Geekly articles weekly

Ótimas perguntas frequentes sobre segurança cibernética de sistemas de informações médicas

Uma análise analítica das ameaças à cibersegurança para sistemas de informações médicas relevantes de 2007 a 2017.


- Quão comuns são os sistemas de informação médica na Rússia?
- Posso olhar mais de perto o sistema unificado de informações sobre serviços de saúde do estado (EGSS)?
- Você poderia elaborar as características técnicas dos sistemas de informações médicas domésticas?
- Qual é a situação com a cibersegurança do sistema EMIAS doméstico?
- Qual é a situação com a cibersegurança dos sistemas de informações médicas - em números?
- Os vírus de computador podem infectar equipamentos médicos?
- Quão perigosos são os vírus de ransomware para o setor médico?
"Se os incidentes cibernéticos são tão perigosos, por que os fabricantes de equipamentos médicos informatizam seus dispositivos?"
- Por que os cibercriminosos mudaram do setor financeiro e das lojas de varejo para os centros médicos?
- Por que as infecções por ransomware se tornam mais frequentes no setor médico e continuam a aumentar?
- Médicos, enfermeiros e pacientes afetados pelo WannaCry - o que isso resultou para eles?
- Como os criminosos cibernéticos podem prejudicar uma clínica de cirurgia plástica?
- O cibercriminoso roubou um cartão médico - como isso ameaça seu legítimo proprietário?
- Por que o roubo de cartões médicos está em uma demanda tão crescente?
- Como é o roubo de números de seguridade social junto à indústria criminal de falsificação de documentos?
- Hoje se fala muito sobre as perspectivas e a segurança dos sistemas de inteligência artificial. Qual é a situação com o setor médico?
- O setor médico aprendeu com a situação com o WannaCry?
- Como os centros médicos garantem a cibersegurança?



Esta revisão é marcada por uma carta de agradecimento do Ministério da Saúde da Federação Russa (veja a tela abaixo do spoiler).



Quão comuns são os sistemas de informação médica na Rússia?


  • Em 2006, a Informatics of Siberia (uma empresa de TI especializada no desenvolvimento de sistemas de informações médicas) relatou [38]: “O MIT Technology Review publica periodicamente uma lista tradicional de dez tecnologias promissoras de informação e comunicação que terão o maior impacto sobre o ser humano. sociedade. Em 2006, 6 em 10 posições nesta lista foram ocupadas por tecnologias que de alguma forma estavam relacionadas a problemas médicos. O ano de 2007 foi declarado na Rússia como o "Ano da Informatização em Saúde". De 2007 a 2017, a dinâmica da dependência da assistência médica às tecnologias da informação e comunicação está em constante crescimento. ”
  • Em 10 de setembro de 2012, o Centro de Informações e Analítica de Sistemas Abertos informou [41] que, em 2012, 350 clínicas em Moscou estavam conectadas ao EMIAS (um sistema analítico e de informações médicas unificadas). Um pouco mais tarde, em 24 de outubro de 2012, a mesma fonte relatou [42] que atualmente 3,8 mil médicos possuem estações de trabalho automatizadas e 1,8 milhão de pessoas já testaram o serviço EMIAS. Em 12 de maio de 2015, a mesma fonte informou [40] que o EMIAS opera em todas as 660 policlínicas do estado em Moscou e contém dados de mais de 7 milhões de pacientes.
  • Em 25 de junho de 2016, a revista Profile publicou [43] uma opinião de especialista do centro analítico internacional da PwC: “Moscou é a única metrópole onde um sistema de gerenciamento unificado para policlínicas urbanas é totalmente implementado, enquanto uma solução semelhante em outras cidades do mundo, incluindo Nova York e Londres, está apenas em discussão. ” O “Perfil” também informou que, em 25 de julho de 2016, 75% dos moscovitas (cerca de 9 milhões de pessoas) estavam registrados no EMIAS, mais de 20 mil médicos trabalham no sistema; desde que o sistema foi lançado, mais de 240 milhões de registros com médicos foram feitos; diariamente no sistema são realizadas mais de 500 mil operações diversas. Em 10 de fevereiro de 2017, Ekho Moskvy relatou [39] que, atualmente, em Moscou, mais de 97% das consultas médicas são realizadas por meio do UMIAS.
  • Em 19 de julho de 2016, Veronika Skvortsova, Ministra da Saúde da Federação Russa, anunciou [11] que até o final de 2018, 95% dos centros médicos do país estarão conectados ao sistema de saúde estadual (EHIS) através da introdução de um cartão médico eletrônico unificado (EMC). A lei relevante, que obriga as regiões russas a aderir ao sistema, foi discutida publicamente, acordada com todos os órgãos federais interessados ​​e será submetida ao governo em um futuro próximo. Veronika Skvortsova relatou que em 83 regiões organizou uma consulta eletrônica para uma consulta médica; em 66 indivíduos, eles introduziram um sistema regional unificado de expedição de ambulâncias; os sistemas de informações médicas operam em 81 regiões do país, nas quais 57% dos médicos têm estações de trabalho conectadas. [11]


Posso ter uma visão mais detalhada do sistema unificado de saúde pública informativa (USSIZ)?


