ネットワークセキュリティー
 Computer >> コンピューター >  >> ネットワーキング >> ネットワークセキュリティー

ヘルスケア:詐欺師とID泥棒のための新しい攻撃ベクトル

私たちは皆、オンラインでの個人情報の盗難にますます精通しています。

ある種のデータ侵害に苦しんでいる大企業の話を聞かずに過ぎ去る日はそれほど多くありません。かなりの量の顧客データが含まれていない限り、重大度について常に耳にするわけではありません。同様に、私たちはヘルスケアの記録を平等なプライバシーで扱います。これらには、悪意のあるユーザーに悪用される可能性のある機密の個人情報が含まれています。

私たちは長い間、医療記録に関するプライバシーの必要性を認識し、理解してきました。幸いなことに、医師と看護師はそのプライバシーを守ることを誓っています。紙を駆使した昔の世界では、医療記録への不正アクセスは、手先の早業または内部の仕事を介して行われます。

しかし今、世界の医療業界はデジタル化されており、私たちの記録もデジタル化されています。デジタル化された医療記録を持つことには大きな利点がありますが、個人データをその価値のあるファイアラインに置くことは価値がありますか?

医療IDの盗難

医療IDの盗難が増加していることは間違いありません。従来、銀行やオンラインアカウントの詳細を求めてきた詐欺師は、ますます医療記録に目を向けています。なんで?一つには、彼らは私たち全員が大切にしているもの、つまり私たちの生活に関連する最も個人的な情報でいっぱいです。

ヘルスケア:詐欺師とID泥棒のための新しい攻撃ベクトル

あなたの医療記録はすべてを保持します 個人情報:名前、住所、生年月日、社会保障番号(または同等のもの)、場合によっては、請求情報、クレジットカードまたはデビットカードの詳細が含まれます。これにより、明らかに医療記録が非常に価値のあるものになります。銀行口座の詳細よりも価値があります(アカウントのゼロの数によって異なります)。

ハッカーが医療記録に簡単にアクセスできるため、ハッカーはさらに魅力的な標的になります。医療記録はある時点でデジタル化されるという長年の知識にもかかわらず、多くの医療施設は、サイバー犯罪の全知的な脅威に対処するための設備が整っていません。したがって、潜在的な攻撃を報告している米国の医療機関の割合が2009年の20%から2013年には40%に上昇したのは当然のことです。2015年だけでも、5つの別々の医療機関で1億880万件の個人記録が侵害されたと公式に報告されています。各組織は、ネットワークサーバーが侵害されたと報告しました:

ヘルスケア:詐欺師とID泥棒のための新しい攻撃ベクトル

N.B: 上記の表は、影響を受けた個人の数百万人を示しています。

何を期待できますか?

あなたの病歴が未知の手に渡るという明らかな問題は別として、別の幽霊が大きく迫っています。医療用ハードウェアの最近の進歩は奇跡にほかなりませんが、その前身とは大きな違いが1つあります。それは、ネットワーク化されたステータスです。現在、多くのデバイスが病院ネットワークに接続されており、ハッカーは特定のデバイスに直接アクセスできます。

Predictions2016:Cyber​​security Swings ToPrevention」というタイトルの本当に驚くべきレポートで 「2016年には、医療機器がランサムウェアの影響を受けるようになると予測されています。

ヘルスケア:詐欺師とID泥棒のための新しい攻撃ベクトル

リスクは、ネットワークセキュリティに関する基本的な知識の欠如に起因します。 2012年、当時EssentiaHealthの情報セキュリティ責任者であったScottErven(現在はProtovitiのアソシエイトディレクター)は、中西部の医療施設の大規模チェーンのセキュリティを評価する任務を負いました。提起された問題のリストの中で、医療施設が「admin」や「1234」などのハードコードされたネットワークパスワードをまだ使用していることは明らかであり、以前のレポートとICS-ALERT-13-164-01を裏付けています。 of Cylanceは、ハードコードされたパスワードをまだ使用していると約300の医療機器を報告しました。

これらの基本認証手順は、簡単に回避できる、または少なくとも攻撃者にとってタスクを困難にする可能性のある大規模なセキュリティ問題を引き起こしています。せいぜい、金銭的な恐喝の増加が見られるでしょう。

最悪の場合、人々は死にます。

MEDJACK

欺瞞に基づくサイバーセキュリティ企業であるTrapXは、主に病院の医療機器を標的とした、医療施設に対する広範な攻撃の波を特定しました。 TrapXは、3つの別々の病院で、「X線装置、画像アーカイブおよび通信システム(PACS)、血液ガス分析装置(BGA)などのさまざまな医療機器の広範囲にわたる侵害」を発見しました。

ただし、これはMEDJACK攻撃ベクトルの制限ではありません。 TrapXは信じています(サインアップが必要です):

「MEDJACKのターゲットを提示するデバイスは他にもたくさんあります。これには、診断機器(PETスキャナー、CTスキャナー、MRIマシンなど)、治療機器(輸液ポンプ、医療用レーザー、LASIK手術機)、生命維持装置(心臓)が含まれます。 -肺装置、医療用人工呼吸器、体外式膜型人工肺、透析装置など)など。」

