Una revisión analítica de las amenazas de ciberseguridad a los sistemas de información médica relevantes desde 2007 hasta 2017.

- ¿Qué tan comunes son los sistemas de información médica en Rusia?
- ¿Puedo echar un vistazo más de cerca al sistema unificado de información de salud estatal (EGSS)?
- ¿Podría dar más detalles sobre las características técnicas de los sistemas nacionales de información médica?
- ¿Cuál es la situación con la ciberseguridad del sistema doméstico EMIAS?
- ¿Cuál es la situación con la ciberseguridad de los sistemas de información médica, en números?
- ¿Pueden los virus informáticos infectar equipos médicos?
- ¿Qué tan peligrosos son los virus ransomware para el sector médico?
"Si los incidentes cibernéticos son tan peligrosos, ¿por qué los fabricantes de equipos médicos informatizan sus dispositivos?"
- ¿Por qué los cibercriminales cambiaron del sector financiero y las tiendas minoristas a los centros médicos?
- ¿Por qué las infecciones de ransomware se han vuelto más frecuentes en el sector médico y continúan aumentando?
- Doctores, enfermeras y pacientes afectados por WannaCry: ¿qué les resultó?
- ¿Cómo pueden los ciberdelincuentes dañar una clínica de cirugía plástica?
- El cibercriminal robó una tarjeta médica: ¿cómo amenaza esto a su legítimo propietario?
- ¿Por qué el robo de tarjetas médicas tiene una demanda tan creciente?
- ¿Cómo es el robo de números de seguridad social con la industria criminal de falsificación de documentos?
- Hoy se habla mucho sobre las perspectivas y la seguridad de los sistemas de inteligencia artificial. ¿Cuál es la situación con el sector médico?
- ¿Aprendió el sector médico de la situación con WannaCry?
- ¿Cómo aseguran los centros médicos la ciberseguridad?

¿Qué tan comunes son los sistemas de información médica en Rusia?

• En 2006, Informática de Siberia (una empresa de TI especializada en el desarrollo de sistemas de información médica) informó [38]: “MIT Technology Review publica periódicamente una lista tradicional de diez prometedoras tecnologías de información y comunicación que tendrán el mayor impacto en el ser humano sociedad En 2006, 6 de cada 10 puestos en esta lista estaban ocupados por tecnologías que de alguna manera estaban relacionadas con problemas médicos. El año 2007 fue declarado en Rusia como el "Año de la informatización de la salud". De 2007 a 2017, la dinámica de la dependencia de la asistencia sanitaria de las tecnologías de la información y la comunicación está en constante crecimiento ".
• El 10 de septiembre de 2012, el Centro de Información y Análisis de Sistemas Abiertos informó [41] que en 2012, 350 clínicas en Moscú estaban conectadas a EMIAS (un sistema analítico y de información médica unificado). Un poco más tarde, el 24 de octubre de 2012, la misma fuente informó [42] que actualmente 3.8 mil médicos tienen estaciones de trabajo automatizadas, y 1.8 millones de personas ya han probado el servicio EMIAS. El 12 de mayo de 2015, la misma fuente informó [40] que EMIAS opera en las 660 policlínicas estatales en Moscú y contiene datos de más de 7 millones de pacientes.
• El 25 de junio de 2016, la revista Profile publicó [43] una opinión experta del centro analítico internacional de PwC: “Moscú es la única metrópoli donde se implementa completamente un sistema de gestión unificado para policlínicas urbanas, mientras que una solución similar en otras ciudades del mundo, incluida Nueva York y Londres, solo está en discusión ". "Perfil" también informó que en el momento del 25 de julio de 2016, el 75% de los moscovitas (aproximadamente 9 millones de personas) estaban registrados en EMIAS, más de 20 mil médicos trabajan en el sistema; Desde el lanzamiento del sistema, se han realizado más de 240 millones de registros con médicos; diariamente en el sistema se realizan más de 500 mil operaciones diferentes. El 10 de febrero de 2017, Ekho Moskvy informó [39] que en este momento en Moscú, más del 97% de las citas médicas se realizan con cita previa a través de la UMIAS.
• El 19 de julio de 2016, Veronika Skvortsova, Ministra de Salud de la Federación de Rusia, anunció [11] que para fines de 2018, el 95% de los centros médicos del país estarán conectados al sistema unificado de información de salud estatal (EHIS) mediante la introducción de una tarjeta médica electrónica unificada (EMC). La ley pertinente, que obliga a las regiones rusas a unirse al sistema, se ha debatido públicamente, se ha acordado con todos los organismos federales interesados ​​y se presentará al gobierno en un futuro próximo. Veronika Skvortsova informó que en 83 regiones organizaron una cita electrónica para una cita con el médico; en 66 sujetos, introdujeron un sistema regional unificado de despacho de ambulancias; Los sistemas de información médica operan en 81 regiones del país, a las cuales el 57% de los médicos tienen estaciones de trabajo conectadas. [11]

¿Puedo echar un vistazo más de cerca al sistema unificado de información de salud estatal (USSIZ)?