  • O EGSIZ é a raiz de todos os AIIs domésticos (sistemas de informações médicas). Consiste em fragmentos regionais - RISUZ (sistema regional de informação sobre gestão em saúde). O EMIAS, que já foi mencionado acima, é uma das instâncias da RISUZ (a mais famosa e a mais promissora). [51] Como explica o conselho editorial do diretor do Serviço de Informação [56], o Serviço Único de Informação do Estado para o Desenvolvimento Social é uma infraestrutura de TI baseada em nuvem, cujos segmentos regionais estão sendo desenvolvidos pelos centros de pesquisa de Kaliningrado, Kostroma, Novosibirsk, Orel, Saratov, Tomsk e outras cidades russas. Federação.
  • O objetivo do Serviço Único de Saúde do Estado é erradicar a "informatização de retalhos" dos cuidados de saúde; encaixando IIAs de vários departamentos, cada um dos quais, antes da introdução do USSIZ, usava seu próprio software personalizado, sem nenhum padrão centralizado unificado. [54] Desde 2008, 26 padrões de TI específicos da indústria estão no centro do espaço único de informações sobre saúde da Federação Russa [50]. 20 deles são internacionais.
  • O trabalho dos centros médicos é fortemente dependente dos AIIs, como o OpenEMR ou o EMIAS. O MIS fornece armazenamento de informações sobre o paciente: resultados de diagnóstico, dados sobre medicamentos prescritos, histórico médico, etc. Os componentes mais comuns dos AIIs (em 30 de março de 2017): EHR (Electronic Health Records) é um sistema de registros médicos eletrônicos que armazena dados de pacientes de forma estruturada e mantém um histórico médico. NAS (Network Attached Storage) - Network Attached Storage. DICOM (Digital Imaging and Communications in Medicine) - um padrão para a formação de imagens digitais e seu intercâmbio na medicina. O PACS (Sistema de Comunicação e Arquivamento de Imagens) é um sistema de armazenamento e troca de imagens que funciona de acordo com o padrão DICOM. Cria, armazena e visualiza imagens e documentos médicos de pacientes examinados. O mais comum dos sistemas DICOM. [3] Todos esses AIIs são vulneráveis ​​a ataques cibernéticos de design abrangente, cujos detalhes estão disponíveis ao público.
  • Em 2015, Zhilyaev P.S., Goryunova T.I. e Volodin K.I., especialistas técnicos da Universidade Tecnológica do Estado de Penza disseram em seu artigo [57] sobre segurança cibernética no setor médico que a UMIAS inclui: 1) CPMM (cartão eletrônico médico integrado); 2) registro de pacientes em toda a cidade; 3) sistema de gerenciamento de fluxo de pacientes; 4) sistema integrado de informação médica; 5) um sistema de contabilidade gerencial consolidada; 6) um sistema de contabilidade personificada para atendimento médico; 7) sistema de gerenciamento de registro médico. Quanto ao CPMM, de acordo com o relatório [39] da rádio Ekho Moskvy (10 de fevereiro de 2017), este subsistema foi construído com base nas melhores práticas do padrão OpenEHR, que é a tecnologia mais avançada para a qual os países tecnologicamente desenvolvidos estão mudando gradualmente.
  • Os editores da revista Computerworld Russia também explicaram [41] que, além de integrar todos esses serviços entre si e com o MIS das instituições médicas, o UMIAS também é integrado ao software do fragmento federal “EGIS-Zdrav” (EGIS - um sistema de informação estadual unificado) e sistemas eletrônicos governos, incluindo portais de serviços governamentais. Um pouco mais tarde, em 25 de julho de 2016, os editores da revista Profil especificaram [43] que o UMIAS atualmente combina vários serviços: um centro situacional, registro eletrônico, EMC, prescrição eletrônica, certificados de invalidez, serviços de laboratório e registros personalizados.
  • Em 7 de abril de 2016, os editores da revista "Diretor do Serviço de Informação" relataram [59] que o EMIAS havia ido às farmácias. Em todas as farmácias de Moscou que vendem medicamentos usando prescrições preferenciais, foi lançado um "sistema automatizado para gerenciar o suprimento de medicamentos da população" - M-Pharmacy.
  • Em 19 de janeiro de 2017, a mesma fonte informou [58] que, em 2015, começou em Moscou a introdução de um serviço unificado de informações radiológicas (ERIS) integrado ao UMIAS. Para os médicos que dão orientações para o diagnóstico dos pacientes, foram desenvolvidos mapas tecnológicos para estudos de raios-X, ultrassom, tomografia e ressonância magnética, integrados ao EMIAS. À medida que o projeto se expande, está planejado conectar hospitais com seus inúmeros equipamentos ao serviço. Muitos hospitais têm seus próprios AIIs e também precisam se integrar a eles. Os editores do "Perfil" também afirmam que, vendo a experiência positiva da capital, as regiões também estão infectadas com interesse na implementação do UMIAS.


Você poderia elaborar os recursos técnicos dos sistemas de informações médicas domésticas?


