Содержание
Мы все все больше разбираемся в краже личных данных.
Прошло не так много дней, когда мы не слышали о крупном предприятии, страдающем от какой-либо утечки данных; мы просто не всегда слышим о серьезности, если это не связано со значительными объемами данных клиентов. Точно так же мы относимся к нашим медицинским записям с равной конфиденциальностью. Они содержат конфиденциальную личную информацию, которая может быть использована против нас в чужих руках.
Мы давно знаем и понимаем необходимость соблюдения конфиденциальности медицинских карт, и, к счастью, наши врачи и медсестры поклялись поддерживать эту конфиденциальность. В мире бумаги, которым управляли в прошлом, несанкционированный доступ к медицинским картам был бы с помощью ловкости рук или внутренней работы.
Но теперь мировая медицинская индустрия оцифрована, как и наши записи. Наличие оцифрованной медицинской карты имеет огромные преимущества, но стоит ли ставить ваши личные данные на линии огня?
Кража медицинских данных
Нет никаких сомнений в краже медицинских данных
, Мошенники, которые традиционно искали банковские реквизиты и банковские реквизиты
все чаще обращаются к медицинским картам. Зачем? Ну, во-первых, они полны самой личной информации о том, что нам всем дорого: нашей жизни.
Ваша медицинская карта содержит всю вашу личную информацию: имя, адрес, дату рождения, номер социального страхования (или эквивалентный), а в некоторых случаях она будет содержать платежную информацию, а также данные кредитной или дебетовой карты. Это, очевидно, делает медицинскую карту очень ценной — более ценной, чем ваш банковский счет
детали (ну, в зависимости от количества нулей в вашем аккаунте!).
Легкость, с которой хакеры получают доступ к медицинским записям, делает их еще более привлекательной целью. Несмотря на многолетние знания о том, что медицинские записи в какой-то момент будут оцифрованы, многие медицинские учреждения никак не могут справиться со всевозможной угрозой киберпреступности. Поэтому неудивительно, что процент организаций здравоохранения США, сообщивших о потенциальных атаках, вырос с 20% в 2009 году до 40% в 2013 году. Только в 2015 году мы видели официально нарушенные 108,8 миллиона отдельных записей.
через пять отдельных организаций здравоохранения; каждая организация сообщила, что их сетевой сервер был взломан:
N.B: В приведенной выше таблице указаны физические лица, затронутые миллионами.
Что мы можем ожидать?
Помимо очевидного вопроса о том, что ваша история болезни попала в неизвестные руки, появляется еще один призрак. Последние достижения в области медицинского оборудования — не что иное, как чудо, но они имеют одно существенное отличие от своих предшественников: их сетевой статус. Многие устройства теперь подключены к больничной сети, что дает хакерам возможность прямого доступа к определенным устройствам.
В действительно потрясающем отчете под названием «Предсказания на 2016 год: кибербезопасность переходит в профилактику», мы видим прогноз, согласно которому в 2016 году вымогатели начнут испытывать влияние на медицинское оборудование.
,
Риск возникает из-за недостатка знаний о безопасности сети. В 2012 году Скотт Эрвен, тогдашний руководитель отдела информационной безопасности Essentia Health (ныне заместитель директора в Protoviti), получил задание по оценке безопасности для большой сети медицинских учреждений Среднего Запада. Среди поднятых вопросов было ясно, что медицинские учреждения все еще используют жестко закодированные сетевые пароли, такие как «admin» или «1234», подтверждающие более ранние отчеты и ICS-ALERT-13-164-01, где исследователи Билли Риос и Терри МакКоркл Cylance сообщил, что около 300 медицинских устройств все еще используют жестко запрограммированные пароли.
Эти базовые шаги аутентификации создают серьезные проблемы с безопасностью, которых можно легко избежать или, по крайней мере, усложнить задачу злоумышленникам.
, В лучшем случае мы увидим рост финансового вымогательства.
В худшем случае люди умирают.
MEDJACK
TrapX, основанная на обмане фирма по кибербезопасности, выявила широкую волну атак на медицинские учреждения, в основном нацеленную на медицинские устройства больниц. В трех отдельных больницах TrapX обнаружил «обширный компромисс между различными медицинскими устройствами, включая рентгеновское оборудование, системы архивации изображений и системы связи (PACS) и анализаторы газов крови (BGA)».
