die Gesundheitsbranche sind nicht neu. Cyberkriminelle wissen bereits, welchen Wert Patienteninformationen, persönliche Daten und Finanzdaten in der Unterwelt und im Dark Web haben. Diese Informationen können verwendet werden, um Geld direkt von Patienten zu stehlen, oder als Ausgangspunkt für sekundäre Angriffe wie Phishing und andere Betrügereien dienen. Kein Wunder also, dass sich viele der verheerendsten Angriffe in letzter Zeit gegen das Gesundheitswesen richteten. Hymne Im Gesundheitswesen wurden 80 Millionen Patientendaten gestohlen. Premera hat 11 Millionen persönliche Dateien verloren. Kümmere dich zuerstInsgesamt waren es 1,1 Millionen kompromittierte Datensätze, und die Liste geht weiter und weiter.
Derzeit scheinen Angriffe direkt gegen medizinische Geräte selten zu sein. Allerdings mindestens ein Bericht deutet darauf hin, dass das Problem viel weiter verbreitet sein könnte, da Krankenhäuser die Angriffe nicht melden oder Mitarbeiter, die nicht in Cybersicherheit geschult sind, einfach nicht erkennen, dass ein Angriff direkt vor ihnen stattfindet. Die Fähigkeit, medizinische Geräte auf beängstigende Weise zu kompromittieren, beispielsweise durch den Einsatz von Schadsoftware füge falsche Tumoren hinzu zu CAT-Scans und MRT-Ergebnissen, wurde von Sicherheitsforschern eindeutig nachgewiesen. Es ist kein großer Sprung zu glauben, dass Angreifer möglicherweise bereits dieselben oder ähnliche Dinge mit medizinischen Geräten in der realen Welt tun.
Das Gesundheitswesen ist auch besonders anfällig für Cyberangriffe, da es zunehmend auf Geräte im Internet der Dinge (IoT) angewiesen ist. Dabei handelt es sich um winzige Sensoren, die mit dem Internet verbunden sind und unglaubliche Informationsmengen erzeugen. In den meisten Fällen war die Sicherung der von diesen Sensoren erzeugten Informationen, der Kommunikationskanäle und sogar der Sensoren selbst kaum mehr als ein nachträglicher Einfall. Die Anzahl potenzieller Sicherheitslücken, die ein Angreifer ausnutzen könnte, wenn sie sich in diesen IoT-dominierten Netzwerken verstecken, ist wahrscheinlich nahezu unbegrenzt.
IoT im Gesundheitswesen birgt ernsthafte Risiken.
Dienstleistungen, die für die Patientenversorgung von entscheidender Bedeutung sind, „die in einigen Fällen vor 20 Jahren noch nicht einmal in Betracht gezogen wurden“, sind Nährboden sowohl für IoT-basierte als auch für andere traditionellere Sicherheitslücken. Elektronische Patientenakten, Telemedizin und mobile Gesundheitsdienste warteten offenbar alle auf die Fülle an Informationen, die das Internet der Dinge bieten konnte. Kein Wunder, dass das Engagement für das Internet der Dinge im Gesundheitswesen überwältigend ist. MarketResearch.com prognostiziert das bis zum nächsten Jahr, der IoT-Markt im Gesundheitswesen wird 117 Milliarden US-Dollar erreichen und danach jedes Jahr mit einer Rate von 15% weiter wachsen.
In dieser Umgebung können erfahrene Angreifer zahlreiche Sicherheitslücken finden, die zum Ausnutzen medizinischer Geräte genutzt werden können. IoT-Sensoren, die in medizinische Geräte integriert sind, kommunizieren und erzeugen ihre Daten im Allgemeinen auf eine von zwei Arten. Einige sammeln Daten und übertragen dann alle ihre Ergebnisse zur Analyse direkt an das Internet. Andere verwenden eine Form der verteilten Vernetzung, bekannt als Nebelverarbeitung wo die Sensoren selbst eine Art Mini-Netzwerk bilden und gemeinsam entscheiden, welche Daten mit einem zentralen Repository oder einer Plattform geteilt werden sollen. Diese Daten können dann weiterverarbeitet oder direkt vom Gesundheitspersonal abgerufen werden.
Was die Cybersicherheit im Gesundheitswesen noch komplizierter macht, ist die Tatsache, dass die Branche nie Standards, Methoden oder Schutzmaßnahmen für den Umgang mit Daten akzeptiert oder vereinbart hat. In der Vergangenheit wurde die Gesundheitsbranche von Herstellern bedient, die ihre eigenen proprietären Technologien für medizinische Geräte anboten. Heute gehören dazu die eingebetteten IoT-Sensoren, die Kommunikationskanäle, die die Geräte verwenden, und die Plattform für die Analyse der Daten nach ihrer Erfassung. Das macht die meisten Krankenhausnetzwerke zu einem Traum für Hacker oder zumindest zu einem guten Testgelände, auf dem sie alles ausnutzen können Fehlkonfigurationen bei der Sicherheit zu unzureichender Schutz der Transportschicht. Sie können alles ausprobieren von Site-übergreifende Anforderungsfälschungen zum Klassiker XML-Injection-Angriffe.
Der Gegenschlag, den wir brauchen, liegt direkt vor uns.
