stringtranslate.com

Secuestro de dispositivos médicos

Un secuestro de dispositivo médico (también llamado medjack ) es un tipo de ciberataque . La debilidad a la que se dirigen son los dispositivos médicos de un hospital. Esto fue cubierto extensamente en la prensa en 2015 y 2016. [1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11]

El secuestro de dispositivos médicos recibió atención adicional en 2017. Esto se debió tanto a un aumento en los ataques identificados a nivel mundial como a las investigaciones publicadas a principios de año. [12] [13] [14] [15] [16] Estos ataques ponen en peligro a los pacientes al permitir que los piratas informáticos alteren la funcionalidad de dispositivos críticos como implantes , exponiendo el historial médico del paciente y potencialmente otorgando acceso a la infraestructura de prescripción de muchas instituciones. por actividades ilícitas . [17] MEDJACK.3 parece tener una sofisticación adicional y está diseñado para no revelarse mientras busca sistemas operativos más antiguos y vulnerables que sólo se encuentran integrados en dispositivos médicos. Además, tiene la capacidad de ocultarse de sandboxes y otras herramientas de defensa hasta que se encuentre en un entorno seguro (sin máquinas virtuales ).

Hubo una considerable discusión y debate sobre este tema en el evento RSA 2017 durante una sesión especial sobre MEDJACK.3. Siguió un debate entre varios proveedores de dispositivos médicos, ejecutivos de hospitales en la audiencia y algunos de los proveedores sobre la responsabilidad financiera de remediar la enorme base instalada de equipos de dispositivos médicos vulnerables. [18] Además, a pesar de esta discusión, la guía de la FDA, aunque bien intencionada, puede no ser lo suficientemente lejos para remediar el problema. Es posible que sea necesaria una legislación obligatoria como parte de una nueva política nacional de seguridad cibernética para abordar la amenaza del secuestro de dispositivos médicos, otras herramientas de ataque sofisticadas que se utilizan en los hospitales y las nuevas variantes de ransomware que parecen estar dirigidas a los hospitales.

Descripción general

En tal ciberataque, el atacante coloca malware dentro de las redes a través de una variedad de métodos (sitio web cargado de malware, correo electrónico dirigido, memoria USB infectada, acceso de ingeniería social, etc.) y luego el malware se propaga dentro de la red. La mayoría de las veces, las ciberdefensas existentes eliminan las herramientas del atacante de los servicios estándar y las estaciones de trabajo de TI (puntos finales de TI), pero el software de ciberdefensa no puede acceder a los procesadores integrados dentro de los dispositivos médicos. La mayoría de los sistemas operativos integrados en dispositivos médicos se ejecutan en Microsoft Windows 7 y Windows XP. La seguridad en estos sistemas operativos ya no es compatible. Por lo tanto, son objetivos relativamente fáciles para establecer herramientas de ataque. Dentro de estos dispositivos médicos, el ciberatacante encuentra ahora un puerto seguro en el que establecer una puerta trasera (comando y control). Dado que los dispositivos médicos están certificados por la FDA, el personal del hospital y del equipo de ciberseguridad no puede acceder al software interno sin incurrir en responsabilidad legal, afectar el funcionamiento del dispositivo o violar la certificación. Dado este acceso abierto, una vez que se penetran los dispositivos médicos, el atacante es libre de moverse lateralmente para descubrir recursos específicos, como datos de pacientes, que luego se identifican y extraen silenciosamente.

El crimen organizado ataca las redes de atención médica para acceder y robar los registros de los pacientes.

Debido a la gran amplitud de interconexión entre dispositivos médicos y redes hospitalarias, existen preocupaciones de seguridad porque los equipos médicos generalmente no se consideran para escaneos de descubrimiento de rutina dentro del contexto de TI. Las direcciones IP que conectan estos dispositivos a la red del hospital pueden carecer de los parches de software necesarios y esto expone tanto a la red como a los dispositivos a una gran cantidad de vulnerabilidades. [19]

