Jak zhakować szpital - czy dane pacjentów są bezpieczne?
Jeden z badaczy z Kaspersky Lab przeprowadził niedawno badanie w prywatnej przychodni w celu zidentyfikowania słabych punktów w jej zabezpieczeniach oraz znalezienia sposobu na ich wyeliminowanie. W sprzęcie medycznym znaleziono luki, które otwierają drzwi cyberprzestępcom, dając im dostęp do danych osobowych oraz informacji dotyczących zdrowia i leczenia pacjentów.
Nowoczesna przychodnia to skomplikowany system. Posiada wyrafinowany sprzęt medyczny, który składa się z w pełni funkcjonalnych komputerów z systemem operacyjnym oraz zainstalowanymi w nim aplikacjami. Lekarze bazują na komputerach, a wszelkie informacje są przechowywane w formie cyfrowej. Ponadto, wiele technologii związanych z ochroną zdrowia aktywnie korzysta z połączenia z internetem.
Dlatego nie jest niespodzianką, że zarówno sprzęt medyczny jak i szpitalna infrastruktura IT już wcześniej stanowiły cel ataków hakerów. Najnowszymi przykładami takich incydentów są ataki przy użyciu oprogramowania ransomware (blokującego dostęp do danych i żądającego zapłacenia okupu) na szpitale w Stanach Zjednoczonych i Kanadzie. Jednak masowy atak oparty na szkodliwym oprogramowaniu to tylko jeden z możliwych sposobów wykorzystania przez przestępców infrastruktury IT nowoczesnego obiektu służby zdrowia.
Przychodnie przechowują informacje osobowe dotyczące swoich pacjentów. Ponadto posiadają i wykorzystują bardzo drogi, trudny do naprawy i wymiany sprzęt, co czyni je potencjalnie atrakcyjnym celem jeśli chodzi o wyłudzenie i kradzież danych.
Wynik udanego cyberataku na organizację medyczną może różnić się pod względem szczegółów, ale w każdym przypadku atak taki będzie bardzo groźny. Może obejmować następujące elementy:
- wykorzystanie danych osobowych pacjentów do celów przestępczych: odsprzedaży informacji osobom trzecim lub żądania zapłacenia okupu przez przychodnię w celu odzyskania poufnych informacji dotyczących pacjentów,
- celowe fałszerstwo wyników diagnozy pacjentów,
- uszkodzenie sprzętu medycznego, które może spowodować zarówno szkody fizyczne dotykające pacjentów jak i ogromne straty finansowe dla przychodni,
- negatywny wpływ na reputację przychodni.
Niebezpieczne połączenie z internetem
Pierwszą rzeczą, jakiej ekspert z Kaspersky Lab postanowił się dowiedzieć w ramach badania, było oszacowanie, ile urządzeń medycznych na świecie jest obecnie podłączonych do internetu. Współczesny sprzęt medyczny to w pełni funkcjonalne komputery z systemem operacyjnym, z których większość posiada kanał komunikacyjny z internetem. Włamanie się do nich umożliwiłoby cyberprzestępcom ingerencję w ich funkcjonalność.
Wykorzystując wyszukiwarkę Shodan w celu znalezienia sprzętu połączonego z internetem, stwierdzono, że zarejestrowane są tam setki urządzeń medycznych – maszyny służące do wykonywania tomografii komputerowej, sprzęt kardiologiczny, urządzenia do wykonywania zdjęć rentgenowskich, rozmaite narzędzia medyczne i wiele innych. Odkrycie to prowadzi do niepokojących wniosków – niektóre z tych urządzeń nadal działają pod kontrolą starych systemów operacyjnych, takich jak Windows XP, z niezałatanymi lukami w zabezpieczeniach, a w niektórych jedynym zabezpieczeniem są domyślne hasła ustawione przez producenta, które można z łatwością znaleźć w dostępnych publicznie instrukcjach i dokumentacjach.
Wykorzystując te luki w zabezpieczeniach, cyberprzestępca mógłby uzyskać dostęp do interfejsu urządzenia i potencjalnie wpłynąć na jego sposób działania.