Trotz der potenziell katastrophalen Folgen dieser Schwachstellen Wenn diese Sicherheitslücken ausgenutzt werden, gibt es etwas, worüber man optimistisch bleiben kann: Diese Sicherheitslücken sind keine neuen, mächtigen Hintertüren, die von kriminellen Vordenkern geöffnet werden. Sie sind so häufig, dass es frustrierend ist, sie immer wieder zu sehen. Ein Grund, warum sie ihren hässlichen Kopf aufhauen, ist die Verwendung von Altsystemen, die nicht gepatcht wurden, obwohl Korrekturen verfügbar waren, aber der andere Grund hat wieder einmal mit dem menschlichen Faktor zu tun. Entwickler schreiben Code in rasantem Tempo und konzentrieren sich auf ein schickes, funktionales Endprodukt... nicht auf bewährte Sicherheitsmethoden.
Es wird einfach zu viel Software entwickelt, als dass AppSec-Spezialisten Schritt halten könnten, und wir können nicht erwarten, dass sie mit diesen wiederkehrenden Sicherheitslücken ständig den Tag retten. Es ist billiger, effizienter und eindeutig viel sicherer, wenn diese Sicherheitslücken nicht von vornherein eingeführt werden. Das bedeutet, dass Sicherheitsteams und Entwickler sich ins Zeug legen müssen, um eine robuste, durchgängige Sicherheitskultur zu schaffen.
Wie genau sieht eine großartige Sicherheitskultur aus? Hier sind ein paar wichtige Elemente:
- Entwickler sind mit den Tools und Schulungen ausgestattet, die sie benötigen, um häufig auftretende Fehler zu beheben (und zu verstehen, warum dies so wichtig ist)
- Die Schulung ist umfassend, leicht verdaulich und spielt die Stärken der Entwickler aus
- Die Ergebnisse des Trainings werden anhand von Kennzahlen und Berichten korrekt gemessen (nicht nur ein Häkchen setzen und mit dem Training fortfahren)
- AppSec und Entwickler beginnen, dieselbe Sprache zu sprechen: Schließlich arbeiten sie in einer positiven Sicherheitskultur daran, ähnliche Ziele zu erreichen.
Die Wahrscheinlichkeit einer Katastrophe ist immer noch enorm und geht weit über den bloßen Diebstahl der Krankenakten eines Patienten hinaus. Das Injizieren falscher Tumoren in einen Scan könnte eine Person, die ängstlich darauf wartet, zu erfahren, ob sie an Krebs erkrankt ist, am Boden zerstört haben. Und der Austausch von Medikamenten oder die Änderung der Behandlungspläne könnten sie tatsächlich töten. Aber es braucht nur einen Cyberkriminellen, der bereit ist, diese Grenze zu überschreiten, um Gewinn zu erzielen, und Sie können garantieren, dass dies passiert. Vielleicht verschlüsselt der nächste Ransomware-Betrug nicht die Daten eines Krankenhauses, sondern ruiniert stattdessen die Diagnosen von Tausenden von Patienten. Oder vielleicht droht ein Angreifer damit, Medikamente zu verändern, sofern sie nicht bezahlt werden, und setzt buchstäblich Leben auf Lösegeld.
Es ist klar, dass wir nicht länger dem „business as usual“ -Ansatz folgen können, wenn es darum geht Cybersicherheit im Gesundheitswesen. Wir können uns nicht darauf verlassen, dass ein oder zwei Spezialisten in Gesundheitsorganisationen jedes Problem lösen. Stattdessen brauchen wir sicherheitsbewusste Entwickler, die an Apps und Geräten für das Gesundheitswesen arbeiten, um potenzielle Probleme zu erkennen und sie zu beheben, bevor sie in Einrichtungen eingesetzt werden. Und selbst Beschäftigte im Gesundheitswesen könnten grundlegende Schulungen zur Cybersicherheit in Anspruch nehmen.
Es stimmt, dass nichts wichtiger ist als Ihre Gesundheit. In der Gesundheitsbranche hängt die Aufrechterhaltung einer guten Cybersicherheit für die Zukunft davon ab, dass heute ein besseres allgemeines Sicherheitsbewusstsein geschaffen wird. Ohne ernsthafte Behandlung wird sich dieses Problem nur noch verschärfen.
Das Gesundheitswesen könnte das nächste „große“ Schlachtfeld für Cybersicherheit sein, auf dem Kriminelle genau die Maschinen angreifen, die medizinische Probleme diagnostizieren, Behandlungen durchführen und Leben erhalten.
最高経営責任者(CEO)、会長、および共同設立者
Secure Code Warrior 、ソフトウェア開発サイクル全体を通じてコードの安全性を確保し、サイバーセキュリティを最優先とする文化を構築するため、貴社をSecure Code Warrior 。アプリセキュリティ管理者、開発者、CISO、あるいはセキュリティに関わるあらゆる立場の方々に対し、当社が貴社のビジネスにおける不安全なコードに関連するリスクの低減を支援します。
デモを予約する
最高経営責任者(CEO)、会長、および共同設立者
Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。
Eine Version dieses Artikels lief in Cyber Defense Magazin. Es wurde hier für die Syndizierung aktualisiert.
Cyberangriffe sind heutzutage zu einer Lebensweise geworden. Die Menschen erwarten fast, Neuigkeiten über neue Sicherheitslücken oder Sicherheitslücken zu hören, die alles betreffen, vom Bankwesen über die Luftfahrt bis hin zu Geräten, die so unterschiedlich sind wie Smartphones und Ampeln. Selbst unsere Häuser sind nicht mehr völlig sicher. Ganze Städte und Gemeinden werden angegriffen fast täglich von Kriminellen, wobei Angreifer Lösegeld in Millionenhöhe fordern, um kompromittierte kritische Dienste wiederherzustellen.
