Outpost24 IoT header image


Security


Προληπτική ιατρική για την εξασφάλιση τεχνολογίας IoT σε οργανισμούς υγειονομικής περίθαλψης

Η ευρεία υιοθέτηση ενός χώρου εργασίας ψηφιακού μετασχηματισμού και η στροφή προς τις διαδικτυακές εφαρμογές οδήγησε σε παγκόσμια αύξηση του εγκλήματος στον κυβερνοχώρο, με το 2022

Αύξηση 87% σε ετήσια βάση

σε επιθέσεις κακόβουλου λογισμικού IoT.

Με τεράστιες αποθήκες ευαίσθητων δεδομένων, πρόσφατα υιοθετηθείσα τεχνολογία Internet of Medical Things και συχνά απαρχαιωμένα συστήματα κυβερνοασφάλειας, η βιομηχανία υγειονομικής περίθαλψης έχει γίνει πρωταρχικός στόχος για εργατικούς εγκληματίες του κυβερνοχώρου που επιδιώκουν να εκμεταλλευτούν τις ευπάθειες της βιομηχανίας για κέρδος. Οι κυβερνοεπιθέσεις αυξάνονται σε αυτούς τους κλάδους και οι απόπειρες κυβερνοεπιθέσεων που στοχεύουν διαδικτυακές εφαρμογές

αυξήθηκε κατά 137%



κατά το τελευταίο έτος.

Σε αυτό το άρθρο, θα ρίξουμε μια ματιά στο γιατί οι οργανισμοί υγειονομικής περίθαλψης διατρέχουν αυξημένο κίνδυνο για επιθέσεις στον κυβερνοχώρο. Θα διερευνήσουμε τι είναι το Internet of Medical Things και θα διερευνήσουμε πώς οι οργανισμοί υγειονομικής περίθαλψης πρέπει να αξιολογούν καλύτερα την ασφάλεια των δικτύων τους.

Στη συνέχεια θα αποκαλύψουμε γιατί και πώς το HIPAA παίζει ρόλο στην εξασφάλιση ευαίσθητων ιατρικών δεδομένων και πώς

διαχείριση της επιφάνειας επίθεσης

μπορεί να εξασφαλίσει το IoMT για οργανισμούς υγειονομικής περίθαλψης.

Γιατί οι οργανισμοί υγειονομικής περίθαλψης διατρέχουν αυξημένο κίνδυνο για κυβερνοεπιθέσεις

Λόγω των απαρχαιωμένων τεχνικών συστημάτων και των ευρέων σημείων εισόδου, υπάρχει μεγάλη δυνατότητα εισόδου για έμπειρους παράγοντες απειλών που επιδιώκουν να εκμεταλλευτούν τα τρωτά σημεία στον κλάδο της υγειονομικής περίθαλψης.

Δεδομένου ότι οι οργανισμοί του κλάδου υγειονομικής περίθαλψης εκτελούν συχνά εφαρμογές με ανεπαρκή προστασία και ανεπαρκείς προφυλάξεις ασφαλείας, ο τομέας της υγειονομικής περίθαλψης είναι ένας ιδιαίτερος στόχος για επιθέσεις που βασίζονται σε εφαρμογές και API.

Οι οργανισμοί υγειονομικής περίθαλψης θα πρέπει να αγκαλιάσουν

ασφάλεια εφαρμογών web

δοκιμές για την ασφάλεια των εφαρμογών και την παρατήρηση των τρωτών σημείων από τα πιο πρόσφατα συστήματα κυβερνοεπιθέσεων.

Χρησιμοποιώντας μεθόδους εξουσιοδότησης σε επίπεδο κατεστραμμένου αντικειμένου (ή BOLA), οι χάκερ μπορούν να προσαρμόσουν την αναγνώριση ενός συγκεκριμένου αντικειμένου στο πλαίσιο μιας εντολής API.

Αυτή η πρόσβαση επιτρέπει στους χάκερ να χειραγωγούν την ταυτότητα του αιτήματος, παρέχοντας ένα εύκολο σημείο πρόσβασης στους χρήστες να παρακάμπτουν πλήρως τα μέτρα φύλαξης πύλης και να διαβάζουν περιορισμένα δεδομένα. Οι μη εξουσιοδοτημένοι χρήστες μπορούν ακόμη και να διαγράψουν τα προσωπικά δεδομένα ενός χρήστη.