• EGSIZ es la raíz de todos los AII nacionales (sistemas de información médica). Consiste en fragmentos regionales: RISUZ (sistema de información regional de gestión de la salud). EMIAS, que ya se mencionó anteriormente, es una de las instancias de RISUZ (la más famosa y prometedora). [51] Como explica el consejo editorial del director del Servicio de Información, [56] EGSIZ es una infraestructura de TI basada en la nube con centros regionales creados por centros de investigación en Kaliningrado, Kostroma, Novosibirsk, Orel, Saratov, Tomsk y otras ciudades rusas. Federación
• El objetivo del Servicio Unificado de Salud del Estado es erradicar la "información de mosaico" de la atención médica; conectando los AII de varios departamentos, cada uno de los cuales, antes de la introducción de USSIZ, utilizaba su propio software a medida sin ningún estándar centralizado unificado. [54] Desde 2008, 26 estándares de TI específicos de la industria han estado en el centro del espacio unificado de información sanitaria de la Federación de Rusia [50]. 20 de ellos son internacionales.
• El trabajo de los centros médicos depende en gran medida de los AII, como OpenEMR o EMIAS. MIS proporciona almacenamiento de información sobre el paciente: resultados de diagnóstico, datos sobre medicamentos recetados, historial médico, etc. Los componentes más comunes de los AII (en el momento del 30 de marzo de 2017): EHR (Electronic Health Records), un sistema para mantener registros médicos electrónicos, que almacena de forma estructurada los datos del paciente y mantiene un historial médico. NAS (almacenamiento conectado a la red): almacenamiento conectado a la red. DICOM (Digital Imaging and Communications in Medicine): un estándar para la formación de imágenes digitales y su intercambio en medicina. PACS (Picture Archiving and Communication System) es un sistema de almacenamiento e intercambio de imágenes que funciona de acuerdo con el estándar DICOM. Crea, almacena y visualiza imágenes médicas y documentos de pacientes examinados. El más común de los sistemas DICOM. [3] Todos estos AII son vulnerables a los ciberataques diseñados de manera integral, cuyos detalles están disponibles públicamente.
• En 2015, Zhilyaev P.S., Goryunova T.I. y Volodin K.I., expertos técnicos de la Universidad Tecnológica Estatal de Penza, dijeron [57] en su artículo sobre ciberseguridad en el sector médico que el UMIAS incluye: 1) CPMM (tarjeta electrónica médica integrada); 2) registro de pacientes en toda la ciudad; 3) sistema de gestión del flujo de pacientes; 4) sistema integrado de información médica; 5) un sistema de contabilidad de gestión consolidada; 6) un sistema de contabilidad personificada para la atención médica; 7) sistema de gestión de registros médicos. En cuanto a CPMM, según [39] radio Ekho Moskvy (10 de febrero de 2017), este subsistema se basa en las mejores prácticas del estándar OpenEHR, que es la tecnología más avanzada a la que los países desarrollados tecnológicamente están cambiando gradualmente.
• Los editores de la revista Computerworld Russia también explicaron [41] que además de integrar todos estos servicios entre sí y con MIS de instituciones médicas, UMIAS también está integrado con el software del fragmento federal "EGIS-Zdrav" (EGIS - un sistema de información estatal unificado) y sistemas electrónicos gobiernos, incluidos los portales de servicios gubernamentales. Un poco más tarde, el 25 de julio de 2016, los editores de la revista Profil especificaron [43] que UMIAS actualmente combina varios servicios: un centro situacional, registro electrónico, EMC, prescripción electrónica, certificados de discapacidad, servicios de laboratorio y registros personalizados.
• El 7 de abril de 2016, los editores de la revista "Director del Servicio de Información" informaron [59] que EMIAS había acudido a las farmacias. En todas las farmacias de Moscú que venden medicamentos con recetas preferenciales, se ha lanzado un "sistema automatizado para administrar el suministro de medicamentos de la población": M-Pharmacy.
• El 19 de enero de 2017, la misma fuente informó [58] que en 2015, la introducción de un servicio unificado de información radiológica (ERIS) integrado con UMIAS comenzó en Moscú. Para los médicos que dan instrucciones a los pacientes para el diagnóstico, se han desarrollado mapas tecnológicos para estudios de rayos X, ultrasonido, tomografía computarizada y resonancia magnética, que están integrados con EMIAS. A medida que el proyecto se expande, se planea conectar los hospitales con sus numerosos equipos al servicio. Muchos hospitales tienen sus propios AII, y también tienen que integrarse con ellos. Los editores del "Perfil" también afirman que al ver la experiencia positiva de la capital, las regiones también están infectadas con interés en la implementación de UMIAS.

¿Podría dar más detalles sobre las características técnicas de los sistemas nacionales de información médica?