Aber ein Ort, an dem wir uns hoffentlich noch sicher fühlen konnten, war in der Arztpraxis oder sogar in einem Krankenhaus. Menschen sind am anfälligsten, wenn sie sich an einen Gesundheitsdienstleister wenden. Der menschliche Anstand würde fast verlangen, dass die örtlichen Kliniker ihre edle Arbeit in Ruhe erledigen dürfen. Leider ist das nicht der Fall. Unter den heutigen Cyberdieben scheint wenig Ehre "oder vielleicht schiere Verzweiflung" zu herrschen. Tatsächlich könnte das Gesundheitswesen das nächste „große“ Schlachtfeld im Bereich Cybersicherheit sein, auf dem Kriminelle genau die Maschinen angreifen, die medizinische Probleme diagnostizieren, Behandlungen durchführen und Leben erhalten. Angesichts der Tatsache, dass sich vor unseren Augen eine anhaltende globale Gesundheitskrise abspielt, ist es von entscheidender Bedeutung, dies von mehreren Punkten aus anzugehen.
Bedrohungen werden persönlicher als je zuvor.
Angriffe auf die Gesundheitsbranche sind nicht neu. Cyberkriminelle wissen bereits, welchen Wert Patienteninformationen, persönliche Daten und Finanzdaten in der Unterwelt und im Dark Web haben. Diese Informationen können verwendet werden, um Geld direkt von Patienten zu stehlen, oder als Ausgangspunkt für sekundäre Angriffe wie Phishing und andere Betrügereien dienen. Kein Wunder also, dass sich viele der verheerendsten Angriffe in letzter Zeit gegen das Gesundheitswesen richteten. Hymne Im Gesundheitswesen wurden 80 Millionen Patientendaten gestohlen. Premera hat 11 Millionen persönliche Dateien verloren. Kümmere dich zuerstInsgesamt waren es 1,1 Millionen kompromittierte Datensätze, und die Liste geht weiter und weiter.
Derzeit scheinen Angriffe direkt gegen medizinische Geräte selten zu sein. Allerdings mindestens ein Bericht deutet darauf hin, dass das Problem viel weiter verbreitet sein könnte, da Krankenhäuser die Angriffe nicht melden oder Mitarbeiter, die nicht in Cybersicherheit geschult sind, einfach nicht erkennen, dass ein Angriff direkt vor ihnen stattfindet. Die Fähigkeit, medizinische Geräte auf beängstigende Weise zu kompromittieren, beispielsweise durch den Einsatz von Schadsoftware füge falsche Tumoren hinzu zu CAT-Scans und MRT-Ergebnissen, wurde von Sicherheitsforschern eindeutig nachgewiesen. Es ist kein großer Sprung zu glauben, dass Angreifer möglicherweise bereits dieselben oder ähnliche Dinge mit medizinischen Geräten in der realen Welt tun.
Das Gesundheitswesen ist auch besonders anfällig für Cyberangriffe, da es zunehmend auf Geräte im Internet der Dinge (IoT) angewiesen ist. Dabei handelt es sich um winzige Sensoren, die mit dem Internet verbunden sind und unglaubliche Informationsmengen erzeugen. In den meisten Fällen war die Sicherung der von diesen Sensoren erzeugten Informationen, der Kommunikationskanäle und sogar der Sensoren selbst kaum mehr als ein nachträglicher Einfall. Die Anzahl potenzieller Sicherheitslücken, die ein Angreifer ausnutzen könnte, wenn sie sich in diesen IoT-dominierten Netzwerken verstecken, ist wahrscheinlich nahezu unbegrenzt.
IoT im Gesundheitswesen birgt ernsthafte Risiken.
Dienstleistungen, die für die Patientenversorgung von entscheidender Bedeutung sind, „die in einigen Fällen vor 20 Jahren noch nicht einmal in Betracht gezogen wurden“, sind Nährboden sowohl für IoT-basierte als auch für andere traditionellere Sicherheitslücken. Elektronische Patientenakten, Telemedizin und mobile Gesundheitsdienste warteten offenbar alle auf die Fülle an Informationen, die das Internet der Dinge bieten konnte. Kein Wunder, dass das Engagement für das Internet der Dinge im Gesundheitswesen überwältigend ist. MarketResearch.com prognostiziert das bis zum nächsten Jahr, der IoT-Markt im Gesundheitswesen wird 117 Milliarden US-Dollar erreichen und danach jedes Jahr mit einer Rate von 15% weiter wachsen.
In dieser Umgebung können erfahrene Angreifer zahlreiche Sicherheitslücken finden, die zum Ausnutzen medizinischer Geräte genutzt werden können. IoT-Sensoren, die in medizinische Geräte integriert sind, kommunizieren und erzeugen ihre Daten im Allgemeinen auf eine von zwei Arten. Einige sammeln Daten und übertragen dann alle ihre Ergebnisse zur Analyse direkt an das Internet. Andere verwenden eine Form der verteilten Vernetzung, bekannt als Nebelverarbeitung wo die Sensoren selbst eine Art Mini-Netzwerk bilden und gemeinsam entscheiden, welche Daten mit einem zentralen Repository oder einer Plattform geteilt werden sollen. Diese Daten können dann weiterverarbeitet oder direkt vom Gesundheitspersonal abgerufen werden.
Was die Cybersicherheit im Gesundheitswesen noch komplizierter macht, ist die Tatsache, dass die Branche nie Standards, Methoden oder Schutzmaßnahmen für den Umgang mit Daten akzeptiert oder vereinbart hat. In der Vergangenheit wurde die Gesundheitsbranche von Herstellern bedient, die ihre eigenen proprietären Technologien für medizinische Geräte anboten. Heute gehören dazu die eingebetteten IoT-Sensoren, die Kommunikationskanäle, die die Geräte verwenden, und die Plattform für die Analyse der Daten nach ihrer Erfassung. Das macht die meisten Krankenhausnetzwerke zu einem Traum für Hacker oder zumindest zu einem guten Testgelände, auf dem sie alles ausnutzen können Fehlkonfigurationen bei der Sicherheit zu unzureichender Schutz der Transportschicht. Sie können alles ausprobieren von Site-übergreifende Anforderungsfälschungen zum Klassiker XML-Injection-Angriffe.