Αυτός ο τύπος επίθεσης προσφέρει ένα ευρύ φάσμα δυνατοτήτων χειραγώγησης και εκβίασης οργανισμών υγειονομικής περίθαλψης, των οποίων οι βάσεις δεδομένων περιέχουν άφθονες ευαίσθητες πληροφορίες σχετικά με το ιατρικό ιστορικό ασθενών, τα τρέχοντα αρχεία υγείας, τις διευθύνσεις κατοικίας και τα οικονομικά στοιχεία.

Τι είναι το διαδίκτυο των ιατρικών πραγμάτων;

Το Internet of Medical Things (IoMT) αναφέρεται στο διασυνδεδεμένο δίκτυο τεχνολογιών επικοινωνίας που μεταδίδει δεδομένα σε πραγματικό χρόνο μέσω μιας δομής υπολογιστικού νέφους, η οποία μπορεί να χρησιμοποιηθεί για εφαρμογές Smart Health.

Το Internet of Medical Things (IoMT) είναι ένα παρακλάδι του ευρέως δημοφιλούς Internet of Things (IoT). Το IoT παρέχει βελτιωμένη επικοινωνία με δυνατότητα AI μεταξύ μιας μεγάλης ποικιλίας συσκευών, συμπεριλαμβανομένων κινητών τηλεφώνων, φορητών συσκευών, βιομηχανικών αισθητήρων και θυρών ενεργοποίησης, οι οποίες μεταφέρουν πληροφορίες μέσω βάσεων δεδομένων αποθήκευσης cloud.

Το IoT χρησιμοποιείται για τη σύνδεση έξυπνων κατοικιών, την τροφοδοσία έξυπνων αυτοκινήτων, τον συγχρονισμό έξυπνων πόλεων, τη δημιουργία έξυπνων ενεργειακών δικτύων και τη βελτίωση της έξυπνης λιανικής, μεταξύ άλλων χρήσεων.

Το Internet of Medical Things, εν τω μεταξύ, παρέχει επικοινωνία δεδομένων μεταξύ κινητών υπολογιστών, ιατρικών αισθητήρων και λογισμικού υπολογιστικού νέφους. Ο συγχρονισμός αυτών των συσκευών επιτρέπει στους ειδικούς ιατρούς να παρακολουθούν και να διεξάγουν αναλύσεις των ζωτικών σημείων και της προόδου της υγείας ενός ασθενούς.

Οι επαγγελματίες του ιατρικού κλάδου μπορούν να χρησιμοποιήσουν τις προηγμένες δυνατότητες που παρέχονται από το IoMT για την αξιολόγηση, τη διάγνωση, τη θεραπεία και την παρακολούθηση των καταστάσεων των ασθενών.

Δεδομένου του όγκου των ευαίσθητων δεδομένων που μεταδίδονται μέσω έξυπνων συσκευών υγείας, είναι ζωτικής σημασίας για τους οργανισμούς υγειονομικής περίθαλψης να εξασφαλίσουν το Διαδίκτυο Ιατρικών Αντικειμένων. Τα δεδομένα που μεταδίδονται μέσω συσκευών που συνδυάζονται για να σχηματίσουν το IoMT μεταδίδονται μέσω πολυεπίπεδων πλατφορμών υπολογιστικού νέφους στις οποίες μπορούν να έχουν πρόσβαση οι επαγγελματίες του ιατρικού τομέα μέσω εφαρμογών που βασίζονται στον ιστό που αντλούν δεδομένα από το cloud.

Αυτές οι πλατφόρμες αποθήκευσης δεδομένων cloud μπορούν να περιλαμβάνουν αποθήκευση βάσεων δεδομένων, πύλες πρόσβασης για διάφορους πελάτες και επαγγελματίες και ανταλλαγή Ηλεκτρονικών Ιατρικών Αρχείων ή EMR. Ορισμένες διασυνδεδεμένες συσκευές IoMT μπορούν επίσης να προσφέρουν πύλες ασθενών, έτσι ώστε οι ασθενείς να έχουν πρόσβαση στα ιατρικά τους αρχεία και σε ενημερωμένες πληροφορίες για την κατάστασή τους σε πραγματικό χρόνο.