• La información para esta sección está tomada de la revisión analítica [49] de "Informática de Siberia". Alrededor del 70% de los sistemas de información médica se basan en bases de datos relacionales. En 1999, el 47% de los sistemas de información médica usaban bases de datos locales (de escritorio), y la gran mayoría de los casos eran tablas de dBase. Este enfoque es típico para el período inicial de desarrollo de software para medicina y la creación de productos altamente especializados.
• Cada año, el número de sistemas domésticos basados ​​en bases de datos de escritorio disminuye. En 2003, esta cifra ya era solo del 4%. Hoy, casi ninguno de los desarrolladores usa tablas de dBase. Algunos productos de software usan su propio formato de base de datos; a menudo se usan en guías farmacológicas electrónicas. Actualmente, existe un sistema de información médica en el mercado interno, incluso construido en su propio DBMS de la arquitectura cliente-servidor: e-Hospital. Es difícil imaginar razones objetivas para tales decisiones.
• Al desarrollar sistemas de información médica nacionales, se utilizan principalmente los siguientes DBMS: Microsoft SQL Server (52.18%), Caché (17.4%), Oracle (13%), Borland Interbase Server (13%), Lotus Notes / Domino (13%). A modo de comparación: si analizamos todo el software médico que utiliza la arquitectura cliente-servidor, la proporción de DBMS de Microsoft SQL Server será del 64%. Muchos desarrolladores (17.4%) permiten el uso de varios DBMS, la mayoría de las veces es una combinación de Microsoft SQL Server y Oracle. Dos sistemas (IS Kondopoga [44] y Paracelsus-A [45]) utilizan varios DBMS simultáneamente. Todos los DBMS utilizados se dividen en dos tipos fundamentalmente diferentes: relacionales y post-relacionales (orientados a objetos). Hasta la fecha, el 70% de los sistemas nacionales de información médica se basan en DBMS relacionales y el 30% en relacionales.
• Al desarrollar sistemas de información médica, se utilizan una variedad de herramientas de programación. Por ejemplo, DOCA + [47] está escrito en PHP y JavaScript. "E-Hospital" [48] fue desarrollado en el entorno Microsoft Visual C ++. El amuleto está en Microsoft Visual.NET ". "Infomed" [46], que ejecuta Windows (98 / Me / NT / 2000 / XP), tiene una arquitectura cliente-servidor de dos niveles; la parte del cliente se implementa en el lenguaje de programación Delphi; parte del servidor: es administrada por Oracle DBMS.
• Alrededor del 40% de los desarrolladores usan las herramientas integradas en el DBMS. El 42% utiliza sus propios desarrollos como editor de informes; 23%: fondos integrados en el DBMS. El 50% de los desarrolladores usan Visual Source Safe para automatizar el diseño y las pruebas del código del programa. Como software para crear documentación, el 85% de los desarrolladores usan productos de Microsoft, un editor de texto de Word o, por ejemplo, los creadores de e-Hospital, Microsoft Help Workshop.
• En 2015, Ageenko T.Yu. y Andrianov A.V., expertos técnicos del Instituto Tecnológico de Moscú, publicaron un artículo [55], que describía en detalle los detalles técnicos del sistema automatizado de información hospitalaria (GAIS), incluida la infraestructura de red típica de una institución médica y los problemas urgentes de garantizar su ciberseguridad. GAIS es una red segura a través de la cual opera EMIAS, el más prometedor de los AII rusos.
• Informática de Siberia afirma [53] que los dos centros de investigación más autorizados involucrados en el desarrollo de MIS son el Instituto de Sistemas de Programas de la Academia de Ciencias de Rusia (ubicada en la antigua ciudad rusa de Pereslavl-Zalessky) y la organización sin fines de lucro Fundación para el Desarrollo y Atención Médica Especializada de la Sanidad Médica 168 "(ubicado en el Academgorodok de la ciudad de Novosibirsk). La misma "Informática de Siberia", que también se puede incluir en esta lista, se encuentra en la ciudad de Omsk.

¿Cuál es la situación de ciberseguridad del sistema doméstico EMIAS?