Dispositivos impactados

Prácticamente cualquier dispositivo médico puede verse afectado por este ataque. En uno de los primeros ejemplos documentados, las pruebas identificaron herramientas de malware en un analizador de gases en sangre, un sistema de imágenes por resonancia magnética (MRI), una tomografía computarizada (CT) y máquinas de rayos X. En 2016, estuvieron disponibles estudios de casos que mostraban la presencia de atacantes también en los sistemas centralizados de imágenes PACS, que son vitales e importantes para las operaciones hospitalarias. En agosto de 2011, representantes de IBM demostraron cómo se puede utilizar un dispositivo USB infectado para identificar los números de serie de dispositivos dentro de un rango cercano y facilitar inyecciones de dosis fatales a pacientes con una bomba de insulina en la conferencia anual BlackHat. [20]

Instituciones impactadas

Este ataque se centra principalmente en los 6.000 hospitales más grandes del mundo. Los datos de atención médica tienen el valor más alto de todos los datos de identidad robados y, dada la debilidad de la infraestructura de seguridad dentro de los hospitales, esto crea un objetivo accesible y muy valioso para los ladrones cibernéticos. Además de los hospitales, esto puede afectar a los grandes consultorios médicos, como las organizaciones de atención responsable (ACO) y las asociaciones de médicos independientes (IPA), los centros de enfermería especializada (SNF) tanto para cuidados agudos como a largo plazo, centros quirúrgicos y laboratorios de diagnóstico.

Instancias

Hay muchos informes de hospitales y organizaciones hospitalarias que han sido pirateados, incluidos ataques de ransomware , [21] [22] [23] [24] exploits de Windows XP , [25] [26] virus, [27] [28] [29] y violaciones de datos confidenciales almacenados en servidores hospitalarios. [30] [22] [31] [32]

Sistemas de salud comunitarios, junio de 2014

En una presentación oficial ante la Comisión de Bolsa y Valores de los Estados Unidos , Community Health Systems declaró que su red de 206 hospitales en 28 estados fue objetivo de un ciberataque entre abril y junio de 2014. [33] Los datos violados incluían información personal confidencial de 4,5 millones de pacientes, incluidos los números de seguridad social. El FBI determinó que los ataques fueron facilitados por un grupo en China [34] y emitió una amplia advertencia a la industria, aconsejando a las empresas que fortalecieran sus sistemas de red y siguieran protocolos legales para ayudar al FBI a frenar futuros ataques. [35]

Medtronic, marzo de 2019

En 2019, la FDA presentó una advertencia oficial sobre vulnerabilidades de seguridad en dispositivos producidos por Medtronic , desde bombas de insulina hasta varios modelos de implantes cardíacos . [36] La agencia concluyó que CareLink, el mecanismo principal utilizado para las actualizaciones de software, además de monitorear a los pacientes y transferir datos durante la implantación y las visitas de seguimiento, no poseía un protocolo de seguridad satisfactorio para evitar que posibles piratas informáticos obtuvieran acceso a estos dispositivos. La FDA recomendó que los proveedores de atención médica restrinjan el acceso al software a las instalaciones establecidas y al mismo tiempo unifiquen la infraestructura digital para mantener el control total durante todo el proceso. [36]

Alcance

Varias evaluaciones informales han estimado que el secuestro de dispositivos médicos afecta actualmente a la mayoría de los hospitales de todo el mundo y permanece sin ser detectado en la mayoría de ellos. Las tecnologías necesarias para detectar el secuestro de dispositivos médicos y el movimiento lateral de los atacantes desde el mando y control dentro de los dispositivos médicos objetivo no están instaladas en la gran mayoría de los hospitales en febrero de 2017. Una estadística indicaría que en un hospital con 500 camas , hay aproximadamente quince dispositivos médicos (normalmente conectados a Internet de las cosas (IoT)) por cama. [37] Esto es además de los sistemas de administración centralizada, los laboratorios de diagnóstico del hospital que utilizaban dispositivos médicos, sistemas EMR/EHR y centros de CT/MRI/rayos X dentro del hospital.

Detección y remediación

Estos ataques son muy difíciles de detectar y aún más difíciles de remediar. La tecnología de engaño (la evolución y automatización de las redes honeypot o honey-grid) puede atrapar o atraer a los atacantes mientras se mueven lateralmente dentro de las redes. Por lo general, el fabricante debe recargar todo el software de los dispositivos médicos. El personal de seguridad del hospital no está equipado ni puede acceder al interior de estos dispositivos aprobados por la FDA. Pueden reinfectarse muy rápidamente, ya que sólo se necesita un dispositivo médico para volver a infectar potencialmente al resto en el hospital.

