בריאות – CyBureau

דליפת פרטי 1.2 מיליון לקוחות מערכת הבריאות הלאומית בבריטניה

23 אוגוסט 2017/ב אנונימוס, בריאות, בריטניה, הדלפה /על ידי Tal Pavel

ב-18 אוגוסט פורסם כי גורמים המזוהים עם "אנונימוס" גנבו פרטיהם של 1.2 מיליון מטופלים במערכת הבריאות הלאומית הבריטית (National Health Service – NHS), זאת באמצעות פריצה למערכת האבטחה של חברה בשם SwiftQueue וגישה לבסיס הנתונים שהכיל מידע זה. החברה אחראית על ניהול האתר באמצעותו יכולים הלקוחות להזמין פגישה או תור במרפאה או בית חולים, כמו גם הפעלת מסופים בחדרי ההמתנה באמצעותם יכולים המטופלים להרשם עם הגעתם.

גורם שהזדהה כפעיל "אנונימוס" טען כי כל בסיס הנתונים של החברה המכיל 11 מליון רשומות וסיסמאות נפרץ וזאת בטענה כי "לציבור קיימת הזכות לדעת כיצד חברות גדולות דוגמת SwiftQueue מנהלות מידע רגיש. הן אפילו לא יכולות להגן על נתוני המטופלים", תוך התייחסות לכך כי הפריצה ניצלה חולשה בתוכנת החברה אשר אמורה היתה להיות מתוקנת לפני מספר שנים.

מנגד מסרה החברה כי בסיס הנתונים שלה אינו כה גדול וכי בדיקה ראשונית העלתה כי היתה גישה רק ל-32,501 "רשומות של מידע מנהלתי"', בכלל זה שמות המטופלים, תאריכי לידה, מספרי טלפון וכתובות דוא"ל. אולם היא מסרה כי אין ברשותה מידע רפואי וכי כל הסיסמאות מוצפנות. אולם לא נמצאה התייחסות לארוע באתר החברה או בחשבון הטוויטר שלה.

כל זאת בהמשך למתקפת הכופרה WannaCry אשר פגעה במהלך חודש מאי בבריטניה וברחבי העולם, תוך פגיעה במוסדות בריאות בה המהווים חלק ממערכת הבריאות הלאומית, על ידי ניצול פרצות אבטחה, עד לכדי ביטול למעלה מ-15 אלף פגישות וניתוחים.

מבדיקה שנערכה בתחילת השנה על ידי NHS Digital האחראי על רשתות ה-IT ב-NHS, התברר כי המערכות נעדרות עדכוני אבטחה וכי לרבע מהמשתמשים סיסמאות אשר הוגדרו "מאוד חלשות".

כשל חיסוני: המחלות של אבטחת המידע במערכות הבריאות

1 דצמבר 2015/ב אבטחה קיברנטית, בריאות /על ידי Luis Sanchez

מערכת הבריאות נמצאת בסכנה ונתונה לתקיפות בחזית אבטחת המידע. נושא בוער זה עמד במרכזו של כנס "הפורום לפרטיות ואבטחה" של IT News שהתקיים לאחרונה בבוסטון, ארה"ב. ריצ'רד קלארק, מומחה לאבטחת מידע ששימש כראש התחום בבית הלבן, התייחס לעניין פרצות האבטחה במערכות מידע רפואי (PHI) וציין שגורמים העוסקים בנושא נוטים שלא להבחין בפרצות אבטחה ופעמים רבות נדרשים אליהן רק כאשר הם מקבלים מידע מגורמים חיצוניים, ממשלתיים ואחרים.

לדבריו, אומנם מדובר בסכנה ממשית למערכות המידע הרפואי וחסיון הפרט, אך קיימים שבעה איומים משמעותיים נוספים וחמורים אף יותר.