Однако это не предел вектора атаки MEDJACK. TrapX верят (требуется регистрация):
«Есть много других устройств, которые представляют цели для MEDJACK. Сюда входит диагностическое оборудование (ПЭТ-сканеры, КТ-сканеры, МРТ-аппараты и т. Д.), Терапевтическое оборудование (инфузионные насосы, медицинские лазеры и хирургические машины LASIK), а также оборудование для жизнеобеспечения (аппараты искусственного кровообращения, медицинские вентиляторы, аппараты для оксигенации экстракорпоральных мембран и диализные аппараты) и многое другое ».
В докладе объясняется, что многие из используемых медицинских устройств являются устройствами с закрытыми системами, работающими под управлением устаревших операционных систем.
такие как Windows 2000 или Windows XP. Операционные системы часто модифицируются и полны дыр в безопасности
, представляя огромную уязвимость в сети любой больницы. В большинстве случаев медицинский персонал, использующий и внедряющий эти устройства, не имеет доступа к внутренней работе, что означает, что они полностью зависят от производителей при установке современных и устойчивых защитных стенок — и в настоящее время этого не происходит.
Он также не ограничен несколькими больницами. В связи с тем, что множество производителей поставляют огромное количество оборудования для медицинских учреждений по всему миру, трудно точно определить, где будет обнаружена следующая уязвимость.
Например, когда FDA выпустило рекомендацию для производителей ужесточить меры безопасности для медицинского оборудования, Министерство внутренней безопасности США (DHS) объявило о продолжающемся расследовании 24 случаев подозрений на кибербезопасность, включая «инфузионный насос от Hospira Inc. и имплантируемое сердце». устройства от Medtronic Inc. и St Jude Medical Inc. »
Расследование DHS продолжается.
Продажа медицинской документации
Хотя частные медицинские записи не так опасны для жизни, как угнанные медицинские приборы, они все чаще продаются компаниям, занимающимся добычей данных, иногда вместе с почтовыми индексами, чтобы сделать данные более полезными и, следовательно, более ценными.
Однако, как только данные покидают медицинское учреждение, это увеличивает вероятность попадания вашей информации в гнусные руки. Уже в августе 2013 года 11 учреждений здравоохранения начали или уже проводили обзоры политики сбора данных, в том числе информацию о том, как происходит процесс продажи данных и какие обязанности следует выполнять для компаний, занимающихся добычей данных.
,
Марк Пробст, главный информационный директор Intermountain Healthcare, Солт-Лейк-Сити, утверждает, что «единственная причина, по которой эти данные можно купить, заключается в том, что они могут обманным путем выставлять счета» на соответствующие медицинские записи в надежде, что кто-то паникует, и платит. Такое мошенническое использование медицинских карт (наряду с медицинскими записями, которые в первую очередь разрабатываются, слабая безопасность, обнаруженная во всех бесчисленных учреждениях, и постоянные усилия по повышению общей кибербезопасности для всей отрасли здравоохранения) — это одна из многих затрат, передаваемых непосредственно Американские граждане через свои медицинские премии.
Вы можете это остановить?
К сожалению, в случае оцифрованных медицинских карт, хранящихся непосредственно у поставщика медицинских услуг, мы ничего не можем с этим поделать.
Ваш провайдер хранит ваши данные, и даже если вы запрашиваете копию (которая может быть относительно дорогой), ваш провайдер вряд ли удалит ваши записи по прихоти. Кто знает, когда вас могут доставить в отделение неотложной помощи, только чтобы узнать, что у них нет медицинской информации, касающейся вашей аллергии на пенициллин.
Одной из активных мер является настройка системы оповещения с помощью DataLossDB.org, популярного веб-сайта с подробным описанием как можно большего числа нарушений данных. Другая стратегия смягчения последствий может включать мониторинг вашего кредитного отчета, но обычно за это взимается ежемесячная плата. Тем не менее, вы наверняка заметили бы, что ваш рейтинг резко упал
и может поймать его до того, как оно станет невосполнимым. Если вы заметили что-то особенно гнусное и вовремя заметили это, вы можете отправить предупреждение о мошенничестве, блокируя любые новые запросы на кредит или счета, открытые на ваше имя, на 90 дней.
С безопасностью медицинских карт трудно действовать так же активно, как и с банковскими реквизитами, но это не значит, что вам нужно сидеть сложа руки и ждать.
Беспокоитесь о мошенничестве в сфере здравоохранения? У вас были украдены ваши медицинские записи? Или какие меры безопасности у вас есть? Дайте нам знать ниже!
Кредиты изображений: проведение стетоскопа Нимоном через Shutterstock, Медицинская карта через Pixabay, Держа сердце через Pixabay, Рука в перчатке через Freerange Stock