• El 10 de febrero de 2017, Vladimir Makarov, curador del proyecto EMIAS, compartió en su entrevista para la radio Ekho Moskvy [39] que no existe una ciberseguridad absoluta: “Siempre existe el riesgo de fuga de datos. Debe acostumbrarse al hecho de que la consecuencia del uso de cualquier tecnología moderna es que todo sobre usted puede darse a conocer. Se abren buzones de correo electrónico incluso de las primeras personas del estado ". En este sentido, podemos mencionar el incidente reciente, como resultado de lo cual se comprometió el correo electrónico de unos 90 miembros del Parlamento británico.
• El 12 de mayo de 2015, el Departamento de Tecnologías de la Información de Moscú [40] habló sobre cuatro puntos clave del KSIB (Sistema Integrado de Seguridad de la Información) para UMIAS: 1) protección física: los datos se almacenan en servidores modernos ubicados en salas subterráneas, cuyo acceso está estrictamente regulado; 2) protección de software: los datos se transmiten en forma cifrada a través de canales de comunicación seguros; Además, solo un paciente puede recibir información a la vez; 3) acceso autorizado a los datos: el médico se identifica mediante una tarjeta inteligente personal; para el paciente, la póliza de seguro médico obligatorio y la fecha de nacimiento proporcionan la identificación de dos factores.
• 4) Los datos médicos y personales se almacenan por separado, en dos bases de datos diferentes, lo que además garantiza su seguridad; Los servidores de EMIAS acumulan información médica en forma anónima: visitas al médico, citas, hojas de discapacidad, referencias, recetas y otros detalles; y los datos personales (el número de la póliza de seguro médico obligatorio, apellido, nombre, segundo nombre, sexo y fecha de nacimiento) se encuentran en las bases de datos del Fondo de la Ciudad de Moscú para el Seguro Médico Obligatorio; Los datos de estas dos bases de datos se conectan visualmente solo en el monitor del médico, después de la identificación.
• Sin embargo, a pesar de la aparente inexpugnabilidad de tal defensa UMIAS, las tecnologías modernas de ataque cibernético, cuyos detalles están disponibles públicamente, hacen posible descifrar incluso tal defensa. Consulte, por ejemplo, la descripción del ataque en el nuevo navegador Microsoft Edge, en ausencia de errores de software y con el estado activo de todas las protecciones disponibles. [62] Además, la ausencia de errores en el código del programa es una utopía en sí misma. Lea más sobre esto en la presentación "Los secretos tontos de los defensores cibernéticos". [63]
• Debido a un ciberataque a gran escala, el 27 de junio de 2017, la Clínica Invitro suspendió la recolección de biomateriales y la emisión de resultados de análisis en Rusia, Bielorrusia y Kazajstán. [64]
• El 12 de mayo de 2017, Kaspersky Lab registró [60] 45 mil ataques cibernéticos exitosos del virus de ransomware WannaCry en 74 países del mundo; y la mayoría de estos ataques ocurrieron en Rusia. Tres días después (15 de mayo de 2017), la compañía antivirus Avast registró [61] 200 mil ataques kieber del virus de ransomware WannaCry e informó que más de la mitad de estos ataques ocurrieron en Rusia. La Agencia de Noticias de la BBC informó (13 de mayo de 2017) que el Ministerio de Salud de Rusia, el Ministerio del Interior, el Banco Central y el Comité de Investigación se convirtieron en víctimas del virus en Rusia, entre otros. [61]
• Sin embargo, los centros de prensa de estos y otros departamentos rusos afirman unánimemente que los ataques cibernéticos del virus WannaCry, aunque tuvieron lugar, no tuvieron éxito. La mayoría de las publicaciones en idioma ruso sobre los incidentes deplorables con WannaCry, mencionando a una u otra agencia rusa, agregan apresuradamente algo como: "Pero según las cifras oficiales, no se causó ningún daño". Por otro lado, la prensa occidental está convencida de que las consecuencias del ciberataque del virus WannaCry son más tangibles de lo que se presenta en la prensa en idioma ruso. La prensa occidental está tan segura de esto que incluso levantó las sospechas de Rusia sobre su participación en este ciberataque. En quién confiar más, los medios occidentales o nacionales, es un asunto privado para todos. Debe tenerse en cuenta que ambas partes tienen sus propios motivos para exagerar y menospreciar los hechos confiables.

– ?

• 1 2017 ( «Brigham and Women's Hospital» ) ( ) , «Harvard Business Review» [18], : . .
• 3 2017 «SmartBrief» [24], 2017 250 , . 50% ( ). 30% – . , 16 [22], 2017 – .
• 17 2013 , « », , [21], 2012 94% . 65% , 2010-2011 . , 45% , ; , 2012-2013 . , , , – .
• [21], 2010-2012, , 20 . , : , , , , . , , (. « ?»). , , , .
• 2 2014 , MIT [10], - . 2014 600% , 2013. [26], 2016 4000 – , 2015 . -; – . : , .
• 19 2017 «» [23] Verizon 2017 , 72% - . 12 50%.
• 1 2017 «Harvard Busines Review» [18] , , , 2015 113 . 2016 – 16 . , , 2016 , . 2017 Expirian [27], – .
• [37] . , InfoWatch, (2005-2006) . 60% , , . 40% . [36] – . , .

?

• 17 2012 , MIT, [1], , , , «» ; . . , , – , .
• , 2009 Conficker «Beth Israel» , ( Philips) ( General Electric). , , IT- , – , – . , « - ». , . – . . [1]
• «» , . , . . [1] , 12 2017 ( - WannaCry) [28], , , – , , .

- ?

• 3 2016 , «Carbonite», , [19] «Harvard Business Review», - – , ; , . - , – , – - . , , . [19]
• [19], - , – $300 $500. , – . [19]
• 16 2016 «Guardian» [13], -, «Hollywood Presbyterian Medical Center» . , – , – , .
• 17 2016 «Hollywood Presbyterian Medical Center» [30] : « 5 . . . . 40 ($17000). , .. . , ».
• 12 2017 «New York Times» [28], WannaCry , . : « , ». - , .

, ?

• 9 2008 , , MIT, « : Plug and Play» [2]: «» – . , , , , . .
• 9 2009 , IT- « », – , – [2] : « , , – , . ».
• , – , , . , , . , . ( ), – . [2]
• , . , , , . , , – . , , – , . , . . , . . – , , . [2]
• 13 2017 , «Johns Hopkins Medicine», [17] «Harvard Business Review» : « , . , . . , , , . , . . ; – , ».
• , . , , , , . – 30% . « » – . « », , , .. , – , – . [17]

– ?