Der Gegenschlag, den wir brauchen, liegt direkt vor uns.
Trotz der potenziell katastrophalen Folgen dieser Schwachstellen Wenn diese Sicherheitslücken ausgenutzt werden, gibt es etwas, worüber man optimistisch bleiben kann: Diese Sicherheitslücken sind keine neuen, mächtigen Hintertüren, die von kriminellen Vordenkern geöffnet werden. Sie sind so häufig, dass es frustrierend ist, sie immer wieder zu sehen. Ein Grund, warum sie ihren hässlichen Kopf aufhauen, ist die Verwendung von Altsystemen, die nicht gepatcht wurden, obwohl Korrekturen verfügbar waren, aber der andere Grund hat wieder einmal mit dem menschlichen Faktor zu tun. Entwickler schreiben Code in rasantem Tempo und konzentrieren sich auf ein schickes, funktionales Endprodukt... nicht auf bewährte Sicherheitsmethoden.
Es wird einfach zu viel Software entwickelt, als dass AppSec-Spezialisten Schritt halten könnten, und wir können nicht erwarten, dass sie mit diesen wiederkehrenden Sicherheitslücken ständig den Tag retten. Es ist billiger, effizienter und eindeutig viel sicherer, wenn diese Sicherheitslücken nicht von vornherein eingeführt werden. Das bedeutet, dass Sicherheitsteams und Entwickler sich ins Zeug legen müssen, um eine robuste, durchgängige Sicherheitskultur zu schaffen.
Wie genau sieht eine großartige Sicherheitskultur aus? Hier sind ein paar wichtige Elemente:
- Entwickler sind mit den Tools und Schulungen ausgestattet, die sie benötigen, um häufig auftretende Fehler zu beheben (und zu verstehen, warum dies so wichtig ist)
- Die Schulung ist umfassend, leicht verdaulich und spielt die Stärken der Entwickler aus
- Die Ergebnisse des Trainings werden anhand von Kennzahlen und Berichten korrekt gemessen (nicht nur ein Häkchen setzen und mit dem Training fortfahren)
- AppSec und Entwickler beginnen, dieselbe Sprache zu sprechen: Schließlich arbeiten sie in einer positiven Sicherheitskultur daran, ähnliche Ziele zu erreichen.
Die Wahrscheinlichkeit einer Katastrophe ist immer noch enorm und geht weit über den bloßen Diebstahl der Krankenakten eines Patienten hinaus. Das Injizieren falscher Tumoren in einen Scan könnte eine Person, die ängstlich darauf wartet, zu erfahren, ob sie an Krebs erkrankt ist, am Boden zerstört haben. Und der Austausch von Medikamenten oder die Änderung der Behandlungspläne könnten sie tatsächlich töten. Aber es braucht nur einen Cyberkriminellen, der bereit ist, diese Grenze zu überschreiten, um Gewinn zu erzielen, und Sie können garantieren, dass dies passiert. Vielleicht verschlüsselt der nächste Ransomware-Betrug nicht die Daten eines Krankenhauses, sondern ruiniert stattdessen die Diagnosen von Tausenden von Patienten. Oder vielleicht droht ein Angreifer damit, Medikamente zu verändern, sofern sie nicht bezahlt werden, und setzt buchstäblich Leben auf Lösegeld.
Es ist klar, dass wir nicht länger dem „business as usual“ -Ansatz folgen können, wenn es darum geht Cybersicherheit im Gesundheitswesen. Wir können uns nicht darauf verlassen, dass ein oder zwei Spezialisten in Gesundheitsorganisationen jedes Problem lösen. Stattdessen brauchen wir sicherheitsbewusste Entwickler, die an Apps und Geräten für das Gesundheitswesen arbeiten, um potenzielle Probleme zu erkennen und sie zu beheben, bevor sie in Einrichtungen eingesetzt werden. Und selbst Beschäftigte im Gesundheitswesen könnten grundlegende Schulungen zur Cybersicherheit in Anspruch nehmen.
Es stimmt, dass nichts wichtiger ist als Ihre Gesundheit. In der Gesundheitsbranche hängt die Aufrechterhaltung einer guten Cybersicherheit für die Zukunft davon ab, dass heute ein besseres allgemeines Sicherheitsbewusstsein geschaffen wird. Ohne ernsthafte Behandlung wird sich dieses Problem nur noch verschärfen.
Eine Version dieses Artikels lief in Cyber Defense Magazin. Es wurde hier für die Syndizierung aktualisiert.
Cyberangriffe sind heutzutage zu einer Lebensweise geworden. Die Menschen erwarten fast, Neuigkeiten über neue Sicherheitslücken oder Sicherheitslücken zu hören, die alles betreffen, vom Bankwesen über die Luftfahrt bis hin zu Geräten, die so unterschiedlich sind wie Smartphones und Ampeln. Selbst unsere Häuser sind nicht mehr völlig sicher. Ganze Städte und Gemeinden werden angegriffen fast täglich von Kriminellen, wobei Angreifer Lösegeld in Millionenhöhe fordern, um kompromittierte kritische Dienste wiederherzustellen.