אלה כוללים את האיומים הגוברים של השתלטות על מידע אישי חסוי ושימוש בו למטרות סחיטה (Ransomware) והעלייה הגוברת במספר "התקפות מניעת שירות" DDos)), שנובעות מיצירת עומס חריג על משאבי המערכת אשר מוביל לחסימתה ולמניעת הגישה אליה. איומים אחרים הם השתלטות על מערכות מידע ומחיקת תכנים מוחלטת (Wiper Attacks), כפי שקרה במתקפות הסייבר על ענקית הבידור האמריקאית "סוני" ועל חברת הנפט הסעודית הלאומית "עראמקו", גניבת כספים שמבוצעת על ידי האקרים שמתחזים לעובדים מורשים וכך מקבלים נגישות למידע פיננסי מסווג וגישה לחשבונות וכספים אותם הם מעבירים בסבך אלקטרוני מורכב עד להיעלמם במרחב הקיברנטי, והתופעה הנפוצה של גניבת קניין רוחני (IP) שאותה מגדיר קלארק כ"דבר החמור ביותר שמתרחש בתחום". שני איומים נוספים נובעים גם הם מהסכנה שבשימוש זדוני במאגרי המידע הרפואי ועשויים להביא לפגיעה ממשית בחיי אדם. מדובר בהרס נתונים (Data Destruction), על ידי האקרים ששולטים מרחוק במערכות הפעלה של מכשירים שונים (כגון גנרטורים ומכשור רפואי) ויכולים אף לגרום להרס פיזי שלהם, ובמניפולציה של מידע (Data Manipulation), שעלולה להוביל לא רק לשיבוש מערכות וליצירת כאוס, אלא שהשלכותיה הפוטנציאליות יכולות להיות מסוכנות ואף קטלניות ככל שמדובר במערכות בריאות. תארו לכם מה יכול לקרות בהיעדר בקרה מספקת על מאגרי נתונים של תרומות ועירויי דם, מאגרי השתלות וכל מידע רפואי אחר…

איומים אלו מעמידים אתגרים ממשיים בפני תעשיית אבטחת המידע הגלובלית בכלל ומערכות הבריאות בפרט, שייאלצו להמשיך להתמודד עמן ויידרשו למצוא להן פתרונות הולמים ומספקים. בנאומו, כפי שצוטט בדיווח של Healthcare IT News, התייחס קלארק באופן ישיר לעובדה שכיום העשייה הגלובלית בתחום אינה מספקת ולכן נגזר ממנה מוניטין בעייתי לעוסקים במלאכה וטען בתוקף כי "לא ניתן יותר להתעלם מהנושא".

ארה"ב: טעות במשלוח מכתבים הביאה לחשיפת מידע רפואי חסוי של 1,622 איש

2 ספטמבר 2015/ב ארה"ב, בריאות, הדלפה /על ידי Tal Pavel

ב-17 באוגוסט פרסמה The Department of Health Care Policy and Financing במדינת קולורדו הודעה רשמית על כך שנחשף שלא במתכוון מידע רפואי חסוי במסגרת תכתובת דוא"ל שהתבצעה מה-25 מאי ועד ה-5 יולי 2015 והכילה מידע רפואי חסוי מקרב 1,622 משקי בית.

במהלך הארוע קיבלו המכותבים בטעות מכתבים במסגרתם נחשפו לפרטיהם של אחרים. הארוע התגלה ב-1 ביולי על ידי תושב אשר הודיע לעובד המדינה כי קיבל אליו מכתב שלא יועד לו.

המידע שבמכתבים אלו כלל שמות, כתובות, מספרי זיהוי מדינתיים ורפואיים, שמות קרובי משפחה, שם מעסיק, הכנסה ממעסיק זה, סכומי מס ומידע מנהלתי. לגבי פחות מחמישים מאלו, כלל המידע גם תאריכי לידה.

עם זאת נמסר כי אף לא אחד מהמכתבים כלל מספרי ביטוח לאומי או מידע פיננסי אחר בו ניתן להשתמש לשם גנבת זהות או ביצוע הונאה.

המחלקה הודיעה כי התקלה תוקנה על ידי גורמי מערכות המידע במשרד המושל ב-5 ביולי וכי אלו אשר הושפעו מהדליפה קיבלו הודעה על כך, לצד "נקיטת צעדים נוספים על מנת למנוע טעויות בעתיד".

דליפת 1.1 מיליון רשומות מחברת ביטוח רפואי בארה"ב

7 יוני 2015/ב ארה"ב, בריאות, הדלפה /על ידי Tal Pavel

ב-20 במאי הודיע מנכ"ל חברת CareFirst באתר החברה כי היא היתה נתונה למתקפה קיברנטית מתוחכמת במהלכה השיגו התוקפים "גישה מוגבלת ובלתי מורשית לבסיס נתונים יחיד של CareFirst". מההודעה עולה כי בארוע נפגעו כ-1.1 מיליון מנויים בהווה ובעבר וגורמים פרטיים בעלי קשרים עיסקיים עם החברה אשר נרשמו באתרי החברה לפני התאריך 20 ביוני 2014.