• 16 2016 , «Guardian», , , – , – . , . [13]
• 23 2014 , «Reuters» [12], . , , . .
• 18 de febrero de 2016 Mike Orkut, experto técnico del MIT, dijo que el interés de los ciberdelincuentes en el sector médico se debe a las siguientes cinco razones: 1) La mayoría de los centros médicos ya han transferido todos sus documentos y tarjetas a formato digital; el resto está en proceso de dicha transferencia. Los datos en estas tarjetas contienen información personal que es altamente valorada en el mercado negro de Darknet. 2) La seguridad cibernética en los centros médicos no es una prioridad; a menudo usan sistemas heredados y no los admiten adecuadamente. 3) La necesidad de un acceso rápido a los datos en situaciones de emergencia a menudo excede la necesidad de seguridad, razón por la cual los hospitales tienden a descuidar la ciberseguridad, incluso conscientes de las posibles consecuencias. 4) Los hospitales están conectando más y más dispositivos a su red, por lo que los malos tienen más opciones para ingresar a la red del hospital. 5) La tendencia hacia una medicina más personalizada, en particular, la necesidad de que los pacientes tengan acceso integral a su EMC, hace de MIS un objetivo aún más accesible. [14]
• El sector minorista y financiero ha sido durante mucho tiempo un objetivo popular para los ciberdelincuentes. A medida que la información robada de estas instituciones inunda el mercado negro de Darknet, se vuelve más barata y, en consecuencia, no es rentable que los malos la roben y vendan. Por lo tanto, los malos ahora están dominando un sector nuevo y más rentable. [12]
• En el mercado negro de Darknet, las tarjetas médicas son mucho más caras que los números de tarjetas de crédito. En primer lugar, porque pueden usarse para acceder a cuentas bancarias y recibir recetas de medicamentos controlados. En segundo lugar, porque el robo de una tarjeta médica y su uso ilegal es mucho más difícil de detectar, y desde el momento del abuso hasta el momento de la detección, lleva mucho más tiempo que en el caso del abuso de una tarjeta de crédito. [12]
• Según Dell, algunos ciberdelincuentes especialmente emprendedores combinan información de salud extraída de registros médicos robados con otros datos confidenciales, y así sucesivamente. Recoger un paquete de documentos falsos. Dichos paquetes se denominan fullz y kitz en la jerga del mercado negro de Darknet. El precio de cada paquete excede los $ 1000. [12]
• El 1 de abril de 2016, Tom Simont, experto técnico del MIT, dijo [4] que una diferencia significativa entre las amenazas cibernéticas en el sector médico es la gravedad de las consecuencias que prometen. Por ejemplo, si pierde el acceso al correo electrónico de su trabajo, naturalmente estará molesto; sin embargo, perder el acceso a los registros médicos que contienen la información necesaria para tratar a los pacientes es un asunto completamente diferente.
• Por lo tanto, para los cibercriminales, que entienden que esta información es muy valiosa para los médicos, el sector médico es un objetivo muy atractivo. Tan atractivo que constantemente invierten mucho en hacer que sus virus ransomware sean aún más perfectos; para mantenerse un paso adelante en su eterna lucha con los sistemas antivirus. Las impresionantes cantidades que recolectan a través de virus ransomware les dan la oportunidad de no escatimar en tales inversiones, y estos costos se amortizan con intereses. [4]

¿Por qué las infecciones por ransomware se han vuelto más comunes en el sector médico y continúan aumentando?