Aber ein Ort, an dem wir uns hoffentlich noch sicher fühlen konnten, war in der Arztpraxis oder sogar in einem Krankenhaus. Menschen sind am anfälligsten, wenn sie sich an einen Gesundheitsdienstleister wenden. Der menschliche Anstand würde fast verlangen, dass die örtlichen Kliniker ihre edle Arbeit in Ruhe erledigen dürfen. Leider ist das nicht der Fall. Unter den heutigen Cyberdieben scheint wenig Ehre "oder vielleicht schiere Verzweiflung" zu herrschen. Tatsächlich könnte das Gesundheitswesen das nächste „große“ Schlachtfeld im Bereich Cybersicherheit sein, auf dem Kriminelle genau die Maschinen angreifen, die medizinische Probleme diagnostizieren, Behandlungen durchführen und Leben erhalten. Angesichts der Tatsache, dass sich vor unseren Augen eine anhaltende globale Gesundheitskrise abspielt, ist es von entscheidender Bedeutung, dies von mehreren Punkten aus anzugehen.
Bedrohungen werden persönlicher als je zuvor.
Angriffe auf die Gesundheitsbranche sind nicht neu. Cyberkriminelle wissen bereits, welchen Wert Patienteninformationen, persönliche Daten und Finanzdaten in der Unterwelt und im Dark Web haben. Diese Informationen können verwendet werden, um Geld direkt von Patienten zu stehlen, oder als Ausgangspunkt für sekundäre Angriffe wie Phishing und andere Betrügereien dienen. Kein Wunder also, dass sich viele der verheerendsten Angriffe in letzter Zeit gegen das Gesundheitswesen richteten. Hymne Im Gesundheitswesen wurden 80 Millionen Patientendaten gestohlen. Premera hat 11 Millionen persönliche Dateien verloren. Kümmere dich zuerstInsgesamt waren es 1,1 Millionen kompromittierte Datensätze, und die Liste geht weiter und weiter.
Derzeit scheinen Angriffe direkt gegen medizinische Geräte selten zu sein. Allerdings mindestens ein Bericht deutet darauf hin, dass das Problem viel weiter verbreitet sein könnte, da Krankenhäuser die Angriffe nicht melden oder Mitarbeiter, die nicht in Cybersicherheit geschult sind, einfach nicht erkennen, dass ein Angriff direkt vor ihnen stattfindet. Die Fähigkeit, medizinische Geräte auf beängstigende Weise zu kompromittieren, beispielsweise durch den Einsatz von Schadsoftware füge falsche Tumoren hinzu zu CAT-Scans und MRT-Ergebnissen, wurde von Sicherheitsforschern eindeutig nachgewiesen. Es ist kein großer Sprung zu glauben, dass Angreifer möglicherweise bereits dieselben oder ähnliche Dinge mit medizinischen Geräten in der realen Welt tun.
Das Gesundheitswesen ist auch besonders anfällig für Cyberangriffe, da es zunehmend auf Geräte im Internet der Dinge (IoT) angewiesen ist. Dabei handelt es sich um winzige Sensoren, die mit dem Internet verbunden sind und unglaubliche Informationsmengen erzeugen. In den meisten Fällen war die Sicherung der von diesen Sensoren erzeugten Informationen, der Kommunikationskanäle und sogar der Sensoren selbst kaum mehr als ein nachträglicher Einfall. Die Anzahl potenzieller Sicherheitslücken, die ein Angreifer ausnutzen könnte, wenn sie sich in diesen IoT-dominierten Netzwerken verstecken, ist wahrscheinlich nahezu unbegrenzt.
IoT im Gesundheitswesen birgt ernsthafte Risiken.
Dienstleistungen, die für die Patientenversorgung von entscheidender Bedeutung sind, „die in einigen Fällen vor 20 Jahren noch nicht einmal in Betracht gezogen wurden“, sind Nährboden sowohl für IoT-basierte als auch für andere traditionellere Sicherheitslücken. Elektronische Patientenakten, Telemedizin und mobile Gesundheitsdienste warteten offenbar alle auf die Fülle an Informationen, die das Internet der Dinge bieten konnte. Kein Wunder, dass das Engagement für das Internet der Dinge im Gesundheitswesen überwältigend ist. MarketResearch.com prognostiziert das bis zum nächsten Jahr, der IoT-Markt im Gesundheitswesen wird 117 Milliarden US-Dollar erreichen und danach jedes Jahr mit einer Rate von 15% weiter wachsen.
In dieser Umgebung können erfahrene Angreifer zahlreiche Sicherheitslücken finden, die zum Ausnutzen medizinischer Geräte genutzt werden können. IoT-Sensoren, die in medizinische Geräte integriert sind, kommunizieren und erzeugen ihre Daten im Allgemeinen auf eine von zwei Arten. Einige sammeln Daten und übertragen dann alle ihre Ergebnisse zur Analyse direkt an das Internet. Andere verwenden eine Form der verteilten Vernetzung, bekannt als Nebelverarbeitung wo die Sensoren selbst eine Art Mini-Netzwerk bilden und gemeinsam entscheiden, welche Daten mit einem zentralen Repository oder einer Plattform geteilt werden sollen. Diese Daten können dann weiterverarbeitet oder direkt vom Gesundheitspersonal abgerufen werden.