Πώς να αξιολογήσετε την ασφάλεια του οργανισμού υγείας σας;

Η διεξαγωγή μιας αποτελεσματικής διαδικασίας αξιολόγησης κινδύνου θα επιτρέψει σε ειδικούς πληροφορικής και διαχειριστές ασφάλειας να αξιολογήσουν το συνολικό επίπεδο κυβερνοασφάλειας του οργανισμού υγειονομικής περίθαλψης σας.

Από βασικά ατομικά μέτρα ασφαλείας, όπως στρατηγός

πολιτική ασφαλούς κωδικού πρόσβασης

σε συγκεκριμένες ενημερωμένες εκδόσεις κώδικα ασφαλείας που θα πρέπει να θεσπιστούν, μια αξιολόγηση κινδύνου ασφαλείας θα πρέπει να καλύπτει ολόκληρο το εύρος της προσέγγισης ασφαλείας του οργανισμού υγείας σας.

Μια αξιολόγηση κινδύνου για την ασφάλεια θα εντοπίσει τυχόν αδύνατα σημεία και ευάλωτα στοιχεία στην ψηφιακή υποδομή του οργανισμού υγειονομικής περίθαλψης, συμπεριλαμβανομένης της ειδικής εκπαίδευσης και ευαισθητοποίησης των εργαζομένων.

Αυτή η αξιολόγηση κινδύνου θα πρέπει να περιλαμβάνει τη συγκέντρωση ενός αποθέματος όλων των περιουσιακών στοιχείων του οργανισμού σας για να κατανοήσετε τι κινδυνεύει να παραβιαστεί σε περίπτωση επιτυχούς κυβερνοεπίθεσης.

Με αυτό το απόθεμα στο χέρι, θα μπορείτε να υπολογίσετε τις πιθανές ζημιές που θα μπορούσαν να προκύψουν στον οργανισμό υγειονομικής περίθαλψης σας σε περίπτωση επιτυχημένης κυβερνοεπίθεσης.

Για παράδειγμα, εάν ένας κακός ηθοποιός μπορεί να έχει πρόσβαση στο EHR (ηλεκτρονικά αρχεία υγείας) του οργανισμού σας, ο οργανισμός σας μπορεί να θεωρήσει απαραίτητο να σταματήσει όλες τις θεραπείες και τις διαδικασίες ασθενών έως ότου τα αρχεία ανακτηθούν και ασφαλιστούν. Διαφορετικά, ο οργανισμός σας θα μπορούσε να επιβαρυνθεί με πρόστιμα για μη συμμόρφωση με εθνικά ρυθμιστικά μέτρα.

Η διαδικασία αξιολόγησης κινδύνου θα πρέπει να περιλαμβάνει μια ολοκληρωμένη ανάλυση κάθε πιθανής απειλής, ευάλωτης κατάστασης και εκτεθειμένων δεδομένων. Φυσικές καταστροφές όπως πλημμύρες ή μπλακ άουτ μπορεί να οδηγήσουν σε εκτεθειμένες ευάλωτες βάσεις δεδομένων, ενώ ύπουλες διαπροσωπικές επιθέσεις μπορεί να έχουν τη μορφή ηλεκτρονικού “ψαρέματος” ή DDoS, κατανεμημένων επιθέσεων άρνησης παροχής υπηρεσιών στους διακομιστές του οργανισμού υγειονομικής περίθαλψης.

Οι πικραμένοι πρώην υπάλληλοι με πρόσβαση σε περιορισμένους διακομιστές και βάσεις δεδομένων θα μπορούσαν να εκφράσουν τη δυσαρέσκειά τους μέσω κακόβουλης παραβίασης ευαίσθητων δεδομένων. Οποιεσδήποτε καταστάσεις κινδύνου θα πρέπει να λαμβάνονται υπόψη για την ακριβή αξιολόγηση της συνολικής κατάστασης ασφάλειας του οργανισμού- και θα επιτρέψει στα κατάλληλα άτομα να αποτρέψουν και να μετριάσουν τις μόνιμες ζημιές.