  • As informações desta seção são extraídas da revisão analítica [49] de “Informática da Sibéria”. Cerca de 70% dos sistemas de informações médicas são construídos em bancos de dados relacionais. Em 1999, 47% dos sistemas de informações médicas usavam bancos de dados locais (desktop), com a grande maioria dos casos sendo tabelas do dBase. Essa abordagem é típica no período inicial de desenvolvimento de software para medicina e na criação de produtos altamente especializados.
  • Todos os anos, o número de sistemas domésticos baseados em bancos de dados de desktop diminui. Em 2003, esse número já era de apenas 4%. Hoje, quase nenhum dos desenvolvedores usa tabelas do dBase. Alguns produtos de software usam seu próprio formato de banco de dados; freqüentemente são usados ​​em guias farmacológicos eletrônicos. Atualmente, existe um sistema de informações médicas no mercado interno, construído inclusive em seu próprio DBMS da arquitetura cliente-servidor: e-Hospital. É difícil imaginar razões objetivas para tais decisões.
  • Ao desenvolver sistemas de informações médicas domésticas, os seguintes DBMSs são usados ​​principalmente: Microsoft SQL Server (52,18%), Cache (17,4%), Oracle (13%), Borland Interbase Server (13%), Lotus Notes / Domino (13%). Para comparação: se analisarmos todo o software médico que usa a arquitetura cliente-servidor, o compartilhamento do DBMS do Microsoft SQL Server será de 64%. Muitos desenvolvedores (17,4%) permitem o uso de vários DBMSs, na maioria das vezes é uma combinação do Microsoft SQL Server e Oracle. Dois sistemas (IS Kondopoga [44] e Paracelsus-A [45]) usam vários DBMSs simultaneamente. Todos os DBMSs usados ​​são divididos em dois tipos fundamentalmente diferentes: relacional e pós-relacional (orientado a objetos). Até o momento, 70% dos sistemas domésticos de informações médicas são construídos no DBMS relacional e 30% no relacional.
  • Ao desenvolver sistemas de informações médicas, uma variedade de ferramentas de programação é usada. Por exemplo, DOCA + [47] é escrito em PHP e JavaScript. "E-Hospital" [48] foi desenvolvido no ambiente Microsoft Visual C ++. O amuleto está no Microsoft Visual.NET. "Infomed" [46], executando o Windows (98 / Me / NT / 2000 / XP), possui uma arquitetura cliente-servidor de duas camadas; a parte do cliente é implementada na linguagem de programação Delphi; parte do servidor - é gerenciado pelo Oracle DBMS.
  • Cerca de 40% dos desenvolvedores usam as ferramentas incorporadas no DBMS. 42% usam seus próprios desenvolvimentos como editor de relatórios; 23% - fundos incorporados ao DBMS. 50% dos desenvolvedores usam o Visual Source Safe para automatizar o design e o teste do código do programa. Como software para criar documentação, 85% dos desenvolvedores usam produtos da Microsoft - um editor de texto do Word ou, por exemplo, os criadores do e-Hospital, - Microsoft Help Workshop.
  • Em 2015, Ageenko T.Yu. e Andrianov A.V., especialistas técnicos do Instituto Tecnológico de Moscou, publicaram um artigo [55], que descreveu detalhadamente os detalhes técnicos do sistema de informações automatizadas do hospital (GAIS), incluindo a infraestrutura de rede típica de uma instituição médica e os problemas urgentes de garantir sua segurança cibernética. O GAIS é uma rede segura por meio da qual o EMIAS opera, o mais promissor dos IIAs russos.
  • A Informatics of Siberia declara [53] que os dois centros de pesquisa com maior autoridade envolvidos no desenvolvimento do MIS são o Instituto de Sistemas de Programas da Academia Russa de Ciências (localizada na antiga cidade russa de Pereslavl-Zalessky) e a organização sem fins lucrativos Foundation for the Development and Provision of Specialized Medical Care, Medsanchast- 168 "(localizado no Academgorodok da cidade de Novosibirsk). A própria “Informática da Sibéria”, que também pode ser incluída nesta lista, está localizada na cidade de Omsk.


Qual é a situação de cibersegurança do sistema EMIAS doméstico?


  • Em 10 de fevereiro de 2017, Vladimir Makarov, curador do projeto EMIAS, compartilhou em sua entrevista à rádio Ekho Moskvy [39] que não há segurança cibernética absoluta: “Sempre existe o risco de vazamento de dados. Você precisa se acostumar com o fato de que a consequência do uso de qualquer tecnologia moderna é que tudo sobre você pode se tornar conhecido. Caixas de e-mail até das primeiras pessoas do estado são abertas. ” A esse respeito, podemos mencionar o incidente recente, como resultado do qual o e-mail de cerca de 90 membros do Parlamento britânico foi comprometido.
  • Em 12 de maio de 2015, o Departamento de Tecnologias de Informação de Moscou [40] falou sobre quatro pontos-chave do KSIB (Sistema Integrado de Segurança da Informação) para UMIAS: 1) proteção física - os dados são armazenados em servidores modernos localizados em salas subterrâneas, cujo acesso é estritamente regulamentado; 2) proteção de software - os dados são transmitidos de forma criptografada através de canais de comunicação seguros; além disso, apenas um paciente pode receber informações de cada vez; 3) acesso autorizado aos dados - o médico é identificado por um cartão inteligente pessoal; para o paciente, a identificação de dois fatores é fornecida pela apólice de seguro médico obrigatória e data de nascimento.
  • 4) Os dados médicos e pessoais são armazenados separadamente, em dois bancos de dados diferentes, o que garante adicionalmente sua segurança; Os servidores EMIAS acumulam informações médicas de forma anônima: visitas ao médico, consultas, fichas de invalidez, encaminhamentos, prescrições e outros detalhes; e dados pessoais - o número obrigatório da apólice de seguro médico, sobrenome, nome, nome do meio, sexo e data de nascimento - estão contidos nas bases de dados do Fundo da Cidade de Moscou para Seguro Médico Obrigatório; os dados desses dois bancos de dados são conectados visualmente apenas no monitor do médico, após identificação.
  • No entanto, apesar da aparente inexpugnabilidade de tal defesa do UMIAS, as modernas tecnologias de ataque cibernético, cujos detalhes estão disponíveis ao público, tornam possível romper essa defesa. Veja, por exemplo, a descrição do ataque no novo navegador Microsoft Edge - na ausência de erros de software e com o estado ativo de todas as proteções disponíveis. [62] Além disso, a ausência de erros no código do programa é uma utopia em si. Leia mais sobre isso na apresentação “Os segredos mudos dos defensores cibernéticos”. [63]
  • Devido a um ataque cibernético em grande escala, em 27 de junho de 2017, a Clínica Invitro suspendeu a coleta de biomateriais e a entrega de resultados de análises na Rússia, Bielorrússia e Cazaquistão. [64]
  • Em 12 de maio de 2017, a Kaspersky Lab registrou [60] 45 mil ataques cibernéticos bem-sucedidos do vírus ransomware WannaCry em 74 países do mundo; e a maioria desses ataques ocorreu na Rússia. Três dias depois (15 de maio de 2017), a empresa de antivírus Avast registrou [61] 200 mil ataques de kieber do vírus WannaCry ransomware e informou que mais da metade desses ataques ocorreu na Rússia. A Agência de Notícias BBC informou (13 de maio de 2017) que o Ministério da Saúde da Rússia, o Ministério da Administração Interna, o Banco Central e o Comitê de Investigação se tornaram vítimas do vírus na Rússia, entre outros. [61]
  • No entanto, os centros de imprensa desses e de outros departamentos russos alegam por unanimidade que os ataques cibernéticos do vírus WannaCry, embora tenham ocorrido, não tiveram êxito. A maioria das publicações em língua russa sobre os incidentes deploráveis ​​com o WannaCry, mencionando uma agência russa em particular, rapidamente acrescenta algo como: "Mas, segundo dados oficiais, o dano não foi causado". Por outro lado, a imprensa ocidental está convencida de que as consequências do ataque cibernético do vírus WannaCry são mais tangíveis do que as apresentadas na imprensa em língua russa. A imprensa ocidental está tão certa disso que até levantou as suspeitas da Rússia de envolvimento nesse ataque cibernético. Em quem confiar mais - na mídia ocidental ou doméstica - é um assunto privado para todos. Deve-se ter em mente que ambos os lados têm seus próprios motivos para exagerar e menosprezar fatos confiáveis.