• El 1 de junio de 2017, Rebecca Weintrab (doctora en jefe con un doctorado en el Hospital Brigham and Women's) y Joram Borenstein (ingeniero de ciberseguridad) publicaron los resultados de su estudio conjunto sobre ciberseguridad en el sector médico [18] en la Harvard Business Review. Los puntos clave de su investigación se presentan a continuación.
• Ninguna organización está a salvo de piratería. Esta es la realidad en la que vivimos, y esta realidad se hizo especialmente evidente cuando a mediados de mayo de 2017 se produjo la propagación sensacional del virus de ransomware WannaCry, que infectó a los centros médicos y otras organizaciones de todo el mundo. [18]
• En 2016, los administradores de la gran clínica ambulatoria del Hollywood Presbyterian Medical Center descubrieron inesperadamente que habían perdido el acceso a la información en sus computadoras. Los médicos no pudieron acceder a la EMC de sus pacientes; e incluso a sus propios informes. Toda la información en sus computadoras fue encriptada con un virus ransomware. Mientras que toda la información de la clínica fue tomada como rehén por los atacantes, los médicos se vieron obligados a redirigir a los clientes a otros hospitales. Durante dos semanas, escribieron todo en papel hasta que decidieron pagar el rescate requerido por los atacantes: $ 17,000 (40 bitcoins). No fue posible rastrear el pago, ya que el rescate se pagó a través de un sistema de pago anónimo de Bitcoin. Si los expertos en ciberseguridad hubieran escuchado hace un par de años que los tomadores de decisiones se sorprenderían al convertir dinero en criptomonedas, no habrían creído para pagar el rescate al desarrollador del virus. Sin embargo, esto es exactamente lo que sucedió hoy. Las personas comunes, los propietarios de pequeñas empresas y las grandes corporaciones son blanco de virus ransomware. [19]
• En cuanto a la ingeniería social, los correos electrónicos de phishing que contienen enlaces maliciosos y archivos adjuntos ya no se envían en nombre de familiares en el extranjero que desean legar parte de su riqueza a cambio de información confidencial. Hoy los correos electrónicos de phishing son llamadas bien preparadas, sin errores tipográficos; a menudo disfrazados de documentos oficiales con logotipos y firmas. Algunos de ellos no se pueden distinguir de la correspondencia comercial habitual o de las notificaciones legítimas para actualizar las aplicaciones. A veces, los encargados de la toma de decisiones que participan en la contratación de personal reciben cartas de un candidato prometedor, con un currículum adjunto a la carta, que incluye un virus ransomware. [19]
• Sin embargo, la ingeniería social avanzada no es tan mala. Peor aún es el hecho de que el lanzamiento del virus ransomware puede ocurrir sin la participación directa del usuario. Los virus ransomware pueden propagarse a través de agujeros de seguridad; o a través de aplicaciones antiguas sin protección. Al menos cada semana aparece un tipo fundamentalmente nuevo de virus ransomware; y la cantidad de formas en que los virus ransomware se infiltran en los sistemas informáticos está en constante crecimiento. [19]
• Por ejemplo, con respecto al virus WannaCry ransomware ... Inicialmente (15 de mayo de 2017), los expertos en seguridad concluyeron [25] que la razón principal de la infección del sistema nacional de salud del Reino Unido es que los hospitales usan una versión desactualizada del sistema operativo Windows-XP (uso de hospitales este sistema porque muchos equipos hospitalarios caros no son compatibles con las versiones más recientes de Windows). Sin embargo, un poco más tarde (22 de mayo de 2017) resultó [29] que un intento de ejecutar WannaCry en Windows XP a menudo resultaba en un bloqueo de la computadora, sin infección; y la parte principal de las máquinas infectadas estaba ejecutando Windows 7. Además, inicialmente se creía que el virus WannaCry se propagaba a través del phishing, pero luego resultó que este virus se propagó, como un gusano de red, sin asistencia del usuario.
• Además, existen motores de búsqueda especializados que no buscan sitios en la red, sino equipos físicos. A través de ellos, puede averiguar en qué lugar, en qué hospital, qué equipo está conectado a la red. [3]
• Otro factor importante en la prevalencia de los virus ransomware es el acceso a la criptomoneda Bitcoin. La facilidad de cobro anónimo de pagos de todo el mundo contribuye al crecimiento del delito cibernético. Además, al transferir dinero al ransomware, de ese modo estimula la extorsión repetida. [19]
• Al mismo tiempo, los ciberdelincuentes han aprendido a aprovechar incluso aquellos sistemas en los que se implementa la protección más moderna y las últimas actualizaciones de software; y los medios de detección y descifrado (a los que recurren los sistemas de protección) no siempre funcionan; especialmente si el ataque es objetivo y único. [19]
• Sin embargo, todavía existe una contramedida efectiva contra los virus ransomware: haga una copia de seguridad de los datos críticos. Para que, en caso de problemas, los datos se puedan restaurar fácilmente. [19]

Doctores, enfermeras y pacientes afectados por WannaCry: ¿cómo resultó esto para ellos?

• El 13 de mayo de 2017, Sarah Marsh, una periodista de The Guardian, entrevistó a varias víctimas del virus de ransomware WannaCry para comprender cuál fue el incidente [5] para las víctimas (nombres cambiados, por razones de privacidad):
• Sergey Petrovich, doctor: no podía brindarles a los pacientes la atención adecuada. No importa cómo los líderes convenzan al público de que los incidentes cibernéticos no afectan la seguridad de los pacientes finales, esto no es cierto. Ni siquiera podíamos hacer radiografías cuando nuestros sistemas computarizados fallaron. Y prácticamente ningún procedimiento médico está completo sin estas imágenes. Por ejemplo, en esta noche desafortunada, estaba recibiendo a un paciente y tuve que enviarlo a una radiografía, pero como nuestros sistemas computarizados estaban paralizados, no pude hacer esto. [5]
• Vera Mikhailovna, una paciente con cáncer de mama: después de una sesión de quimioterapia, estaba a medio camino del hospital, pero en ese momento se produjo un ataque cibernético. Y aunque la sesión ya se había completado, tuve que pasar varias horas más en el hospital, esperando cuándo finalmente me darían el medicamento. El enganche se produjo debido al hecho de que antes de emitir el medicamento, el personal médico los verifica para el cumplimiento de las recetas, y estos controles se llevan a cabo mediante sistemas computarizados. Los pacientes que me seguían a su vez ya estaban en la sala para una sesión de quimioterapia; sus medicinas también han sido entregadas. Pero dado que su cumplimiento con las recetas era imposible de verificar, el procedimiento fue pospuesto. El tratamiento de los pacientes restantes generalmente se transfirió al día siguiente. [5]
• Tatyana Ivanovna, enfermera: El lunes, no pudimos ver la EMC de los pacientes y la lista de citas planificadas para hoy. Estuve de guardia en la recepción de solicitudes este fin de semana, así que el lunes, cuando nuestro hospital fue víctima de un ataque cibernético, tuve que recordar exactamente quién debería venir a la recepción. Los sistemas de información de nuestro hospital están bloqueados. No podíamos mirar el historial médico, no podíamos mirar las recetas de medicamentos; no pudo ver las direcciones y los datos de contacto de los pacientes; completar documentos; Verifique los resultados de la prueba. [5]
• Evgeny Sergeevich, administrador del sistema: Por lo general, tenemos la mayor cantidad de visitantes los viernes después del almuerzo. Así fue este viernes. El hospital estaba lleno de gente, y 5 empleados del hospital estaban de guardia en la recepción de aplicaciones telefónicas, y sus teléfonos sonaban continuamente. Todos nuestros sistemas informáticos funcionaron sin problemas, pero alrededor de las 3 p.m., todas las pantallas de las computadoras se volvieron negras. Nuestros médicos y enfermeras perdieron el acceso a la EMC de los pacientes, y el personal de guardia en la recepción de llamadas no pudo ingresar aplicaciones en la computadora. [5]

