Kliniklerde BT güvenliği için iyi değil. Sıklıkla kullanılan iki hastane bilgi sistemleri (KIS) için bir penetrasyon testi, her iki “verilerin belirsiz iletimi, erişim ve şifrelerin belirsiz depolanması ve yönetimi ve yazılım güncellemelerinin belirsiz dağılımı gibi önemli zayıflıkların” olduğunu gösterdi. Bu patlayıcıdır, çünkü hastalardan elde edilen sağlık verileri gibi özellikle hassas kişisel bilgiler toplanır, işlenir ve daha fazla tanı için kullanılır. Laboratuar araçları ve bilgisayar sistemleri arasında haber değişimi için bir protokol olan HL7 (Sağlık Seviyesi 7) veya LIS01-A gibi spesifik veri formatları, karşılığında ve diğer tıbbi tesislerde neredeyse hiç güvenlik mekanizması kullanılmaz.
Sağlık hizmetlerinde ve özellikle hastanelerde siber güvenliğin dişi üzerinde hissetmek için Federal Bilgi Teknolojisi Ofisi (BSI), Fraunhofer Güvenli Bilgi Teknolojileri Enstitüsü (SIT) 2023'ü incelemeyle görevlendirdi. Görevin bir kısmı, yüksek kurulum numaraları nedeniyle seçilen AI temsilcisinin kesin bir güvenlik analiziydi. Şimdi yayınlanan nihai rapora göre, araştırmacılar müşteri ve sunucu arasındaki KIS bileşikleri ve üçüncü taraf sistemleri arasında şifreleme eksikliği ile bir araya geldi. Bu, iletim sırasında verileri görüntülemeyi veya değiştirmeyi mümkün kılar. Aynı zamanda idari müdahaleler ve güncellemelerle ilgili olduğundan, ilgili sistemler yetkisiz olarak değiştirilebilir.
Uzmanlar ayrıca yetersiz bir sertifika testi fark ettiler. Taşlama şifrelemesi TLS'nin kullanımı, ağ düzeyinde pasif saldırganlar tarafından okunmadan önce korur. Bununla birlikte, iletişim ve okumaya müdahale ve tüm bağlantıyı manipüle etmek test edilmeden mümkün kalmıştır. Araştırmacılar ayrıca, eski bir algoritmaya (RC4) sahip iki KIS erişim verisinden birinin şifrelendiğinden ve veritabanında saklandığından şikayet ediyorlar. Şifreler için kullanılan karma algoritmalar da artık en son teknolojiye karşılık gelmemektedir. KIS katkı maddeleri, veritabanına kapsamlı bir okuma ve yazma erişimine izin veren kısmen önemsiz şifrelerle de fark etti.
Gizliliğin mevcudiyeti
Buna ek olarak, test uzmanları yazılımın bütünlük korumasının eksikliğinden ve veritabanı sorguları için yetersiz hak yönetimi konusunda şikayetçidir. Saldırganlar da kolaylıklı erişim sağlayabilir. Bir KIS'te, yeterince test edilen zararlı JavaScript kodunun girişleri eklenebilir ve yürütülebilir (siteler arası komut dosyası). Yayınlanan sorunlar “bu ve diğer KIS'teki çeşitli potansiyel zayıflıklar için örnektir”. Üreticinin şirketleri kendilerini çok işbirlikçi olduklarını gösterecek ve çalışmanın yayınlanmasına kadar kalem kapılarının çoğunu mühürlemişlerdi. Bununla birlikte, genellikle “sağlık hizmetlerinde, sistemlerin kullanılabilirliğinin verilerin gizliliğine kıyasla genellikle önceliğe sahip olduğu” gösterilmiştir. Bu, hastanelerin genel güvenliği pahasına.