El crimen organizado ataca las redes de atención médica para acceder y robar los registros de los pacientes. Esto plantea un riesgo significativo para los datos de los pacientes, como la información de la tarjeta de crédito y otra información de salud protegida. Debido a la gran amplitud de la interconexión entre los dispositivos médicos y las redes hospitalarias, existen preocupaciones de seguridad porque los equipos médicos generalmente no se consideran para escaneos de descubrimiento de rutina dentro del contexto de TI (ciberseguridad). Las direcciones IP que conectan estos dispositivos a la red del hospital pueden carecer de los parches de software necesarios y esto expone tanto a la red como a los dispositivos a una gran cantidad de vulnerabilidades. [38]

Contramedidas

El 28 de diciembre de 2016, la Administración de Alimentos y Medicamentos de EE. UU. publicó sus recomendaciones, que no son legalmente ejecutables, sobre cómo los fabricantes de dispositivos médicos deben mantener la seguridad de los dispositivos conectados a Internet. [39] [40] La Oficina de Responsabilidad Gubernamental de los Estados Unidos estudió el tema y concluyó que la FDA debe ser más proactiva a la hora de minimizar las fallas de seguridad guiando a los fabricantes con recomendaciones de diseño específicas en lugar de centrarse exclusivamente en proteger las redes que se utilizan para recolectar y transferir. datos entre dispositivos médicos. [41] La siguiente tabla proporcionada en el informe [41] destaca los aspectos de diseño de los implantes médicos y cómo afectan la seguridad general del dispositivo en cuestión.