Πώς/γιατί παίζει ρόλο το HIPAA;

HIPAA,

ο νόμος περί φορητότητας και λογοδοσίας ασφάλισης υγείας του 1996

, παρέχει κανονισμούς σε εθνικό επίπεδο που διασφαλίζουν ότι κάθε οργανισμός υγειονομικής περίθαλψης συμμορφώνεται με τα πιο πρόσφατα βασικά μέτρα ασφαλείας. Η HIPAA παρέχει κατευθυντήριες γραμμές που μπορούν να καθοδηγήσουν τους οργανισμούς υγειονομικής περίθαλψης σχετικά με τον τρόπο δημιουργίας αποτελεσματικών σχεδίων έκτακτης ανάγκης που βοηθούν στον μετριασμό των ζημιών σε απροσδόκητες καταστάσεις, όπως πυρκαγιά ή πλημμύρα.

Για παράδειγμα, για να συμμορφωθούν με τους κανονισμούς HIPAA, οι οργανισμοί υγειονομικής περίθαλψης πρέπει να διατηρούν τουλάχιστον τρία αντίγραφα ολόκληρης της βάσης δεδομένων τους. Αυτά τα τρία αντίγραφα πρέπει να αποθηκευτούν σε τουλάχιστον δύο διαφορετικούς τύπους μέσων και ένα από αυτά τα τρία αντίγραφα δεδομένων πρέπει να αποθηκευτεί εκτός τοποθεσίας. Εάν ένας οργανισμός δεν πληροί τις βασικές απαιτήσεις που επιβάλλει η HIPAA, ενδέχεται να υπόκεινται σε άφθονα πρόστιμα ως συνέπεια.

Το Υπουργείο Υγείας και Ανθρωπίνων Υπηρεσιών των Ηνωμένων Πολιτειών, ή HHS, κυκλοφόρησε τον Κανόνα απορρήτου HIPAA για να εγγυηθεί ότι οι οργανισμοί υγειονομικής περίθαλψης θα παραμείνουν σε συμμόρφωση με τα πρότυπα HIPAA.

Ο Κανόνας Προστασίας Προσωπικών Δεδομένων HIPAA προστατεύει ευαίσθητα δεδομένα που περιέχουν πληροφορίες υγείας ενός ασθενούς από τη δημοσίευση ή την κοινή χρήση χωρίς τη ρητή συγκατάθεση και γνώση του εν λόγω ασθενούς. Αυτός ο κανόνας περιλαμβάνει τόσο την κοινή χρήση αρχείων ασθενών μεταξύ ιατρικών επαγγελματιών όσο και την προστασία των αρχείων ασθενών από κακούς παράγοντες και επιθέσεις στον κυβερνοχώρο.

Πώς μπορεί η διαχείριση επιφανειών να διασφαλίσει το IoT σας;

Η διαχείριση επιφανειών επίθεσης μπορεί να χρησιμοποιηθεί για την εξασφάλιση του IoMT για οργανισμούς υγειονομικής περίθαλψης, υιοθετώντας α

διαχείριση ευπάθειας με βάση τον κίνδυνο

πρόγραμμα. Η μείωση των περιοχών τρωτών σημείων ασφαλείας για τους κακούς παράγοντες μειώνει την πιθανότητα επιτυχών κυβερνοεπιθέσεων από την αρχή.

Οι περισσότερες επιτυχημένες επιθέσεις πραγματοποιούνται μέσω της διείσδυσης ευάλωτων συσκευών, οι οποίες παρέχουν μια επιφάνεια για την επίθεση.

Βάσεις δεδομένων που βασίζονται σε νέφος, υπηρεσίες δικτύου, υλικολογισμικό, συγκεκριμένες μεμονωμένες συσκευές, συστήματα αποθήκευσης, διακομιστές και εφαρμογές που βασίζονται στον ιστό μπορούν το καθένα να συμβάλει είτε στην ασφάλεια είτε στην ευπάθεια του ισχυρού προγράμματος ασφαλείας ενός συνολικού συστήματος.

Η προληπτική διαχείριση, μέτρηση και μείωση της επιφάνειας επίθεσης ενός οργανισμού που αντιμετωπίζει το Διαδίκτυο μπορεί να μειώσει σημαντικά τον κίνδυνο παραβίασης του δικτύου.

Χρησιμοποιώντας έναν συνδυασμό εξειδικευμένης εσωτερικής τεχνογνωσίας μαζί με την ιδιόκτητη πλατφόρμα αυτοματισμού μας και τα εργαλεία ανάλυσης επιφάνειας επίθεσης, μπορούμε να παρέχουμε τα πάντα, από μια ενιαία ανάλυση κινδύνου σημείο σε χρόνο έως μακροπρόθεσμο σχεδιασμό, εκτέλεση και συλλογή μετρήσεων καθώς εργάζεστε μειώστε την έκθεσή σας σε επιθέσεις που βασίζονται στο Διαδίκτυο.