Was die Cybersicherheit im Gesundheitswesen noch komplizierter macht, ist die Tatsache, dass die Branche nie Standards, Methoden oder Schutzmaßnahmen für den Umgang mit Daten akzeptiert oder vereinbart hat. In der Vergangenheit wurde die Gesundheitsbranche von Herstellern bedient, die ihre eigenen proprietären Technologien für medizinische Geräte anboten. Heute gehören dazu die eingebetteten IoT-Sensoren, die Kommunikationskanäle, die die Geräte verwenden, und die Plattform für die Analyse der Daten nach ihrer Erfassung. Das macht die meisten Krankenhausnetzwerke zu einem Traum für Hacker oder zumindest zu einem guten Testgelände, auf dem sie alles ausnutzen können Fehlkonfigurationen bei der Sicherheit zu unzureichender Schutz der Transportschicht. Sie können alles ausprobieren von Site-übergreifende Anforderungsfälschungen zum Klassiker XML-Injection-Angriffe.
Der Gegenschlag, den wir brauchen, liegt direkt vor uns.
Trotz der potenziell katastrophalen Folgen dieser Schwachstellen Wenn diese Sicherheitslücken ausgenutzt werden, gibt es etwas, worüber man optimistisch bleiben kann: Diese Sicherheitslücken sind keine neuen, mächtigen Hintertüren, die von kriminellen Vordenkern geöffnet werden. Sie sind so häufig, dass es frustrierend ist, sie immer wieder zu sehen. Ein Grund, warum sie ihren hässlichen Kopf aufhauen, ist die Verwendung von Altsystemen, die nicht gepatcht wurden, obwohl Korrekturen verfügbar waren, aber der andere Grund hat wieder einmal mit dem menschlichen Faktor zu tun. Entwickler schreiben Code in rasantem Tempo und konzentrieren sich auf ein schickes, funktionales Endprodukt... nicht auf bewährte Sicherheitsmethoden.
Es wird einfach zu viel Software entwickelt, als dass AppSec-Spezialisten Schritt halten könnten, und wir können nicht erwarten, dass sie mit diesen wiederkehrenden Sicherheitslücken ständig den Tag retten. Es ist billiger, effizienter und eindeutig viel sicherer, wenn diese Sicherheitslücken nicht von vornherein eingeführt werden. Das bedeutet, dass Sicherheitsteams und Entwickler sich ins Zeug legen müssen, um eine robuste, durchgängige Sicherheitskultur zu schaffen.
Wie genau sieht eine großartige Sicherheitskultur aus? Hier sind ein paar wichtige Elemente:
- Entwickler sind mit den Tools und Schulungen ausgestattet, die sie benötigen, um häufig auftretende Fehler zu beheben (und zu verstehen, warum dies so wichtig ist)
- Die Schulung ist umfassend, leicht verdaulich und spielt die Stärken der Entwickler aus
- Die Ergebnisse des Trainings werden anhand von Kennzahlen und Berichten korrekt gemessen (nicht nur ein Häkchen setzen und mit dem Training fortfahren)
- AppSec und Entwickler beginnen, dieselbe Sprache zu sprechen: Schließlich arbeiten sie in einer positiven Sicherheitskultur daran, ähnliche Ziele zu erreichen.
Die Wahrscheinlichkeit einer Katastrophe ist immer noch enorm und geht weit über den bloßen Diebstahl der Krankenakten eines Patienten hinaus. Das Injizieren falscher Tumoren in einen Scan könnte eine Person, die ängstlich darauf wartet, zu erfahren, ob sie an Krebs erkrankt ist, am Boden zerstört haben. Und der Austausch von Medikamenten oder die Änderung der Behandlungspläne könnten sie tatsächlich töten. Aber es braucht nur einen Cyberkriminellen, der bereit ist, diese Grenze zu überschreiten, um Gewinn zu erzielen, und Sie können garantieren, dass dies passiert. Vielleicht verschlüsselt der nächste Ransomware-Betrug nicht die Daten eines Krankenhauses, sondern ruiniert stattdessen die Diagnosen von Tausenden von Patienten. Oder vielleicht droht ein Angreifer damit, Medikamente zu verändern, sofern sie nicht bezahlt werden, und setzt buchstäblich Leben auf Lösegeld.
Es ist klar, dass wir nicht länger dem „business as usual“ -Ansatz folgen können, wenn es darum geht Cybersicherheit im Gesundheitswesen. Wir können uns nicht darauf verlassen, dass ein oder zwei Spezialisten in Gesundheitsorganisationen jedes Problem lösen. Stattdessen brauchen wir sicherheitsbewusste Entwickler, die an Apps und Geräten für das Gesundheitswesen arbeiten, um potenzielle Probleme zu erkennen und sie zu beheben, bevor sie in Einrichtungen eingesetzt werden. Und selbst Beschäftigte im Gesundheitswesen könnten grundlegende Schulungen zur Cybersicherheit in Anspruch nehmen.
Es stimmt, dass nichts wichtiger ist als Ihre Gesundheit. In der Gesundheitsbranche hängt die Aufrechterhaltung einer guten Cybersicherheit für die Zukunft davon ab, dass heute ein besseres allgemeines Sicherheitsbewusstsein geschaffen wird. Ohne ernsthafte Behandlung wird sich dieses Problem nur noch verschärfen.
以下のリンクをクリックして、このリソースのPDFをダウンロードしてください。
Secure Code Warrior 、ソフトウェア開発サイクル全体を通じてコードの安全性を確保し、サイバーセキュリティを最優先とする文化を構築するため、貴社をSecure Code Warrior 。アプリセキュリティ管理者、開発者、CISO、あるいはセキュリティに関わるあらゆる立場の方々に対し、当社が貴社のビジネスにおける不安全なコードに関連するリスクの低減を支援します。
レポートを見るデモを予約する
最高経営責任者(CEO)、会長、および共同設立者
Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。
Eine Version dieses Artikels lief in Cyber Defense Magazin. Es wurde hier für die Syndizierung aktualisiert.
