Healthcare Il nuovo vettore di attacco per truffatori e ladri di identità
Siamo sempre più esperti nel furto di identità online.
Non passano molti giorni senza aver sentito parlare di un'importante azienda che subisce una qualche forma di violazione dei dati; semplicemente non sempre sentiamo parlare della gravità, a meno che non implichi una notevole quantità di dati dei clienti. Allo stesso modo, trattiamo i nostri dati sanitari con uguale privacy. Contengono informazioni personali sensibili che potrebbero essere usate contro di noi nelle mani sbagliate.
Da tempo conosciamo e comprendiamo la necessità di privacy riguardo alle cartelle cliniche, e fortunatamente i nostri medici e infermieri hanno giurato di mantenere tale privacy. Nel mondo incentrato sulla carta di un tempo, l'accesso non autorizzato alle cartelle cliniche avverrebbe tramite un gioco di prestigio o un lavoro interno.
Ma ora l'industria medica globale è ora digitalizzata, e lo sono anche i nostri archivi. Ci sono enormi vantaggi nell'avere una cartella clinica digitalizzata, ma i dati personali nella linea di fuoco ne valgono la pena?
Furto di identità medica
Non c'è dubbio che il furto di identità medica è in aumento 5 Ragioni per le quali il furto di identità medica è in aumento 5 motivi per cui il furto di identità medica sta aumentando I truffatori vogliono i tuoi dati personali e le informazioni sul conto bancario - ma lo sapevi che anche le tue cartelle cliniche sono di interesse loro? Scopri cosa puoi fare al riguardo. Leggi di più . Scammer che hanno cercato tradizionalmente i dettagli del conto bancario e online 3 Suggerimenti per la prevenzione delle frodi online che è necessario conoscere nel 2014 3 Suggerimenti per la prevenzione delle frodi online che è necessario conoscere nel 2014 Ulteriori informazioni si rivolgono sempre più alle cartelle cliniche. Perché? Bene, per uno, sono pieni delle informazioni più personali relative a qualcosa che tutti teniamo caro: le nostre vite.
La tua cartella clinica è valida tutti dei tuoi dati personali: nome, indirizzo, data di nascita, numero di previdenza sociale (o equivalente) e, in alcuni casi, conterrà informazioni di fatturazione e dettagli della carta di credito o di debito. Questo ovviamente rende molto preziosa una cartella clinica - più preziosa del tuo conto in banca Ecco quanto potrebbe valere la tua identità sul Web oscuro Ecco quanto potrebbe valere la tua identità sul Web oscuro È scomodo pensare a te stesso come a una merce, ma tutti i tuoi dettagli personali, dal nome e indirizzo ai dettagli del conto bancario, valgono qualcosa per i criminali online. quanto vali? Leggi Maggiori dettagli (beh, a seconda del numero di zero nel tuo account!).
La facilità con cui gli hacker accedono alle cartelle cliniche li rende ancora più attraenti come target. Nonostante anni di conoscenza preliminare che le cartelle cliniche sarebbero state digitalizzate a un certo punto, molte strutture mediche non sono in alcun modo equipaggiate per affrontare la minaccia onnisciente della criminalità informatica. Non sorprende quindi che la percentuale di organizzazioni sanitarie statunitensi che segnalano potenziali attacchi sia passata dal 20% nel 2009 al 40% nel 2013. Solo nel 2015 abbiamo registrato un record ufficiale di 108,8 milioni di singoli record violati La FCC preserva la neutralità della rete, hacker Attack Health Insurer [Tech News Digest] La FCC preserva la neutralità della rete, hacker dell'attacco hacker [Tech News Digest] Le regole della neutralità della rete, l'inno soffre la battuta d'arresto della salute, BT acquista EE, i tweet su Google, Netflix atterra in Giappone e il più grande Super Bowl gli annunci pubblicitari vengono rifatti in LEGO. Maggiori informazioni su cinque diverse organizzazioni sanitarie; ogni organizzazione ha segnalato che il proprio server di rete era stato violato:
NB: La tabella sopra riporta le persone interessate in milioni.
Cosa potremmo aspettarci?
A parte l'ovvio problema della tua storia medica che cade in mani sconosciute, un altro spettro appare in lontananza. I recenti progressi nell'hardware medico sono a dir poco miracolosi, ma hanno una differenza significativa rispetto ai loro precursori: il loro status di rete. Molti dispositivi sono ora collegati alla rete dell'ospedale, consentendo agli hacker di accedere direttamente a determinati dispositivi.
