Digitális kihívások az egészségügyben: A zsarolóvírusok és más
2017.04.18
Biztonsági problémák és javasolt megoldások az egészségügy területén
Zsarolóvírusok – csak a jéghegy csúcsa
A zsarólóvírusokra sokan úgy gondolnak, mint egy önálló, kellemetlen jelenségre, azonban ezek a vírusok egy sokkal nagyobb probléma tünetei. Sok felhasználó vagy cég úgy gondolja, hogy a probléma egyszerűen megoldható, csak vissza kell állítani az adatokat a biztonsági mentésből.
Azonban a valóságban a kép sokkal bonyolultabb. A visszaállítás költséges és kieséseket eredményezhet, illetve sok szervezet vagy otthoni felhasználó egyáltalán nem készít biztonsági másolatokat, ha mégis, akkor sok esetben a vírus ezeket is kódolja. Az egészségügyben az adatokhoz való azonnali hozzáférés élet-halál kérdése lehet. A kiberbűnözők tisztában vannak ezzel, és ezért célozzák az egészségügyi szervezeteket. Néhány egyszerű, de erőteljes biztonsági intézkedéssel azonban csökkenthető a kockázat és a rombolás mértéke.
- Készítsünk rendszeresen biztonsági mentéseket adatainkról.
- Ha a kártevő már bejutott a rendszerbe, a hálózat leválasztása csökkentheti a vírusok terjedését, hatását.
- A kéretlen és adathalász levelek szűrése, valamint a bűnözők által leginkább használt fájltípusok blokkolása csökkenti a kártevők eljutását a felhasználókhoz, így alacsonyabb lesz a kockázat is.
- Folyamatosa oktassuk a munkavállalókat, mutassuk be a legújabb trendeket, és hogy miként védekezhetnek ellene.
- Bátorítsuk alkalmazottainkat, hogy jelentsék a gyanús leveleket – ez segít növelni a szűrés hatékonyságát is.
- Használjunk antivírus szoftvereket az átjárókon (gateway), hálózatokban és a végpontokon.
- Alkalmazunk tűzfalakat és behatolás megelőző rendszereket az ismeretlen vagy gyanús hálózati forgalom kiszűrésére.
Egészségügyi és fitnesz eszközök
Az egészségügyben egyre gyakoribb a hálózatba kötött orvosi és fitnesz eszközök használata, amelyek a legtöbb esetben érzékeny információkat tartalmaznak, azonban ezek biztonságára mégis sokszor csak utólag gondolunk. Ahogy a zsarolóvírusokkal kapcsolatban láthattuk, komoly problémákat okozhat, ha fontos adatokat tárolunk megfelelő védelem nélkül. Bár még viszonylag újnak számítanak ezek a technológia megoldások, azonban itt az ideje, hogy nagyobb hangsúlyt fektessünk a védelemre.
Az orvosi hálózatokra kapcsolt eszközök általában nagy és drága gépek, amelyeket sokszor irányítanak régi, elavult operációs rendszerekkel (pl. Windows XP). Ezek a rendszerek könnyű hozzáférést engednek a teljes korházi hálózathoz, ahol különféle bizalmas orvosi információkat tárolnak, amelyek nagyon értékesek a bűnözők szemében, sokszor tízszer annyit érnek számukra, mint az ellopott bankkártya adatok. A pénzügyi vonatkozás mellett fontos megemlíteni, hogy egy személyes használatú orvosi eszköz esetében (pl. inzulinpumpa) életet is menthet, ha folyamatosan frissítjük, és biztonságban tartjuk a támadóktól.
Az otthon használt egészségügyi eszközök többségében kisméretű berendezések, amelyeket akár a testen vagy a testben is viselhetünk. Ezek általában saját, vagy Linux-alapú operációs rendszert használnak, azonban a kórházi eszközökhöz hasonlóan a frissítésük ritka. Ezek az eszközök általában nem tartalmaznak bankkártya adatokat, azonban más fontos információkat igen: e-mail címeket, felhasználóneveket és jelszavakat, GSP adatokat, beleértve otthonunk vagy munkahelyünk címét. Továbbá az eszközök azt is megmutathatják, hogy mikor alszunk, vagy tartózkodunk házon kívül.
Az ESET szakemberei szerint az orvosi és a fitnesz eszközök gyártóinak megvan a lehetőségük arra, hogy fejlesztéseikkel a biztonságosabb használatot segítsék, ehhez azonban a gyártóknak érdemes megfontolniuk néhány alapvető dolgot az eszközök biztonságosabbá tételéhez:
- Adatvédelemre tervezve – vegyék figyelembe a Privacy by Design alapelveit.
- Titkosítás – Védjék adatainkat erős titkosítással, ha megosztjuk, vagy elküldjük külső félnek (e-mail, webes megosztás, fájlküldés, üzenetküldő alkalmazás).
- Az adattárolási lehetőségek tisztázása – tegyék lehetővé, hogy a felhasználók lokálisan is tárolhassák adataikat, ne csak a felhőben.
- Fiókhozzáférés hitelesítéssel – A felhasználók megfelelő azonosítása, különösen az adatok megosztása, mozgatása vagy módosítása előtt.
- Meghibásodás-biztos környezet – Történhetnek hibák és leállások, azonban ilyenkor meg kell oldani a kritikus funkciók fenntartását, és nem szabad veszélyeztetni a felhasználót egy hiba megjelenésekor.
- A kódok rosszindulatú felhasználásának lehetősége – Egy legitim kódot is lehet kényszeríteni arra, hogy más, azonosítatlan kódokat futtasson le. Ha a gyártók számolnak ezzel a lehetőséggel, akkor lépéseket tehetnek az eszköz rosszindulatú felhasználása ellen.
- Fel kell készülni a sérülékenységekre – Felelős közzétételi szabályzat készítése és közzététele.
- Fel kell készülni az adatvesztésekre – Reagálási terv készítése adatszivárgási incidensek esetére.
- Fel kell készülni a kormányzati ellenőrzésre – A nemzetközi szervezetek folyamatosan szemmel tartják az orvosi eszközöket, így a változtatások segítenek elkerülni a jogi problémákat és a pénzügyi büntetéseket.
Az ESET szakemberei úgy vélik, hogy az egészségügyi ipar biztonsága a figyelem középpontjába kerülhet majd a közeljövőben. A már ismert problémák ellenére komoly lehetőség kínálkozik arra, hogy a jelentős fejlesztések és átalakítások pozitív példát mutassanak más iparágak számára is, ahogy az Internet of Things egyre inkább beférkőzik otthonainkba és munkahelyeinkre.