– ?


  • 1 2017 ( «Brigham and Women's Hospital» ) ( ) , «Harvard Business Review» [18], : . .
  • 3 2017 «SmartBrief» [24], 2017 250 , . 50% ( ). 30% – . , 16 [22], 2017 – .
  • 17 2013 , « », , [21], 2012 94% . 65% , 2010-2011 . , 45% , ; , 2012-2013 . , , , – .
  • [21], 2010-2012, , 20 . , : , , , , . , , (. « ?»). , , , .
  • 2 2014 , MIT [10], - . 2014 600% , 2013. [26], 2016 4000 – , 2015 . -; – . : , .
  • 19 2017 «» [23] Verizon 2017 , 72% - . 12 50%.
  • 1 2017 «Harvard Busines Review» [18] , , , 2015 113 . 2016 – 16 . , , 2016 , . 2017 Expirian [27], – .
  • [37] . , InfoWatch, (2005-2006) . 60% , , . 40% . [36] – . , .


?


  • 17 2012 , MIT, [1], , , , «» ; . . , , – , .
  • , 2009 Conficker «Beth Israel» , ( Philips) ( General Electric). , , IT- , – , – . , « - ». , . – . . [1]
  • «» , . , . . [1] , 12 2017 ( - WannaCry) [28], , , – , , .


- ?


  • 3 2016 , «Carbonite», , [19] «Harvard Business Review», - – , ; , . - , – , – - . , , . [19]
  • [19], - , – $300 $500. , – . [19]
  • 16 2016 «Guardian» [13], -, «Hollywood Presbyterian Medical Center» . , – , – , .
  • 17 2016 «Hollywood Presbyterian Medical Center» [30] : « 5 . . . . 40 ($17000). , .. . , ».
  • 12 2017 «New York Times» [28], WannaCry , . : « , ». - , .


, ?


  • 9 2008 , , MIT, « : Plug and Play» [2]: «» – . , , , , . .
  • 9 2009 , IT- « », – , – [2] : « , , – , . ».
  • , – , , . , , . , . ( ), – . [2]
  • , . , , , . , , – . , , – , . , . . , . . – , , . [2]
  • 13 2017 , «Johns Hopkins Medicine», [17] «Harvard Business Review» : « , . , . . , , , . , . . ; – , ».
  • , . , , , , . – 30% . « » – . « », , , .. , – , – . [17]


– ?


  • 16 2016 , «Guardian», , , – , – . , . [13]
  • 23 2014 , «Reuters» [12], . , , . .
  • 18 de fevereiro de 2016 Mike Orkut, especialista técnico do MIT, disse que o interesse dos cibercriminosos no setor médico se deve aos cinco motivos a seguir: 1) A maioria dos centros médicos já transferiu todos os seus documentos e cartões para o formato digital; o restante está em processo de transferência. Os dados nesses cartões contêm informações pessoais altamente valorizadas no mercado negro da Darknet. 2) A cibersegurança em centros médicos não é uma prioridade; eles costumam usar sistemas legados e não os suportam adequadamente. 3) A necessidade de acesso rápido aos dados em situações de emergência geralmente excede a necessidade de segurança, motivo pelo qual os hospitais tendem a negligenciar a segurança cibernética, mesmo cientes das possíveis consequências. 4) Os hospitais estão conectando cada vez mais dispositivos à sua rede, para que os bandidos tenham mais opções para entrar na rede do hospital. 5) A tendência em direção a medicamentos mais personalizados - em particular, a necessidade de os pacientes terem acesso abrangente a seus CEM - torna a MIS um alvo ainda mais acessível. [14]
  • O varejo e o setor financeiro têm sido um alvo popular dos cibercriminosos. Como as informações roubadas dessas instituições inundam o mercado negro da Darknet, elas se tornam mais baratas e, portanto, não é rentável para os bandidos roubá-las e vendê-las. Portanto, os bandidos agora estão dominando um setor novo e mais lucrativo. [12]
  • No mercado negro da Darknet, os cartões médicos são muito mais caros que os números de cartões de crédito. Primeiro, porque eles podem ser usados ​​para acessar contas bancárias e receber receitas de medicamentos controlados. Em segundo lugar, porque o fato de o roubo de um cartão médico e o uso ilegal ser muito mais difícil de detectar, e do momento do abuso ao momento da detecção, leva muito mais tempo do que no caso de abuso de cartão de crédito. [12]
  • De acordo com a Dell, alguns cibercriminosos particularmente empresariais combinam informações de saúde extraídas de registros médicos roubados com outros dados confidenciais e assim por diante. colete um pacote de documentos falsos. Esses pacotes são chamados de fullz e kitz no jargão do mercado negro da Darknet. O preço de cada pacote excede US $ 1000. [12]
  • Em 1º de abril de 2016, Tom Simont, especialista técnico do MIT, afirmou [4] que uma diferença significativa entre as ameaças cibernéticas no setor médico é a gravidade das consequências que prometem. Por exemplo, se você perder o acesso ao seu email de trabalho, ficará naturalmente chateado; no entanto, perder o acesso a registros médicos contendo as informações necessárias para tratar pacientes é uma questão completamente diferente.
  • Portanto, para os cibercriminosos - que entendem que essa informação é muito valiosa para os médicos - o setor médico é um alvo muito atraente. Tão atraentes que constantemente investem pesadamente em tornar seus vírus ransomware ainda mais perfeitos; para ficar um passo à frente em sua eterna luta com os sistemas antivírus. As quantias impressionantes que eles coletam através dos vírus ransomware dão a eles a oportunidade de não economizar em tais investimentos, e esses custos são pagos com juros. [4]