Ver también

Referencias

  1. ^ "Dispositivos médicos utilizados como punto de pivote en ataques a hospitales: informe - SecurityWeek.Com".
  2. ^ Ragan, Steve (4 de junio de 2015). "Los atacantes apuntan a dispositivos médicos para eludir la seguridad del hospital".
  3. ^ "Los datos médicos, el santo grial de los ciberdelincuentes, ahora objetivo de espionaje". Reuters . 5 de junio de 2017.
  4. ^ "'La táctica MEDJACK permite a los ciberdelincuentes ingresar a las redes de atención médica sin ser detectados ". 4 de junio de 2015.
  5. ^ "MEDJACK: piratas informáticos secuestran dispositivos médicos para crear puertas traseras en las redes hospitalarias".
  6. ^ "Los hospitales pueden protegerse contra la filtración de datos utilizando tecnologías de engaño - Electronic Health Reporter".
  7. ^ "Cifrar registros médicos es vital para la seguridad del paciente: tercera certeza".
  8. ^ "Medjacking: ¿el riesgo sanitario más reciente?". 24 de septiembre de 2015.
  9. ^ "Epidemia: investigadores encuentran miles de sistemas médicos expuestos a piratas informáticos". 29 de septiembre de 2015.
  10. ^ "Los dispositivos médicos son un objetivo para los piratas informáticos en línea: JD Supra".
  11. ^ Hackear la TI sanitaria en 2016
  12. ^ "Los dispositivos médicos son la próxima pesadilla de seguridad - WIRED". Cableado .
  13. ^ "Cuatro amenazas de ciberseguridad con las que todo administrador de alto nivel de un hospital debería estar familiarizado en 2017".
  14. ^ "MEDJACK.3 representa una amenaza avanzada para los dispositivos hospitalarios". 16 de febrero de 2017.
  15. ^ "El acechador de su máquina de resonancia magnética quiere dinero, no su vida: Archer Security Group". 16 de febrero de 2017.
  16. ^ "La empresa de ciberseguridad de San Mateo descubre malware en dispositivos médicos". 16 de febrero de 2017.
  17. ^ ProQuest1799648673 ​
  18. ^ "Los dispositivos médicos conectados provocan un debate en la sesión de la Conferencia RSA".
  19. ^ Martínez, Jon B. (2018). "Seguridad de dispositivos médicos en la era de IoT". 2018 Novena Conferencia Anual de Computación Ubicua, Electrónica y Comunicaciones Móviles del IEEE (UEMCON) . págs. 128-134. doi :10.1109/UEMCON.2018.8796531. ISBN 978-1-5386-7693-6. Consultado el 31 de enero de 2024 .
  20. ^ Hei X., Du X. (2013) Conclusión y direcciones futuras. En: Seguridad para dispositivos médicos implantables inalámbricos. SpringerBriefs en informática. Springer, Nueva York, Nueva York
  21. ^ Leetaru, Kalev. "Hackear hospitales y tomar rehenes: ciberseguridad en 2016". Forbes . Consultado el 29 de diciembre de 2016 .
  22. ^ ab "Cyber-Angriffe: Krankenhäuser rücken ins Visier der Hacker". Wirtschafts Woche. 7 de diciembre de 2016 . Consultado el 29 de diciembre de 2016 .
  23. ^ "Los hospitales siguen siendo atacados por ransomware. He aquí por qué". Business Insider . Consultado el 29 de diciembre de 2016 .
  24. ^ "Los hospitales MedStar se recuperan después del pirateo de 'ransomware'". Noticias NBC. 31 de marzo de 2016 . Consultado el 29 de diciembre de 2016 .
  25. ^ Pauli, Darren. "Hospitales estadounidenses pirateados con hazañas antiguas". El registro . Consultado el 29 de diciembre de 2016 .
  26. ^ Pauli, Darren. "Zombie OS se tambalea a través del Royal Melbourne Hospital propagando virus". El registro . Consultado el 29 de diciembre de 2016 .
  27. ^ "Ataque informático al hospital de Grimsby: 'No se ha exigido ningún rescate'". Telégrafo de Grimsby. 31 de octubre de 2016 . Consultado el 29 de diciembre de 2016 .[ enlace muerto permanente ]
  28. ^ "Copia de seguridad de los sistemas informáticos pirateados del hospital de Lincolnshire'". Noticias de la BBC. 2 de noviembre de 2016 . Consultado el 29 de diciembre de 2016 .
  29. ^ "Operaciones de Lincolnshire canceladas después de un ataque a la red". Noticias de la BBC. 31 de octubre de 2016 . Consultado el 29 de diciembre de 2016 .
  30. ^ "Ciberataque de Legion: el próximo volcado es sansad.nic.in, dicen los piratas informáticos". El expreso indio. 12 de diciembre de 2016 . Consultado el 29 de diciembre de 2016 .
  31. ^ "Ex paciente del hospital psiquiátrico de New Hampshire acusado de violación de datos". CBS Boston. 27 de diciembre de 2016 . Consultado el 29 de diciembre de 2016 .
  32. ^ "Hospital de Texas pirateado, afecta a casi 30.000 registros de pacientes". Noticias de TI sanitarias. 4 de noviembre de 2016 . Consultado el 29 de diciembre de 2016 .
  33. ^ "Formulario 8-K". www.sec.gov . Consultado el 15 de septiembre de 2019 .
  34. ^ "Community Health dice que se robaron datos en un ciberataque desde China". Reuters . 2014-08-18 . Consultado el 15 de septiembre de 2019 .
  35. ^ "Consejos del jefe del FBI para proveedores de atención médica sobre ransomware". La Revista de la Ley Nacional . Consultado el 15 de septiembre de 2019 .
  36. ^ ab Health, Centro de Dispositivos y Radiológicos (21 de marzo de 2019). "Vulnerabilidades de ciberseguridad que afectan a los dispositivos cardíacos implantables, programadores y monitores domésticos de Medtronic: comunicación de seguridad de la FDA". FDA .
  37. ^ "El libro de datos del CIO de atención médica". 13 de enero de 2021.
  38. ^ Martínez, Jon B. (2018). "Seguridad de dispositivos médicos en la era de IoT". 2018 Novena Conferencia Anual de Computación Ubicua, Electrónica y Comunicaciones Móviles del IEEE (UEMCON) . págs. 128-134. doi :10.1109/UEMCON.2018.8796531. ISBN 978-1-5386-7693-6. Consultado el 31 de enero de 2024 .
  39. ^ Becker, Rachel (27 de diciembre de 2016). "Las nuevas directrices de ciberseguridad para dispositivos médicos abordan las amenazas en evolución". El borde . Consultado el 29 de diciembre de 2016 .
  40. ^ "Gestión poscomercialización de la ciberseguridad en dispositivos médicos" (PDF) . Administración de Alimentos y Medicamentos . 28 de diciembre de 2016 . Consultado el 29 de diciembre de 2016 .
  41. ^ ab Dispositivos médicos: la FDA debería ampliar su consideración de la seguridad de la información para ciertos tipos de dispositivos: informe a los solicitantes del Congreso. Washington, DC: Oficina de Responsabilidad Gubernamental de los Estados Unidos; 2012.