¿Cómo pueden los ciberdelincuentes dañar una clínica de cirugía plástica?

• Según The Guardian [6], el 30 de mayo de 2017, el grupo criminal de la Guardia Zarista publicó datos confidenciales de 25 mil pacientes de la clínica de cirugía plástica lituana "Grozio Chirurgija". Incluyendo fotografías privadas íntimas tomadas antes, durante y después de las operaciones (su almacenamiento es necesario en vista de los detalles de la clínica); así como escaneos de pasaportes y números de seguridad social. Dado que la clínica tiene una buena reputación y precios asequibles, los residentes de 60 países, incluidas las celebridades de fama mundial, utilizan sus servicios [7]. Todos ellos se convirtieron en víctimas de este ciber incidente.
• Unos meses antes, tras descifrar los servidores de la clínica y robarles datos, los "guardias" exigieron un rescate de 300 bitcoins (alrededor de $ 800 mil). La gerencia de la clínica se negó a cooperar con los "guardias", y se mantuvo firme incluso cuando los "guardias" redujeron el precio de recompra a 50 bitcoins (alrededor de $ 120 mil). [6]
• Habiendo perdido la esperanza de recibir un rescate de la clínica, los "guardias" decidieron cambiarse a sus clientes. En marzo, publicaron fotos de 150 pacientes de la clínica en Darknet [8] para asustar a otros y hacer que se bifurcaran. Los "Guardias" solicitaron un rescate de 50 a 2.000 euros, con pago en bitcoin, dependiendo de la fama de la víctima y la intimidad de la información robada. Se desconoce el número exacto de pacientes chantajeados, pero varias docenas de víctimas recurrieron a la policía. Ahora, tres meses después, los "guardias" publicaron datos confidenciales de otros 25 mil clientes. [6]

El cibercriminal robó una tarjeta médica: ¿qué amenaza a su legítimo propietario?

• El 19 de octubre de 2016, Adam Levin, un experto en ciberseguridad que dirige el centro de investigación CyberScout, señaló [9] que vivimos en un momento en que los registros médicos comenzaron a incluir una cantidad alarmante de información demasiado íntima: sobre enfermedades, diagnósticos, tratamiento y sobre problemas de salud Una vez en las manos equivocadas, esta información se puede utilizar para capitalizar el mercado negro de Darknet, razón por la cual los cibercriminales a menudo eligen centros médicos como su objetivo.
• El 2 de septiembre de 2014, Mike Orkut, experto técnico del MIT, dijo [10]: “Si bien los números de tarjetas de crédito robadas y los números de seguridad social tienen menos demanda en el mercado negro de Darknet: tarjetas médicas con una gran cantidad de información personal, a buen precio Incluso porque les dan a las personas sin seguro la oportunidad de recibir atención médica, que de otra manera no podrían pagar ".
• Se puede usar una tarjeta médica robada para recibir atención médica en nombre del propietario legal de esta tarjeta. Como resultado, los datos médicos de su propietario legal y los datos médicos del ladrón se mezclarán en la tarjeta médica. Además, si un ladrón vende tarjetas médicas robadas a terceros, entonces la tarjeta puede estar aún más contaminada. Por lo tanto, al llegar al hospital, el propietario legal de la tarjeta corre el riesgo de recibir atención médica que se basará en el tipo de sangre de otra persona, en el historial médico de otra persona, en la lista de reacciones alérgicas de otra persona, etc. [9]
• Además, el ladrón puede agotar el límite de seguro del titular legal de la tarjeta médica, lo que privará a este último de la oportunidad de recibir la atención médica necesaria cuando sea necesaria. En el momento más inoportuno. De hecho, muchos planes de seguro tienen restricciones anuales sobre ciertos tipos de procedimientos y tratamientos. Y ciertamente ninguna compañía de seguros le pagará por dos operaciones de apendicitis. [9]
• Usando una tarjeta médica robada, un ladrón puede abusar de medicamentos recetados. Al mismo tiempo, priva al propietario legítimo de la oportunidad de obtener la medicina necesaria cuando la necesita. Después de todo, las recetas de medicamentos generalmente son limitadas. [9]
• Eliminar los ciberataques masivos en tarjetas de crédito y débito no es tan problemático. La protección contra ataques de phishing dirigidos es un poco más problemático. Sin embargo, cuando se trata del robo y abuso de EMC, el crimen puede ser casi invisible. Si se descubre el hecho de un delito, generalmente es solo en una situación de emergencia, cuando las consecuencias pueden ser literalmente potencialmente mortales. [9]

¿Por qué el robo de tarjetas médicas tiene una demanda tan creciente?