Por que as infecções por ransomware se tornam mais comuns no setor médico e continuam a aumentar?


  • Em 1 de junho de 2017, Rebecca Weintrab (médica chefe com doutorado no Brigham and Women's Hospital) e Joram Borenstein (engenheiro de segurança cibernética) publicaram os resultados de seu estudo conjunto sobre segurança cibernética no setor médico [18] na Harvard Business Review. Os pontos principais de suas pesquisas são apresentados abaixo.
  • Nenhuma organização está a salvo de hackers. Essa é a realidade em que vivemos, e essa realidade se tornou especialmente aparente quando ocorreu em meados de maio de 2017 a sensacional disseminação do vírus ransomware WannaCry, que infectou centros médicos e outras organizações em todo o mundo. [18]
  • Em 2016, os administradores do grande ambulatório de Hollywood Presbyterian Medical Center descobriram inesperadamente que haviam perdido o acesso às informações em seus computadores. Os médicos não puderam acessar a EMC de seus pacientes; e até para seus próprios relatórios. Todas as informações em seus computadores foram criptografadas com um vírus de ransomware. Enquanto todas as informações da clínica foram mantidas reféns pelos agressores, os médicos foram forçados a redirecionar os clientes para outros hospitais. Por duas semanas, eles escreveram tudo no papel até decidirem pagar o resgate exigido pelos atacantes - US $ 17.000 (40 bitcoins). Não foi possível rastrear o pagamento, uma vez que o resgate foi pago por meio de um sistema de pagamento Bitcoin anônimo. Se os especialistas em segurança cibernética tivessem ouvido alguns anos atrás que os tomadores de decisão ficariam intrigados ao converter dinheiro em criptomoeda - eles não teriam acreditado para pagar o resgate ao desenvolvedor do vírus. No entanto, foi exatamente o que aconteceu hoje. Pessoas comuns, proprietários de pequenas empresas e grandes corporações são alvo de vírus de ransomware. [19]
  • Quanto à engenharia social, os e-mails de phishing que contêm links e anexos maliciosos não são mais enviados em nome de parentes no exterior que desejam legar a você parte de sua riqueza em troca de informações confidenciais. Hoje, os e-mails de phishing são chamadas bem preparadas, sem erros de digitação; frequentemente disfarçados de documentos oficiais com logotipos e assinaturas. Alguns deles não podem ser distinguidos da correspondência comercial regular ou de notificações legítimas para atualização de aplicativos. Às vezes, os tomadores de decisão envolvidos no recrutamento de funcionários recebem cartas de um candidato promissor - com um currículo anexado à carta, que inclui um vírus de ransomware. [19]
  • No entanto, a engenharia social avançada não é tão ruim. Pior ainda é o fato de o lançamento do vírus ransomware poder ocorrer sem a participação direta do usuário. Os vírus de ransomware podem se espalhar através de brechas na segurança; ou através de aplicativos antigos não protegidos. Pelo menos toda semana, um tipo fundamentalmente novo de vírus ransomware aparece; e o número de maneiras pelas quais os vírus de ransomware se infiltram nos sistemas de computadores está em constante crescimento. [19]
  • Por exemplo, no que diz respeito ao vírus WannaCry ransomware ... Inicialmente (15 de maio de 2017), especialistas em segurança concluíram [25] que o principal motivo da infecção do sistema nacional de saúde do Reino Unido é que os hospitais usam uma versão desatualizada do sistema operacional Windows-XP (os hospitais usam este sistema porque muitos equipamentos hospitalares caros não são compatíveis com as versões mais recentes do Windows). No entanto, um pouco mais tarde (22 de maio de 2017), descobriu-se [29] que uma tentativa de executar o WannaCry no Windows XP geralmente resultava em uma pane no computador, sem infecção; e a parte principal das máquinas infectadas estava executando o Windows 7. Além disso, acreditava-se inicialmente que o vírus WannaCry se propagava por meio de phishing, mas depois descobriu-se que esse vírus se espalhou como um worm de rede, sem assistência do usuário.
  • Além disso, existem mecanismos de pesquisa especializados que não pesquisam sites na rede, mas equipamentos físicos. Através deles, você pode descobrir em que local, em qual hospital, quais equipamentos estão conectados à rede. [3]
  • Outro fator significativo na prevalência de vírus ransomware é o acesso ao Bitcoin de criptomoeda. A facilidade da coleta anônima de pagamentos de todo o mundo - contribui para o crescimento do crime cibernético. Além disso, ao transferir dinheiro para o ransomware, você estimula a extorsão repetida a você. [19]
  • Ao mesmo tempo, os cibercriminosos aprenderam a aproveitar até mesmo os sistemas nos quais a proteção mais moderna está implantada e as últimas atualizações de software; e os meios de detecção e descriptografia (aos quais os sistemas de proteção recorrem) nem sempre funcionam; especialmente se o ataque for direcionado e único. [19]
  • No entanto, ainda existe uma contramedida eficaz contra vírus de ransomware: faça backup de dados críticos. Para que, em caso de problemas, os dados possam ser facilmente restaurados. [19]


Médicos, enfermeiros e pacientes afetados pelo WannaCry - como isso resultou para eles?