Yazarlar acilen eylemi tavsiye eder: Romanya'da mevcut bir fidye yazılımı saldırısı vakası, merkezi yapay zeka üzerinden veya merkezinde bir saldırı için ilk ipuçlarını göstermektedir. Bu 26 hastaneye kurban düştü. Daha önce, saldırganlar bir kliniğin Citrix erişiminde zayıf bir nokta kullandılar. Araştırmacılar, örneğin, FHIR (Hızlı Sağlık Hizmetleri Birlikte Çalışabilirlik Kaynakları) için HL7 daha fazla geliştirme gibi yeni modern standart değişim formatlarını kullanmayı önermektedir. Sonuçlara dayanarak, BSI bilgiyi uygulamak için eylem önerileri için kapsamlı bir taslak yayınladı. İlgilenen taraflar bu konuda Haziran sonuna kadar yorum yapabilirler.
(Asla)
Sağlık hizmetlerinde ve özellikle hastanelerde siber güvenliğin dişi üzerinde hissetmek için Federal Bilgi Teknolojisi Ofisi (BSI), Fraunhofer Güvenli Bilgi Teknolojileri Enstitüsü (SIT) 2023'ü incelemeyle görevlendirdi. Görevin bir kısmı, yüksek kurulum numaraları nedeniyle seçilen AI temsilcisinin kesin bir güvenlik analiziydi. Şimdi yayınlanan nihai rapora göre, araştırmacılar müşteri ve sunucu arasındaki KIS bileşikleri ve üçüncü taraf sistemleri arasında şifreleme eksikliği ile bir araya geldi. Bu, iletim sırasında verileri görüntülemeyi veya değiştirmeyi mümkün kılar. Aynı zamanda idari müdahaleler ve güncellemelerle ilgili olduğundan, ilgili sistemler yetkisiz olarak değiştirilebilir.
Uzmanlar ayrıca yetersiz bir sertifika testi fark ettiler. Taşlama şifrelemesi TLS'nin kullanımı, ağ düzeyinde pasif saldırganlar tarafından okunmadan önce korur. Bununla birlikte, iletişim ve okumaya müdahale ve tüm bağlantıyı manipüle etmek test edilmeden mümkün kalmıştır. Araştırmacılar ayrıca, eski bir algoritmaya (RC4) sahip iki KIS erişim verisinden birinin şifrelendiğinden ve veritabanında saklandığından şikayet ediyorlar. Şifreler için kullanılan karma algoritmalar da artık en son teknolojiye karşılık gelmemektedir. KIS katkı maddeleri, veritabanına kapsamlı bir okuma ve yazma erişimine izin veren kısmen önemsiz şifrelerle de fark etti.
Gizliliğin mevcudiyeti
Buna ek olarak, test uzmanları yazılımın bütünlük korumasının eksikliğinden ve veritabanı sorguları için yetersiz hak yönetimi konusunda şikayetçidir. Saldırganlar da kolaylıklı erişim sağlayabilir. Bir KIS'te, yeterince test edilen zararlı JavaScript kodunun girişleri eklenebilir ve yürütülebilir (siteler arası komut dosyası). Yayınlanan sorunlar “bu ve diğer KIS'teki çeşitli potansiyel zayıflıklar için örnektir”. Üreticinin şirketleri kendilerini çok işbirlikçi olduklarını gösterecek ve çalışmanın yayınlanmasına kadar kalem kapılarının çoğunu mühürlemişlerdi. Bununla birlikte, genellikle “sağlık hizmetlerinde, sistemlerin kullanılabilirliğinin verilerin gizliliğine kıyasla genellikle önceliğe sahip olduğu” gösterilmiştir. Bu, hastanelerin genel güvenliği pahasına.
Yazarlar acilen eylemi tavsiye eder: Romanya'da mevcut bir fidye yazılımı saldırısı vakası, merkezi yapay zeka üzerinden veya merkezinde bir saldırı için ilk ipuçlarını göstermektedir. Bu 26 hastaneye kurban düştü. Daha önce, saldırganlar bir kliniğin Citrix erişiminde zayıf bir nokta kullandılar. Araştırmacılar, örneğin, FHIR (Hızlı Sağlık Hizmetleri Birlikte Çalışabilirlik Kaynakları) için HL7 daha fazla geliştirme gibi yeni modern standart değişim formatlarını kullanmayı önermektedir. Sonuçlara dayanarak, BSI bilgiyi uygulamak için eylem önerileri için kapsamlı bir taslak yayınladı. İlgilenen taraflar bu konuda Haziran sonuna kadar yorum yapabilirler.
(Asla)