ヘルスケア:詐欺師とID泥棒のための新しい攻撃ベクトル

レポートはさらに、悪用されている医療機器の多くがクローズドシステムデバイスであり、Windows2000やWindowsXPなどの古いオペレーティングシステムを実行していることを説明しています。オペレーティングシステムは頻繁に変更され、セキュリティホールでいっぱいになり、病院のネットワークに大きな脆弱性をもたらします。ほとんどの場合、これらのデバイスを使用および展開する医療スタッフは、内部の仕組みにアクセスできません。つまり、最新のおよびをインストールするためにメーカーに完全に依存しています。 弾力性のあるセキュリティウォール–そしてそれは現在起こっていません。

いくつかの病院にも限定されていません。さまざまなメーカーが世界中の医療施設に膨大な範囲の機器を供給しているため、次の脆弱性がどこにさらされるかを正確に特定することは困難です。

たとえば、FDAが医療機器のセキュリティを強化するようメーカーに勧告を発表したとき、国土安全保障省(DHS)は、「ホスピーラ社の輸液ポンプと埋め込み型心臓を含む、サイバーセキュリティの欠陥が疑われる24件の調査を継続的に行っていることを明らかにしました。 MedtronicInc.およびStJudeMedicalInc.のデバイス」

DHSの調査は継続されます。

医療記録の販売

ハイジャックされた医療機器ほど生命を脅かすものではありませんが、個人の医療記録がデータマイニング会社に販売されることが増えています。データをより有用にし、したがってより価値のあるものにするために、郵便番号とともに販売されることもあります。

ただし、データが医療施設を離れると、情報が悪意のある人の手に渡る可能性が高くなります。 2013年8月には、データ販売プロセスの実施方法やデータマイニング会社にどのような責任を負わなければならないかなど、11もの医療機関がデータ収集ポリシーのレビューを開始またはすでに進行中です。

ソルトレイクシティのIntermountainHealthcareの最高情報責任者であるMarcProbstは、誰かがパニックに陥り、支払いをすることを期待して、それぞれの医療記録を「そのデータを購入する唯一の理由は、不正に請求できるようにするためです」と述べています。この医療記録の不正使用(そもそも医療記録が盗まれていること、無数の施設全体でセキュリティが緩いこと、医療業界全体により良い全体的なサイバーセキュリティを提供するための継続的な取り組みに加えて)は、直接手渡される多くのコストの1つです。医療保険料によるアメリカ市民。

止められますか?

残念ながら、医療提供者が直接保持しているデジタル化された医療記録の場合、これについては多くのことを行うことができません。

プロバイダーはデータを保持しており、コピーを要求した場合でも(比較的高価になる可能性があります)、プロバイダーが気まぐれでレコードを削除する可能性はほとんどありません。あなたがいつERに駆けつけられるかを誰が知っているのか、彼らがあなたのペニシリンアレルギーに関連する医療情報を持っていないことに気付くだけです。

予防策の1つは、DataLossDB.orgを使用してアラートシステムを設定することです。これは、可能な限り多くのデータ侵害を詳述するキャッチオールWebサイトです。別の緩和戦略には、クレジットレポートの監視が含まれる場合がありますが、これには通常、月額料金が発生します。それにもかかわらず、あなたは確かにあなたの評価が急降下したかどうかに気付くでしょう、そしてそれが取り返しのつかないものになる前にそれを捕まえるかもしれません。特に悪質なことに気づき、間に合うようにそれを見つけた場合は、詐欺の警告を発して、新しいクレジットリクエストや自分の名前で開設されたアカウントを90日間ブロックすることができます。

銀行の詳細と同じように医療記録のセキュリティに積極的に取り組むことは困難ですが、それはあなたが腰を落ち着けて待つ必要があるという意味ではありません。

医療詐欺が心配ですか?カルテを盗まれたことはありますか?または、どのようなセキュリティ慣行がありますか?以下にお知らせください!


  1. まったく新しい Fitbit Versa を待つべき 6 つの理由

    Fitbit Versa のカウントダウンがもうすぐ終わります! 16日から 2018 年 4 月には、この最新バージョンの Fitbit フィットネス スマートウォッチを Amazon から購入できるようになります (199.99 ドル)。予約注文はすでに開始されており、Fitbit は幸運な方への時計の出荷を徐々に開始しています。 したがって、このフィットネスに焦点を当てたスマートウォッチを手に入れようと計画しているなら、待つのがより難しく、確実にそれだけの価値がある理由がいくつかあります! Fitbit Versa は確かに Apple Watch に真剣に取り組んでいます。私た

  2. SAS - データ分析の台頭する新技術

    データは情報と知識の融合であり、抽出され、洗練され、役立つ貴重なリソースとは異なります。 今日、データは全世界をつなぐ唯一のものです。私たちが知っているように、データは信じられないほど急速に増加しています。この増加するデータを保存して操作するために、膨大な数の研究者や技術の専門家が、効果的なデータ管理のソリューションを見つけることにすでに取り組んでいます。 そして、これこそまさに、SAS がデータ分析のエースとなり、私たちが知っているこの分野に革命を起こす可能性がある場所です。 SAS とは? ソース:sas SASは「Statistical Analysis System」の略