Wewnątrz sieci lokalnej przychodni
Opisany wyżej scenariusz stanowi jeden ze sposobów, jaki cyberprzestępcy mogliby wykorzystać, aby uzyskać dostęp do infrastruktury krytycznej przychodni. Jednak najbardziej oczywistym i logicznym sposobem jest próba zaatakowania sieci lokalnej placówki. Podczas badania zidentyfikowano lukę w zabezpieczeniach połączenia sieci Wi-Fi przychodni i za pośrednictwem słabego, przestarzałego protokołu komunikacyjnego uzyskano dostęp do sieci lokalnej.
Badając sieć lokalną przychodni, ekspert z Kaspersky Lab wykrył sprzęt medyczny, który został wcześniej znaleziony w wyszukiwarce Shodan. Tym razem jednak chciał sprawdzić, czy możliwe jest uzyskanie dostępu do sprzętu, do którego nie było potrzebne żadne hasło – ponieważ sieć lokalna stanowiła zaufany obszar dla aplikacji i użytkowników urządzeń medycznych. W ten sposób cyberprzestępca może uzyskać dostęp do niemal każdego urządzenia medycznego podłączonego do sieci przychodni.
Badając głębiej sieć, ekspert z Kaspersky Lab wykrył poważną lukę w zabezpieczeniach aplikacji służącej do obsługi urządzeń medycznych. W jej interfejsie zastosowano mechanizmy, które mogą zapewnić cyberprzestępcom dostęp do danych osobowych pacjenta, w tym jego historii choroby oraz informacji dotyczących analizy medycznej jak również adresu zamieszkania oraz danych identyfikacyjnych. Co więcej, luka ta pozwalała ingerować w pracę urządzeń medycznych, takich jak maszyny służące do wykonywania tomografii komputerowej, sprzęt kardiologiczny, urządzenia do wykonywania zdjęć rentgenowskich czy sprzęt chirurgiczny. Po pierwsze, przestępca mógłby zmienić sposób działania urządzenia, wyrządzając tym samym szkody fizyczne pacjentom. Po drugie, możliwe byłoby uszkodzenie samego urządzenia, co naraziłoby placówkę medyczną na ogromne koszty.
„Nowoczesna przychodnia to już nie tylko lekarze i sprzęt medyczny, ale również usługi informatyczne. Jakość pracy wewnętrznych działów odpowiedzialnych za bezpieczeństwo wpływa ochronę danych pacjentów oraz funkcjonowanie sprzętu medycznego. Inżynierowie odpowiedzialni za sprzęt i oprogramowanie medyczne wkładają mnóstwo wysiłku w stworzenie przydatnego urządzenia medycznego, które będzie ratowało i chroniło życie ludzkie, ale niekiedy całkowicie zapominają o zabezpieczeniu go przed nieautoryzowanym dostępem z zewnątrz. Jeśli chodzi o nowe technologie, kwestiami dotyczącymi bezpieczeństwa należy zająć się na pierwszym etapie procesu badań i rozwoju. W tej fazie firmy z branży bezpieczeństwa IT mogłyby pomóc rozwiązać kwestie dotyczące ochrony” – powiedział Siergiej Lożkin z Kaspersky Lab.
Porady bezpieczeństwa
Eksperci zalecają stosowanie następujących środków w celu zabezpieczenia przychodni lub szpitala przed nieautoryzowanym dostępem:
- stosowanie mocnych haseł w celu ochrony wszystkich kanałów komunikacji,
- aktualizacja polityk bezpieczeństwa IT, regularne badanie luk w zabezpieczeniach oraz instalowanie łat i aktualizacji dla oprogramowania/sprzętu,
- ochrona aplikacji obsługujących sprzęt medyczny w sieci lokalnej przy użyciu silnych haseł na wypadek nieautoryzowanego dostępu do zaufanego obszaru,
- ochrona infrastruktury przed zagrożeniami, takimi jak szkodliwe oprogramowanie i ataki hakerskie przy użyciu niezawodnego rozwiązania bezpieczeństwa,
- regularne tworzenie kopii zapasowych informacji krytycznych i przechowywanie ich poza siecią.