Η διαχείριση της επιφάνειας επίθεσης απαιτεί ισχυρές διασφαλίσεις ελέγχου ταυτότητας για να διασφαλιστεί ότι κάθε χρήστης που ζητά πρόσβαση σε μια περιορισμένη περιοχή επαληθεύεται επαρκώς πριν γίνει δεκτός για πρόσβαση στα εν λόγω δεδομένα.

Τα αυτοματοποιημένα εργαλεία εκμετάλλευσης θα αποτραπούν από το να αποκτήσουν αρχική πρόσβαση σε ένα περιορισμένο σύστημα και οι αδύναμες περιοχές ελέγχου ταυτότητας θα διορθωθούν για να δημιουργηθεί μια πιο αποτελεσματική βάση ασφαλείας.

Η διαχείριση επιφανειών επίθεσης μειώνει την πιθανή ευπάθεια ενός οργανισμού σε κυβερνοεπιθέσεις που βασίζονται στο Διαδίκτυο, οι οποίες θα επηρεάσουν άμεσα τη συνολική ασφάλεια των διασυνδεδεμένων συσκευών και συστημάτων IoMT, καθώς όλα τα ευαίσθητα ιατρικά δεδομένα αποθηκεύονται και επικοινωνούν μέσω Διαδικτύου.

Τελικές σκέψεις

Ο κλάδος της υγειονομικής περίθαλψης βρίσκεται σε μεταβατική κατάσταση, με περισσότερους οργανισμούς να βασίζονται όλο και περισσότερο σε διασυνδεδεμένες συσκευές Smart Health που εξαντλούν το IoMT.

Το Internet of Medical Things παρέχει έναν καινοτόμο τρόπο για την ενημέρωση των ιατρικών πρακτικών και την παροχή βελτιωμένης ανάλυσης της κατάστασης των ασθενών και διαδικασιών θεραπείας. Ωστόσο, χωρίς επαρκή μέτρα ασφαλείας, οι οργανισμοί υγειονομικής περίθαλψης θα είναι ανοιχτοί σε αυξημένες ευπάθειες ασφαλείας.


Εντοπισμός όλων των πιθανών απειλών

και τα τρωτά σημεία είναι το κλειδί για τη θέσπιση επαρκών μέτρων ασφαλείας που θα παρέχουν ολοκληρωμένη προστασία σε όλες τις πτυχές του ψηφιακού δικτύου και των εσωτερικών συστημάτων λογισμικού του οργανισμού υγείας.

Η διατήρηση της συμμόρφωσης με τις οδηγίες και τα πρότυπα HIPAA μπορεί να διασφαλίσει ότι οι οργανισμοί υγειονομικής περίθαλψης έχουν λάβει επαρκή μέτρα ασφαλείας.

Η εφαρμογή διαχείρισης επιφανειών επίθεσης μπορεί να βοηθήσει στην ασφάλεια του Διαδικτύου στο οποίο λειτουργούν οι συσκευές Internet of Medical Things. Η προστασία των δεδομένων ασθενών και των Ηλεκτρονικών Ιατρικών Αρχείων είναι το κλειδί για τη διασφάλιση ενός ασφαλούς ιατρικού συστήματος καθώς η τεχνολογία IoMT συνεχίζει να εξελίσσεται.


Χορηγός και συγγραφή από

Φυλάκιο 24


bleepingcomputer.com


Μπορεί επίσης να σας αρέσει


Security




Η Google θα καταπολεμήσει τους χάκερ με εβδομαδιαίες ενημερώσεις ασφαλείας του Chrome



ai




Το Zoom θα μπορούσε να χρησιμοποιεί το «περιεχόμενό» σας για να εκπαιδεύσει το AI του



Security




Το ελάττωμα κώδικα του Microsoft Visual Studio επιτρέπει στις επεκτάσεις να κλέβουν…



Security




Η νέα επίθεση Inception διαρρέει ευαίσθητα δεδομένα από όλους τους CPU της AMD Zen



Αφήστε ένα σχόλιο στο άρθρο…



Ακύρωση απάντησης

Η διεύθυνση email σας δεν θα δημοσιευθεί.