• En marzo de 2017, el Centro para Combatir el Robo de Identidad informó que más del 25% de las filtraciones de datos confidenciales provenían de centros médicos. Estas filtraciones causan daños anuales de $ 5.6 mil millones a los centros médicos. Las siguientes son algunas de las razones por las cuales el robo de registros médicos tiene una demanda tan alta. [18]
• Las tarjetas médicas son los productos más populares en el mercado negro de Darknet. Las tarjetas médicas se venden allí por $ 50 cada una. En comparación, los números de tarjetas de crédito se venden en Darknet por $ 1 cada uno, 50 veces más barato que las tarjetas médicas. La demanda de tarjetas médicas también se debe al hecho de que son consumibles como parte de servicios criminales integrales para falsificar documentos. [18]
• Si no se encuentra el comprador de las tarjetas médicas, el atacante puede usar la tarjeta médica él mismo y llevar a cabo el robo tradicional: las tarjetas médicas contienen suficiente información para obtener una tarjeta de crédito en nombre de la víctima, abrir una cuenta bancaria o pedir un préstamo. [18]
• Con una tarjeta médica robada en la mano, un ciberdelincuente, por ejemplo, puede llevar a cabo un complejo ataque de phishing dirigido (en sentido figurado, afilar una lanza de phishing), haciéndose pasar por un banco: "Buenas tardes, sabemos que va a someterse a una cirugía. No olvide pagar por los servicios relacionados haciendo clic en este enlace ". Y luego piensas: "Bueno, ya que saben que me operaré mañana, probablemente sea una carta del banco". Si un atacante no se da cuenta del potencial de las tarjetas médicas robadas aquí, puede usar el virus ransomware para obtener dinero del centro médico y restaurar el acceso a los sistemas y datos bloqueados. [18]
• , – , – , . , , , , – , , . [18]
• IT- . , , – . [18]
• , . – . , – - . [18]
• , . IT- , . , , , IT- . [18]
• , , – . [18]

?

• 30 2015 «Tom's Guide» [31], . , - , , (SSN) . – - . , – . , SSN . , , – , . – . , SSN, .
• [31], [32]; , [34]. , , , , , .
• , – .. -. - , , – . . [33]
• – , , . , SSN , – - , -, SSN. [33]
• 2007 , SSN [34]. SSN, , – SSN . «», 2014 , – 2009 , 100 . , – , – . [34]
• SSN 50 , SSN . SSN , SSN 18 . T.O. SSN, – . – SSN- . [34]

. ?

• 2017 «MIT Technology Review», , , « », . [35]:
• () , , . – , , . « » – : , , . [35]
• , ; , . – – , , . , , – . [35]
• , . , . , – , , , « ». , – . , , – , – , , « ». , , , . – ? [35]
• 2015 «-», -, – . , -, , , , . , – « ». 700 . . . - , « » , , – , , . , , « » . , : « » , . , , . « » , . [35]
• , , – , , . . , , . – . , , . – , . , ? [35]

WannaCry?

• 25 2017 «» , [16] – , . : .
• «» [16], , 8000 ; , WannaCry, 17% . , WannaCry, 5% . , 60 .
• 13 2017 , WannaCry, , «Johns Hopkins Medicine» [17] «Harvard Business Review» , – .
• 15 2017 , WannaCry, , , [15] «Harvard Business Review» , , – .
• 20 2017 , WannaCry, , – «Brigham and Women's Hospital», [20] «Harvard Business Review» , , . , . 34 . , . .

?

• 2006 , - [52]: « . . , . , 10 20 . , , , ».
• 3 2016 , IBM Hewlett Packard, «Carbonite», , – [19] «Harvard Business Review» : « - , , CEO , . , CEO IT-. . : 1) - ; 2) ; 3) ».
• . [18], : « – . , . , , , , , – , ».
• El 19 de mayo de 2017, la agencia de noticias BBC informó [23] que en el Reino Unido, después del incidente de WannaCry, las ventas de software de seguridad aumentaron en un 25%. Sin embargo, según los expertos de Verizon, la compra de pánico del software de seguridad no es lo que se necesita para garantizar la ciberseguridad; Para garantizarlo, se debe seguir una defensa proactiva, no reactiva.

PD ¿Te gusta el artículo? Si es así, me gusta. Si por el número de Me gusta (obtengamos 70) veo que los lectores de Habr tienen interés en este tema, después de un tiempo prepararé una continuación, con una descripción general de las amenazas aún más recientes a los sistemas de información médica.