In un rapporto davvero sorprendente intitolato "Previsioni 2016: la sicurezza informatica oscilla alla prevenzione'vediamo la previsione che il 2016 vedrà l'inizio delle attrezzature mediche influenzate dal ransomware. Il cybercrime non è collegato: il ruolo dei bitcoin in estorsione e riscatto Il cybercrime non è collegato: il ruolo dei bitcoin in riscatto ed estorsione Leggi di più .
Il rischio deriva da una mancanza di conoscenze di base che circonda la sicurezza della rete. Nel 2012, Scott Erven, a quel tempo responsabile della sicurezza delle informazioni per Essentia Health (ora direttore associato di Protoviti), è stato incaricato di valutare la sicurezza di una vasta catena di strutture sanitarie del Midwest. Tra l'elenco delle questioni sollevate, era chiaro che le strutture mediche utilizzavano ancora password di rete hardcoded come “Admin” o “1234,” corroborando rapporti precedenti e ICS-ALERT-13-164-01, in cui i ricercatori Billy Rios e Terry McCorkle di Cylance hanno riferito circa 300 dispositivi medici che utilizzano ancora password codificate.
Questi passaggi di autenticazione di base stanno creando enormi problemi di sicurezza che potrebbero essere facilmente evitati, o almeno rendere il compito più difficile per gli aggressori. Ecco come ti prendono in giro: il mondo oscuro dei kit di exploit Questo è il modo in cui ti prendono in giro: l'oscuro mondo di Exploit Kits Gli Scammer possono utilizzare suite di software per sfruttare le vulnerabilità e creare malware. Ma quali sono questi kit di exploit? Da dove vengono? E come possono essere fermati? Leggi di più . Nel migliore dei casi, assisteremo a un aumento delle estorsioni finanziarie.
Nel peggiore dei casi, le persone muoiono.
MEDJACK
TrapX, una società di cibersicurezza basata sull'inganno, ha identificato un'ampia ondata di attacchi alle strutture mediche, in gran parte indirizzati ai dispositivi medici ospedalieri. In tre ospedali separati, TrapX trovato “ampio compromesso di una varietà di dispositivi medici che includevano apparecchiature a raggi X, sistemi di archiviazione e archiviazione di immagini (PACS) e analizzatori di gas del sangue (BGA).”
Tuttavia, questo non è il limite del vettore di attacco MEDJACK. TrapX credi (iscrizione richiesta):
“ci sono molti altri dispositivi che presentano obiettivi per MEDJACK. Ciò include apparecchiature diagnostiche (scanner PET, scanner CT, macchine per la risonanza magnetica, ecc.), Attrezzature terapeutiche (pompe per infusione, laser medicali e macchine chirurgiche LASIK) e attrezzature di supporto vitale (macchine cuore-polmone, ventilatori medici, macchine per l'ossigenazione della membrana extracorporea e macchine per la dialisi) e molto altro.”
Il rapporto spiega che molti dei dispositivi medici sfruttati sono dispositivi di sistema chiusi, sistemi operativi obsoleti 7 modi in cui Windows 10 è più sicuro di Windows XP 7 modi Windows 10 è più sicuro di Windows XP Anche se non si Non mi piace Windows 10, in realtà dovresti essere migrato da Windows XP ormai. Vi mostriamo come il sistema operativo 13enne è ora pieno di problemi di sicurezza. Ulteriori informazioni come Windows 2000 o Windows XP. I sistemi operativi sono spesso modificati e pieni di falle nella sicurezza Ogni versione di Windows è interessata da questa vulnerabilità: cosa si può fare a riguardo. Ogni versione di Windows è interessata da questa vulnerabilità: cosa si può fare a riguardo. Cosa diresti se ti dicessimo che la tua versione di Windows è affetta da una vulnerabilità che risale al 1997? Sfortunatamente, questo è vero. Microsoft semplicemente non lo ha mai applicato. Il tuo turno! Leggi di più, presentando un'enorme vulnerabilità nella rete di qualsiasi ospedale. Nella maggior parte dei casi, lo staff medico che utilizza e distribuisce questi dispositivi non ha accesso ai meccanismi interni, il che significa che hanno completamente affidamento sui produttori per l'installazione aggiornata e resilienti muri di sicurezza - e al momento non sta succedendo.