  • Em 13 de maio de 2017, Sarah Marsh, jornalista do Guardian, entrevistou várias vítimas do vírus WannaCry ransomware para entender qual foi o incidente [5] para as vítimas (nomes alterados, por razões de privacidade):
  • Sergey Petrovich, médico: eu não poderia fornecer aos pacientes os cuidados adequados. Não importa como os líderes convencam o público de que incidentes cibernéticos não afetam a segurança dos pacientes finais, isso não é verdade. Não podíamos nem fazer raios-x quando nossos sistemas computadorizados caíam. E praticamente nenhum procedimento médico é completo sem essas fotos. Por exemplo, naquela noite infeliz, eu estava recebendo um paciente e tive que enviá-lo para um raio-X, mas, como nossos sistemas computadorizados estavam paralisados, não pude fazer isso. [5]
  • Vera Mikhailovna, uma paciente com câncer de mama: depois de uma sessão de quimioterapia, eu estava a meio caminho do hospital, mas naquele momento ocorreu um ataque cibernético. E, embora a sessão já estivesse concluída, eu tive que passar várias horas no hospital - esperando quando eles finalmente me dariam o remédio. O problema ocorreu devido ao fato de que antes de emitir o medicamento, a equipe médica os verifica quanto ao cumprimento das prescrições, e essas verificações são realizadas por sistemas computadorizados. Os pacientes que me seguiam já estavam na enfermaria para uma sessão de quimioterapia; seus medicamentos também foram entregues. Mas como era impossível verificar o cumprimento das receitas, o procedimento foi adiado. O tratamento dos pacientes restantes foi geralmente remarcado no dia seguinte. [5]
  • Tatyana Ivanovna, enfermeira: Na segunda-feira, não conseguimos ver a EMC dos pacientes e a lista de consultas planejadas para hoje. Eu estava de serviço na recepção dos pedidos neste fim de semana, então, na segunda-feira, quando o nosso hospital foi vítima de um ataque cibernético, tive que lembrar quem exatamente deveria comparecer à recepção. Os sistemas de informação do nosso hospital estão bloqueados. Não podíamos olhar para o histórico médico, não podíamos olhar para prescrições de medicamentos; não conseguia visualizar os endereços e detalhes de contato dos pacientes; preencher documentos; Verifique os resultados do teste. [5]
  • Evgeny Sergeevich, Administradora do sistema: Normalmente, temos mais visitantes às sextas-feiras após o almoço. Então foi nesta sexta-feira. O hospital estava cheio de pessoas e cinco funcionários do hospital estavam de plantão na recepção dos aplicativos telefônicos, e seus telefones tocavam continuamente. Todos os nossos sistemas de computador funcionaram sem problemas, mas por volta das 15h, todas as telas de computador ficaram pretas. Nossos médicos e enfermeiros perderam o acesso ao EMC dos pacientes e a equipe de plantão na recepção de chamadas não pôde inserir aplicativos no computador. [5]


Como os criminosos cibernéticos podem prejudicar uma clínica de cirurgia plástica?


  • De acordo com o Guardian [6], em 30 de maio de 2017, o grupo criminoso da Guarda Czarista publicou dados confidenciais de 25 mil pacientes na clínica de cirurgia plástica da Lituânia Grozio Chirurgija. Incluindo fotografias íntimas privadas tiradas antes, durante e após as operações (seu armazenamento é necessário, tendo em vista as especificidades da clínica); bem como varreduras de passaporte e números de previdência social. Como a clínica tem uma boa reputação e preços acessíveis, moradores de 60 países, incluindo celebridades mundialmente famosas, usam seus serviços [7]. Todos eles se tornaram vítimas desse incidente cibernético.
  • Alguns meses antes, depois de invadir os servidores da clínica e roubar dados deles, os "guardas" exigiram um resgate de 300 bitcoins (cerca de US $ 800 mil). A gerência da clínica se recusou a cooperar com os "guardas" e permaneceu inflexível mesmo quando os "guardas" reduziram o preço da recompra para 50 bitcoins (cerca de US $ 120 mil). [6]
  • Tendo perdido a esperança de receber um resgate da clínica, os "guardas" decidiram mudar para seus clientes. Em março, eles publicaram fotos de 150 pacientes clínicos em Darknet [8] para assustar os outros e fazê-los sair. Os "guardas" solicitaram um resgate de 50 a 2.000 euros, com pagamento em bitcoin, dependendo da fama da vítima e da intimidade das informações roubadas. O número exato de pacientes chantageados não é conhecido, mas várias dezenas de vítimas recorreram à polícia. Agora, três meses depois, os "guardas" publicaram dados confidenciais de outros 25 mil clientes. [6]


O cibercriminoso roubou um cartão médico - o que ameaça seu legítimo proprietário?


