ヘルスケア：詐欺師とID泥棒のための新しい攻撃ベクトル

医療IDの盗難が増加していることは間違いありません。従来、銀行やオンラインアカウントの詳細を求めてきた詐欺師は、ますます医療記録に目を向けています。なんで？一つには、彼らは私たち全員が大切にしているもの、つまり私たちの生活に関連する最も個人的な情報でいっぱいです。

あなたの医療記録はすべてを保持します 個人情報：名前、住所、生年月日、社会保障番号（または同等のもの）、場合によっては、請求情報、クレジットカードまたはデビットカードの詳細が含まれます。これにより、明らかに医療記録が非常に価値のあるものになります。銀行口座の詳細よりも価値があります（アカウントのゼロの数によって異なります）。

ハッカーが医療記録に簡単にアクセスできるため、ハッカーはさらに魅力的な標的になります。医療記録はある時点でデジタル化されるという長年の知識にもかかわらず、多くの医療施設は、サイバー犯罪の全知的な脅威に対処するための設備が整っていません。したがって、潜在的な攻撃を報告している米国の医療機関の割合が2009年の20％から2013年には40％に上昇したのは当然のことです。2015年だけでも、5つの別々の医療機関で1億880万件の個人記録が侵害されたと公式に報告されています。各組織は、ネットワークサーバーが侵害されたと報告しました：

N.B： 上記の表は、影響を受けた個人の数百万人を示しています。

何を期待できますか？

あなたの病歴が未知の手に渡るという明らかな問題は別として、別の幽霊が大きく迫っています。医療用ハードウェアの最近の進歩は奇跡にほかなりませんが、その前身とは大きな違いが1つあります。それは、ネットワーク化されたステータスです。現在、多くのデバイスが病院ネットワークに接続されており、ハッカーは特定のデバイスに直接アクセスできます。

「Predictions2016：Cyber​​security Swings ToPrevention」というタイトルの本当に驚くべきレポートで 「2016年には、医療機器がランサムウェアの影響を受けるようになると予測されています。

リスクは、ネットワークセキュリティに関する基本的な知識の欠如に起因します。 2012年、当時EssentiaHealthの情報セキュリティ責任者であったScottErven（現在はProtovitiのアソシエイトディレクター）は、中西部の医療施設の大規模チェーンのセキュリティを評価する任務を負いました。提起された問題のリストの中で、医療施設が「admin」や「1234」などのハードコードされたネットワークパスワードをまだ使用していることは明らかであり、以前のレポートとICS-ALERT-13-164-01を裏付けています。 of Cylanceは、ハードコードされたパスワードをまだ使用していると約300の医療機器を報告しました。

これらの基本認証手順は、簡単に回避できる、または少なくとも攻撃者にとってタスクを困難にする可能性のある大規模なセキュリティ問題を引き起こしています。せいぜい、金銭的な恐喝の増加が見られるでしょう。

最悪の場合、人々は死にます。

MEDJACK

欺瞞に基づくサイバーセキュリティ企業であるTrapXは、主に病院の医療機器を標的とした、医療施設に対する広範な攻撃の波を特定しました。 TrapXは、3つの別々の病院で、「X線装置、画像アーカイブおよび通信システム（PACS）、血液ガス分析装置（BGA）などのさまざまな医療機器の広範囲にわたる侵害」を発見しました。

ただし、これはMEDJACK攻撃ベクトルの制限ではありません。 TrapXは信じています（サインアップが必要です）：

「MEDJACKのターゲットを提示するデバイスは他にもたくさんあります。これには、診断機器（PETスキャナー、CTスキャナー、MRIマシンなど）、治療機器（輸液ポンプ、医療用レーザー、LASIK手術機）、生命維持装置（心臓）が含まれます。 -肺装置、医療用人工呼吸器、体外式膜型人工肺、透析装置など）など。」

レポートはさらに、悪用されている医療機器の多くがクローズドシステムデバイスであり、Windows2000やWindowsXPなどの古いオペレーティングシステムを実行していることを説明しています。オペレーティングシステムは頻繁に変更され、セキュリティホールでいっぱいになり、病院のネットワークに大きな脆弱性をもたらします。ほとんどの場合、これらのデバイスを使用および展開する医療スタッフは、内部の仕組みにアクセスできません。つまり、最新のおよびをインストールするためにメーカーに完全に依存しています。 弾力性のあるセキュリティウォール–そしてそれは現在起こっていません。

いくつかの病院にも限定されていません。さまざまなメーカーが世界中の医療施設に膨大な範囲の機器を供給しているため、次の脆弱性がどこにさらされるかを正確に特定することは困難です。

たとえば、FDAが医療機器のセキュリティを強化するようメーカーに勧告を発表したとき、国土安全保障省（DHS）は、「ホスピーラ社の輸液ポンプと埋め込み型心臓を含む、サイバーセキュリティの欠陥が疑われる24件の調査を継続的に行っていることを明らかにしました。 MedtronicInc.およびStJudeMedicalInc.のデバイス」

DHSの調査は継続されます。

医療記録の販売

ハイジャックされた医療機器ほど生命を脅かすものではありませんが、個人の医療記録がデータマイニング会社に販売されることが増えています。データをより有用にし、したがってより価値のあるものにするために、郵便番号とともに販売されることもあります。

ただし、データが医療施設を離れると、情報が悪意のある人の手に渡る可能性が高くなります。 2013年8月には、データ販売プロセスの実施方法やデータマイニング会社にどのような責任を負わなければならないかなど、11もの医療機関がデータ収集ポリシーのレビューを開始またはすでに進行中です。

ソルトレイクシティのIntermountainHealthcareの最高情報責任者であるMarcProbstは、誰かがパニックに陥り、支払いをすることを期待して、それぞれの医療記録を「そのデータを購入する唯一の理由は、不正に請求できるようにするためです」と述べています。この医療記録の不正使用（そもそも医療記録が盗まれていること、無数の施設全体でセキュリティが緩いこと、医療業界全体により良い全体的なサイバーセキュリティを提供するための継続的な取り組みに加えて）は、直接手渡される多くのコストの1つです。医療保険料によるアメリカ市民。

止められますか？

残念ながら、医療提供者が直接保持しているデジタル化された医療記録の場合、これについては多くのことを行うことができません。

プロバイダーはデータを保持しており、コピーを要求した場合でも（比較的高価になる可能性があります）、プロバイダーが気まぐれでレコードを削除する可能性はほとんどありません。あなたがいつERに駆けつけられるかを誰が知っているのか、彼らがあなたのペニシリンアレルギーに関連する医療情報を持っていないことに気付くだけです。

予防策の1つは、DataLossDB.orgを使用してアラートシステムを設定することです。これは、可能な限り多くのデータ侵害を詳述するキャッチオールWebサイトです。別の緩和戦略には、クレジットレポートの監視が含まれる場合がありますが、これには通常、月額料金が発生します。それにもかかわらず、あなたは確かにあなたの評価が急降下したかどうかに気付くでしょう、そしてそれが取り返しのつかないものになる前にそれを捕まえるかもしれません。特に悪質なことに気づき、間に合うようにそれを見つけた場合は、詐欺の警告を発して、新しいクレジットリクエストや自分の名前で開設されたアカウントを90日間ブロックすることができます。

銀行の詳細と同じように医療記録のセキュリティに積極的に取り組むことは困難ですが、それはあなたが腰を落ち着けて待つ必要があるという意味ではありません。

医療詐欺が心配ですか？カルテを盗まれたことはありますか？または、どのようなセキュリティ慣行がありますか？以下にお知らせください！