Cyberangriffe sind heutzutage zu einer Lebensweise geworden. Die Menschen erwarten fast, Neuigkeiten über neue Sicherheitslücken oder Sicherheitslücken zu hören, die alles betreffen, vom Bankwesen über die Luftfahrt bis hin zu Geräten, die so unterschiedlich sind wie Smartphones und Ampeln. Selbst unsere Häuser sind nicht mehr völlig sicher. Ganze Städte und Gemeinden werden angegriffen fast täglich von Kriminellen, wobei Angreifer Lösegeld in Millionenhöhe fordern, um kompromittierte kritische Dienste wiederherzustellen.
Aber ein Ort, an dem wir uns hoffentlich noch sicher fühlen konnten, war in der Arztpraxis oder sogar in einem Krankenhaus. Menschen sind am anfälligsten, wenn sie sich an einen Gesundheitsdienstleister wenden. Der menschliche Anstand würde fast verlangen, dass die örtlichen Kliniker ihre edle Arbeit in Ruhe erledigen dürfen. Leider ist das nicht der Fall. Unter den heutigen Cyberdieben scheint wenig Ehre "oder vielleicht schiere Verzweiflung" zu herrschen. Tatsächlich könnte das Gesundheitswesen das nächste „große“ Schlachtfeld im Bereich Cybersicherheit sein, auf dem Kriminelle genau die Maschinen angreifen, die medizinische Probleme diagnostizieren, Behandlungen durchführen und Leben erhalten. Angesichts der Tatsache, dass sich vor unseren Augen eine anhaltende globale Gesundheitskrise abspielt, ist es von entscheidender Bedeutung, dies von mehreren Punkten aus anzugehen.
Bedrohungen werden persönlicher als je zuvor.
Angriffe auf die Gesundheitsbranche sind nicht neu. Cyberkriminelle wissen bereits, welchen Wert Patienteninformationen, persönliche Daten und Finanzdaten in der Unterwelt und im Dark Web haben. Diese Informationen können verwendet werden, um Geld direkt von Patienten zu stehlen, oder als Ausgangspunkt für sekundäre Angriffe wie Phishing und andere Betrügereien dienen. Kein Wunder also, dass sich viele der verheerendsten Angriffe in letzter Zeit gegen das Gesundheitswesen richteten. Hymne Im Gesundheitswesen wurden 80 Millionen Patientendaten gestohlen. Premera hat 11 Millionen persönliche Dateien verloren. Kümmere dich zuerstInsgesamt waren es 1,1 Millionen kompromittierte Datensätze, und die Liste geht weiter und weiter.
Derzeit scheinen Angriffe direkt gegen medizinische Geräte selten zu sein. Allerdings mindestens ein Bericht deutet darauf hin, dass das Problem viel weiter verbreitet sein könnte, da Krankenhäuser die Angriffe nicht melden oder Mitarbeiter, die nicht in Cybersicherheit geschult sind, einfach nicht erkennen, dass ein Angriff direkt vor ihnen stattfindet. Die Fähigkeit, medizinische Geräte auf beängstigende Weise zu kompromittieren, beispielsweise durch den Einsatz von Schadsoftware füge falsche Tumoren hinzu zu CAT-Scans und MRT-Ergebnissen, wurde von Sicherheitsforschern eindeutig nachgewiesen. Es ist kein großer Sprung zu glauben, dass Angreifer möglicherweise bereits dieselben oder ähnliche Dinge mit medizinischen Geräten in der realen Welt tun.
Das Gesundheitswesen ist auch besonders anfällig für Cyberangriffe, da es zunehmend auf Geräte im Internet der Dinge (IoT) angewiesen ist. Dabei handelt es sich um winzige Sensoren, die mit dem Internet verbunden sind und unglaubliche Informationsmengen erzeugen. In den meisten Fällen war die Sicherung der von diesen Sensoren erzeugten Informationen, der Kommunikationskanäle und sogar der Sensoren selbst kaum mehr als ein nachträglicher Einfall. Die Anzahl potenzieller Sicherheitslücken, die ein Angreifer ausnutzen könnte, wenn sie sich in diesen IoT-dominierten Netzwerken verstecken, ist wahrscheinlich nahezu unbegrenzt.
IoT im Gesundheitswesen birgt ernsthafte Risiken.
Dienstleistungen, die für die Patientenversorgung von entscheidender Bedeutung sind, „die in einigen Fällen vor 20 Jahren noch nicht einmal in Betracht gezogen wurden“, sind Nährboden sowohl für IoT-basierte als auch für andere traditionellere Sicherheitslücken. Elektronische Patientenakten, Telemedizin und mobile Gesundheitsdienste warteten offenbar alle auf die Fülle an Informationen, die das Internet der Dinge bieten konnte. Kein Wunder, dass das Engagement für das Internet der Dinge im Gesundheitswesen überwältigend ist. MarketResearch.com prognostiziert das bis zum nächsten Jahr, der IoT-Markt im Gesundheitswesen wird 117 Milliarden US-Dollar erreichen und danach jedes Jahr mit einer Rate von 15% weiter wachsen.
In dieser Umgebung können erfahrene Angreifer zahlreiche Sicherheitslücken finden, die zum Ausnutzen medizinischer Geräte genutzt werden können. IoT-Sensoren, die in medizinische Geräte integriert sind, kommunizieren und erzeugen ihre Daten im Allgemeinen auf eine von zwei Arten. Einige sammeln Daten und übertragen dann alle ihre Ergebnisse zur Analyse direkt an das Internet. Andere verwenden eine Form der verteilten Vernetzung, bekannt als Nebelverarbeitung wo die Sensoren selbst eine Art Mini-Netzwerk bilden und gemeinsam entscheiden, welche Daten mit einem zentralen Repository oder einer Plattform geteilt werden sollen. Diese Daten können dann weiterverarbeitet oder direkt vom Gesundheitspersonal abgerufen werden.