Non è limitato a pochi ospedali, neanche. Con una varietà di produttori che forniscono enormi gamme di attrezzature alle strutture mediche in tutto il mondo, è difficile individuare esattamente dove sarà esposta la prossima vulnerabilità.
Ad esempio, quando la FDA ha rilasciato una raccomandazione ai produttori per rafforzare la sicurezza sulle apparecchiature mediche, il Dipartimento della Sicurezza Nazionale (DHS) ha rivelato le indagini in corso su 24 casi di sospetti difetti di cybersecurity, tra cui “una pompa per infusione di Hospira Inc. e dispositivi cardiaci impiantabili di Medtronic Inc. e St Jude Medical Inc.”
L'indagine del DHS continua.
Vendite di cartelle cliniche
Anche se non sono pericolosi per la vita come un apparecchio medico dirottato, le cartelle cliniche private vengono sempre più vendute a società di data mining, a volte insieme a codici postali per rendere i dati più utili e quindi più preziosi.
Tuttavia, una volta che i dati hanno lasciato la struttura medica, aumenta le possibilità che le tue informazioni cadano in mani nefande. Già nell'agosto 2013, erano in funzione ben 11 agenzie sanitarie o erano già in corso revisioni delle norme sulla raccolta dei dati, compreso il modo in cui avviene il processo di vendita dei dati e quali responsabilità dovrebbero essere implementate per le società di data mining. Tu? Quanto Google conosce veramente di te? Google non è un sostenitore della privacy degli utenti, ma potresti essere sorpreso di sapere quanto ne sanno. Leggi di più .
Marc Probst, chief information officer di Intermountain Healthcare, Salt Lake City, dichiara “L'unica ragione per acquistare quei dati è che possono fatturare in modo fraudolento” le rispettive cartelle cliniche nella speranza che qualcuno si lasci prendere dal panico e paghi. Questo uso fraudolento di documentazione medica (insieme con la documentazione medica rubata in primo luogo, la sicurezza lassista riscontrata in innumerevoli strutture e gli sforzi in atto per fornire una sicurezza informatica globale migliore all'intero settore sanitario) è uno dei tanti costi che vengono trasferiti direttamente a Cittadini americani attraverso il loro premio sanitario.
Puoi fermarlo?
Sfortunatamente, nel caso di cartelle cliniche digitalizzate gestite direttamente da un operatore sanitario, non possiamo fare molto.
Il tuo provider conserva i tuoi dati e, anche se richiedi una copia (che può essere relativamente costosa), è altamente improbabile che il tuo provider elimini i tuoi record per un capriccio. Chissà quando potresti essere ricoverato al pronto soccorso, solo per scoprire che non hanno informazioni mediche relative alla tua allergia alla penicillina.
Una misura proattiva consiste nell'impostare un sistema di allerta con DataLossDB.org, un sito Web di tipo catchall che riporta il maggior numero possibile di violazioni dei dati. Un'altra strategia di mitigazione potrebbe includere il monitoraggio del rapporto di credito, ma questo di solito comporta una tariffa mensile. Ciononostante, noterete sicuramente se la vostra valutazione ha preso un picchiata 6 Segnali di pericolo di furto di identità digitale che non dovreste ignorare 6 Segnali di pericolo di furto di identità digitale che non dovreste ignorare Il furto di identità non è un caso raro in questi giorni, eppure spesso cadiamo nella trappola di pensare che succederà sempre a "qualcun altro". Non ignorare i segnali di pericolo. Leggi di più, e potrebbe prenderlo prima che diventasse irrecuperabile. Se noti qualcosa di particolarmente nefasto e lo intercetti in tempo, puoi emettere un avviso di frode, bloccando eventuali nuove richieste di credito o gli account che vengono aperti a tuo nome per 90 giorni.
È difficile essere proattivi con la sicurezza delle cartelle cliniche come lo sei con i tuoi dati bancari, ma ciò non significa che devi sederti e aspettare.
Preoccupato per le frodi sanitarie? Hai avuto la tua cartella clinica rubata? O quali pratiche di sicurezza hai in atto? Facci sapere di seguito!
Crediti immagine: tenendo uno stetoscopio di nimon via Shutterstock, cartella clinica via Pixabay, Holding Heart via Pixabay, Gloved Hand via Freerange Stock
Scopri di più su: salute, furto d'identità, privacy online.