  • Em 19 de outubro de 2016, Adam Levin, especialista em segurança cibernética que chefia o centro de pesquisa CyberScout, observou [9] que vivemos em uma época em que os registros médicos começaram a incluir uma quantidade alarmante de informações excessivamente íntimas: sobre doenças, diagnósticos, tratamento e sobre problemas de saúde. Uma vez em mãos erradas, essas informações podem ser usadas para capitalizar o mercado negro da Darknet, motivo pelo qual os cibercriminosos geralmente escolhem os centros médicos como alvo.
  • Em 2 de setembro de 2014, Mike Orkut, especialista técnico do MIT, disse [10]: “Embora apenas números de cartão de crédito e de previdência social roubados estejam em menor demanda no mercado negro da Darknet - cartões médicos com muitas informações pessoais, lá a um bom preço. Inclusive porque eles dão às pessoas sem seguro a oportunidade de receber cuidados médicos, que de outra forma não poderiam pagar. ”
  • Um cartão médico roubado pode ser usado para receber atendimento médico em nome do proprietário legal deste cartão. Como resultado, os dados médicos de seu proprietário legal e os dados médicos do ladrão serão misturados no cartão médico. Além disso, se um ladrão vender cartões médicos roubados a terceiros, ele poderá ficar ainda mais contaminado. Portanto, ao chegar ao hospital, o proprietário legal do cartão corre o risco de receber cuidados médicos que serão baseados no tipo sanguíneo de outra pessoa, histórico médico de outra pessoa, lista de reações alérgicas de outra pessoa etc. [9]
  • Além disso, o ladrão pode esgotar o limite de seguro do titular legal do cartão médico, o que privará o último da oportunidade de receber os cuidados médicos necessários quando necessário. No momento mais inoportuno. De fato, muitos planos de seguro têm restrições anuais a certos tipos de procedimentos e tratamentos. E certamente nenhuma companhia de seguros pagará por duas operações de apendicite. [9]
  • Usando um cartão médico roubado, um ladrão pode abusar de medicamentos prescritos. Ao mesmo tempo, privar o legítimo proprietário da oportunidade de obter o remédio necessário quando ele precisar. Afinal, as prescrições para medicamentos geralmente são limitadas. [9]
  • Eliminar ataques cibernéticos maciços em cartões de crédito e débito não é tão problemático. A proteção contra ataques de phishing direcionados é um pouco mais problemática. No entanto, quando se trata de roubo e abuso de EMCs, o crime pode ser quase invisível. Se o fato de um crime é descoberto, geralmente é apenas em uma situação de emergência, quando as consequências podem ser literalmente fatais. [9]


Por que o roubo de cartões médicos está em uma demanda tão crescente?


  • Em março de 2017, o Centro de Combate ao Roubo de Identidade informou que mais de 25% dos vazamentos de dados confidenciais vieram de centros médicos. Esses vazamentos causam US $ 5,6 bilhões em danos anuais aos centros médicos.A seguir estão algumas razões pelas quais o roubo de registros médicos é tão procurado. [18]
  • Os cartões médicos são os produtos mais populares no mercado negro da Darknet. Cartões médicos são vendidos lá por US $ 50 cada. Para comparação, os números de cartão de crédito são vendidos na Darknet por US $ 1 cada - 50 vezes mais barato que os cartões médicos. A demanda por cartões médicos também se deve ao fato de serem consumíveis como parte de serviços criminais abrangentes para falsificação de documentos. [18]
  • Se o comprador de cartões médicos não foi encontrado, o atacante pode usar o cartão médico e realizar o roubo tradicional: os cartões médicos contêm informações suficientes para obter um cartão de crédito em nome da vítima, abrir uma conta bancária ou tomar um empréstimo. [18]
  • Tendo um cartão médico roubado na mão, um cibercriminoso, por exemplo, pode realizar um ataque de phishing direcionado complexo (figurativamente falando, afiar uma lança de phishing), posando como um banco: “Boa tarde, sabemos que você será submetido a uma cirurgia. Não se esqueça de pagar por serviços relacionados clicando neste link. " E então você pensa: "Bem, como eles sabem que eu tenho uma cirurgia amanhã, provavelmente é uma carta do banco". Se um invasor não perceber o potencial dos cartões médicos roubados aqui, ele poderá usar o vírus ransomware para extorquir dinheiro do centro médico - para restaurar o acesso a sistemas e dados bloqueados. [18]
  • , – , – , . , , , , – , , . [18]
  • IT- . , , – . [18]
  • , . – . , – - . [18]
  • , . IT- , . , , , IT- . [18]
  • , , – . [18]


?


  • 30 2015 «Tom's Guide» [31], . , - , , (SSN) . – - . , – . , SSN . , , – , . – . , SSN, .
  • [31], [32]; , [34]. , , , , , .
  • , – .. -. - , , – . . [33]
  • – , , . , SSN , – - , -, SSN. [33]
  • 2007 , SSN [34]. SSN, , – SSN . «», 2014 , – 2009 , 100 . , – , – . [34]
  • SSN 50 , SSN . SSN , SSN 18 . T.O. SSN, – . – SSN- . [34]


. ?


  • 2017 «MIT Technology Review», , , « », . [35]:
  • () , , . – , , . « » – : , , . [35]
  • , ; , . – – , , . , , – . [35]
  • , . , . , – , , , « ». , – . , , – , – , , « ». , , , . – ? [35]
  • 2015 «-», -, – . , -, , , , . , – « ». 700 . . . - , « » , , – , , . , , « » . , : « » , . , , . « » , . [35]
  • , , – , , . . , , . – . , , . – , . , ? [35]


WannaCry?


  • 25 2017 «» , [16] – , . : .
  • «» [16], , 8000 ; , WannaCry, 17% . , WannaCry, 5% . , 60 .
  • 13 2017 , WannaCry, , «Johns Hopkins Medicine» [17] «Harvard Business Review» , – .
  • 15 2017 , WannaCry, , , [15] «Harvard Business Review» , , – .
  • 20 2017 , WannaCry, , – «Brigham and Women's Hospital», [20] «Harvard Business Review» , , . , . 34 . , . .