Was die Cybersicherheit im Gesundheitswesen noch komplizierter macht, ist die Tatsache, dass die Branche nie Standards, Methoden oder Schutzmaßnahmen für den Umgang mit Daten akzeptiert oder vereinbart hat. In der Vergangenheit wurde die Gesundheitsbranche von Herstellern bedient, die ihre eigenen proprietären Technologien für medizinische Geräte anboten. Heute gehören dazu die eingebetteten IoT-Sensoren, die Kommunikationskanäle, die die Geräte verwenden, und die Plattform für die Analyse der Daten nach ihrer Erfassung. Das macht die meisten Krankenhausnetzwerke zu einem Traum für Hacker oder zumindest zu einem guten Testgelände, auf dem sie alles ausnutzen können Fehlkonfigurationen bei der Sicherheit zu unzureichender Schutz der Transportschicht. Sie können alles ausprobieren von Site-übergreifende Anforderungsfälschungen zum Klassiker XML-Injection-Angriffe.
Der Gegenschlag, den wir brauchen, liegt direkt vor uns.
Trotz der potenziell katastrophalen Folgen dieser Schwachstellen Wenn diese Sicherheitslücken ausgenutzt werden, gibt es etwas, worüber man optimistisch bleiben kann: Diese Sicherheitslücken sind keine neuen, mächtigen Hintertüren, die von kriminellen Vordenkern geöffnet werden. Sie sind so häufig, dass es frustrierend ist, sie immer wieder zu sehen. Ein Grund, warum sie ihren hässlichen Kopf aufhauen, ist die Verwendung von Altsystemen, die nicht gepatcht wurden, obwohl Korrekturen verfügbar waren, aber der andere Grund hat wieder einmal mit dem menschlichen Faktor zu tun. Entwickler schreiben Code in rasantem Tempo und konzentrieren sich auf ein schickes, funktionales Endprodukt... nicht auf bewährte Sicherheitsmethoden.
Es wird einfach zu viel Software entwickelt, als dass AppSec-Spezialisten Schritt halten könnten, und wir können nicht erwarten, dass sie mit diesen wiederkehrenden Sicherheitslücken ständig den Tag retten. Es ist billiger, effizienter und eindeutig viel sicherer, wenn diese Sicherheitslücken nicht von vornherein eingeführt werden. Das bedeutet, dass Sicherheitsteams und Entwickler sich ins Zeug legen müssen, um eine robuste, durchgängige Sicherheitskultur zu schaffen.
Wie genau sieht eine großartige Sicherheitskultur aus? Hier sind ein paar wichtige Elemente:
- Entwickler sind mit den Tools und Schulungen ausgestattet, die sie benötigen, um häufig auftretende Fehler zu beheben (und zu verstehen, warum dies so wichtig ist)
- Die Schulung ist umfassend, leicht verdaulich und spielt die Stärken der Entwickler aus
- Die Ergebnisse des Trainings werden anhand von Kennzahlen und Berichten korrekt gemessen (nicht nur ein Häkchen setzen und mit dem Training fortfahren)
- AppSec und Entwickler beginnen, dieselbe Sprache zu sprechen: Schließlich arbeiten sie in einer positiven Sicherheitskultur daran, ähnliche Ziele zu erreichen.
Die Wahrscheinlichkeit einer Katastrophe ist immer noch enorm und geht weit über den bloßen Diebstahl der Krankenakten eines Patienten hinaus. Das Injizieren falscher Tumoren in einen Scan könnte eine Person, die ängstlich darauf wartet, zu erfahren, ob sie an Krebs erkrankt ist, am Boden zerstört haben. Und der Austausch von Medikamenten oder die Änderung der Behandlungspläne könnten sie tatsächlich töten. Aber es braucht nur einen Cyberkriminellen, der bereit ist, diese Grenze zu überschreiten, um Gewinn zu erzielen, und Sie können garantieren, dass dies passiert. Vielleicht verschlüsselt der nächste Ransomware-Betrug nicht die Daten eines Krankenhauses, sondern ruiniert stattdessen die Diagnosen von Tausenden von Patienten. Oder vielleicht droht ein Angreifer damit, Medikamente zu verändern, sofern sie nicht bezahlt werden, und setzt buchstäblich Leben auf Lösegeld.
Es ist klar, dass wir nicht länger dem „business as usual“ -Ansatz folgen können, wenn es darum geht Cybersicherheit im Gesundheitswesen. Wir können uns nicht darauf verlassen, dass ein oder zwei Spezialisten in Gesundheitsorganisationen jedes Problem lösen. Stattdessen brauchen wir sicherheitsbewusste Entwickler, die an Apps und Geräten für das Gesundheitswesen arbeiten, um potenzielle Probleme zu erkennen und sie zu beheben, bevor sie in Einrichtungen eingesetzt werden. Und selbst Beschäftigte im Gesundheitswesen könnten grundlegende Schulungen zur Cybersicherheit in Anspruch nehmen.
Es stimmt, dass nichts wichtiger ist als Ihre Gesundheit. In der Gesundheitsbranche hängt die Aufrechterhaltung einer guten Cybersicherheit für die Zukunft davon ab, dass heute ein besseres allgemeines Sicherheitsbewusstsein geschaffen wird. Ohne ernsthafte Behandlung wird sich dieses Problem nur noch verschärfen.
%20(1).avif)
.avif)