?


  • 2006 , - [52]: « . . , . , 10 20 . , , , ».
  • 3 2016 , IBM Hewlett Packard, «Carbonite», , – [19] «Harvard Business Review» : « - , , CEO , . , CEO IT-. . : 1) - ; 2) ; 3) ».
  • . [18], : « – . , . , , , , , – , ».
  • 19 2017 «» [23], WannaCry 25% . , Verizon, – , ; , .

PS ? , . ( 70) , , , .


  1. David Talbot. Computer Viruses Are "Rampant" on Medical Devices in Hospitals // MIT Technology Review (Digital). 2012.
  2. Kristina Grifantini. "Plug and Play" Hospitals // MIT Technology Review (Digital). 2008.
  3. . «» // SecureList. 2017.
  4. Tom Simonite. With Hospital Ransomware Infections, the Patients Are at Risk // MIT Technology Review (Digital). 2016..
  5. Sarah Marsh. NHS workers and patients on how cyber-attack has affected them // The Guardian. 2017.
  6. Alex Hern. Hackers publish private photos from cosmetic surgery clinic // The Guardian. 2017.
  7. Sarunas Cerniauskas. Lithuania: Cybercriminals Blackmail Plastic Surgery Clinic with Stolen Photos // OCCRP: Organized Crime and Corruption Reporting Progect. 2017.
  8. Ray Walsh. Naked Plastic Surgery Patient Photos Leaked on Internet // BestVPN. 2017.
  9. Adam Levin. Physician Heal Thyself: Are Your Medical Records Safe? // HuffPost. 2016.
  10. Mike Orcutt. Hackers Are Homing In on Hospitals // MIT Technology Review (Digital). 2014.
  11. . 2017. // : - . 2016.
  12. Jim Finkle. Exclusive: FBI warns healthcare sector vulnerable to cyber attacks // Reuters. 2014.
  13. Julia Carrie Wong. Los Angeles hospital returns to faxes and paper charts after cyberattack // The Guardian. 2016.
  14. Mike Orcutt. Hollywood Hospital's Run-In with Ransomware Is Part of an Alarming Trend in Cybercrime // MIT Technology Review (Digital). 2016.
  15. Robert M. Pearl, MD (Harvard). What Health Systems, Hospitals, and Physicians Need to Know About Implementing Electronic Health Records // Harvard Business Review (Digital). 2017.
  16. 'Thousands' of known bugs found in pacemaker code // BBC. 2017.
  17. Peter Pronovost, MD. Hospitals Are Dramatically Overpaying for Their Technology // Harvard Business Review (Digital). 2017.
  18. Rebecca Weintraub, MD (Harvard), Joram Borenstein. 11 Things the Health Care Sector Must Do to Improve Cybersecurity // Harvard Business Review (Digital). 2017.
  19. Mohamad Ali. Is Your Company Ready for a Ransomware Attack? // Harvard Business Review (Digital). 2016.
  20. Meetali Kakad, MD, David Westfall Bates, MD. Getting Buy-In for Predictive Analytics in Health Care // Harvard Business Review (Digital). 2017.
  21. Michael Gregg. Why Your Medical Records Are No Longer Safe // HuffPost. 2013.
  22. Report: Health care leads in data breach incidents in 2017 // SmartBrief. 2017.
  23. Matthew Wall, Mark Ward. WannaCry: What can you do to protect your business? // BBC. 2017.
  24. More than 1M records exposed so far in 2017 data breaches // BBC. 2017.
  25. Alex Hern. Who is to blame for exposing the NHS to cyber-attacks? // The Guardian. 2017.
  26. How to Protect Your Networks From Ransomware // FBI. 2017.
  27. Data Breach Industry Forecast // Rxperian. 2017.
  28. Steven Erlanger, Dan Bilefsky, Sewell Chan. UK Health Service Ignored Warnings for Months // The New York Times. 2017.
  29. Windows 7 hardest hit by WannaCry worm // BBC. 2017.
  30. Allen Stefanek. Hollwood Pressbyterian Medica Center .
  31. Linda Rosencrance. Synthetic Identity Theft: How Crooks Create a New You // Tom's Guide. 2015.
  32. What is Synthetic Identity Theft and How to Prevent It .
  33. Synthetic Identity Theft .
  34. Steven D'Alfonso. Synthetic Identity Theft: Three Ways Synthetic Identities Are Created // Security Intelligence. 2014.
  35. Will Knight. The Dark Secret at the Heart of AI // MIT Technology Review. 120(3), 2017.
  36. .. - // « ».
  37. // « ».
  38. // « ».
  39. . // « ».
  40. // . 2015.
  41. . // Computerworld . 2012.
  42. . // Computerworld . 2012.
  43. . // . 2016.
  44. . // 2012.
  45. «-» .
  46. .. «» // « ».
  47. () + .
  48. E-Hospital. .
  49. // « ».
  50. IT- ?
  51. () // « ».
  52. // « ».
  53. // « ».
  54. // « ».
  55. .., .. // IT-. 3(4). 2015.
  56. IT : // . 2013.
  57. .., .., .. // . 2015.
  58. . // . 2017.
  59. . – « » // . 2016.
  60. « »: WannaCry // 2017.
  61. . // . 2017.
  62. Erik Bosman, Kaveh Razavi. Dedup Est Machina: Memory Deduplication as an Advanced Exploitation Vector // Proceedings of the IEEE Symposium on Security and Privacy. 2016. pp. 987-1004.
  63. Bruce Potter. Dirty Little Secrets of Information Security // DEFCON 15. 2007.
  64. . «» - .

Source: https://habr.com/ru/post/pt460361/

More articles:


All Articles