הארוע התגלה במהלך "מאמצים מתמשכים של אבטחת טכנולוגיית המידע של החברה, לאור התקפות קיברנטיות אחרונות של חברות ביטוח בתחום הבריאות". כבמקרים דומים רבים בעבר, גם כאן נשכרה חברת Mandiant לביצוע בחינה מקפת של סביבת מערכות המידע.

הבדיקה העלתה כי ביוני 2014 הצליחו הפורצים להשיג גישה לבסיס נתונים של החברה בו נשמרו פרטי הגישה של המנויים וגורמים נוספים לאתרי החברה ולשרותיה המקוונים. אולם חברת Mandiant לא מצאה כל עדות לתקיפה נוספת או גישה למידע נוסף.

עם זאת העדויות מצביעות על כך שהתוקפים "יתכן והשיגו" שמות משתמש שיצרו הלקוחות, כמו גם את שמות הלקוחות, תאריכי לידה, כתובות דוא"ל, ומספרי זיהוי של המנויים. אולם נמסר בהודעה כי "מידע מוגבל היה מעורב בהתקפה זו" ולא כלל מספרי ביטוח לאומי, מידע רפואי או פיננסי. מהחברה נמסר כי גישה לנתוני המשתמש דרך אתר החברה אפשרית תוך שימוש בשמות המשתמש ובצמידות לסיסמאות שיצרו המשתמשים, אך בסיס הנתונים שנפרץ לא הכיל סיסמאות אלה, הואיל ואלו מוצפנות לגמרי ונשמרות במערכת נפרדת כאמצעי אבטחה מפני התקפות שכאלה.

כמו לגבי חברות דומות, גם זו הציעה ללקוחותיה שיתכן ונפגעו שרות חינמי למשך שנתיים של ניטור והגנה מפני גנבת זהות. עוד נמסר כי לשם הזהירות, חסמה החברה את הגישה לכל החשבונות של מנוייה ותבקש מהם ליצור שמות משתמש וסיסמאות חדשים.

דליפת מידע – סכנה ברורה, מיידית וריווחית

7 יוני 2015/ב בריאות, הדלפה, עסקים /על ידי Tal Pavel

ב-27 במאי פורסם כי ממחקר של חברת Ponemon, אשר מומן על ידי IBM, עולה כי העלות הממוצעת של ארוע דליפת מידע עומד על 3.8 מיליון דולר, ממוצע של 154 דולר לרשומה, זאת בהשוואה ל-3.5 מיליון דולר בשנה שעברה וממוצע של 145 דולר לרשומה.

המחקר אשר בוצע בקרב 350 חברות שנפגעו מדליפת מידע מ-11 מדינות, מגלה שמלבד ההוצאות הישירות בגין נזקי הדליפה, אלו כוללות גם עלויות של שכירת מומחים לטיפול בארוע, חקר המקרה, שרות תמיכה טלפונית וכן שרותי ניטור כרטיסי אשראי ללקוחות שנפגעו. במחקר נטען כי העלות הממוצעת אינה כוללת הדלפות ענק אשר השפיעו על מיליוני לקוחות, כאשר זו שפגעה בחברת Target לבדה הסבה נזק בעלות של 148 מיליון דולר.

עוד טוען המחקר כי מרבית פעילות של הדלפת נתונים מבוצעת על ידי פשיעה מאורגנת ממומנת היטב וכי תחום שרותי הבריאות הוא בעל סיכון גבוה יותר כאשר עלות רשומה שדלפה במגזר זה היא 363 דולר בהשוואה ל-154 בממוצע בכל המגזרים.

אכן מגזר הבריאות והרפואה בארה"ב מהווה "גן עדן לפושעים קיברנטיים" תוך יצירת נזק שנתי של 6 מיליארד דולר וגניבת 88.4 מיליון רשומות על ידי פושעים קיברנטיים, אשר שמים דגש הולך וגדל על מגזר זה בפעילותם, זאת הואיל ושוויו של מידע זה הוא פי 20 מאלו של נתוני אשראי גנובים. דוגמאות לכך הם דליפת פרטיהם של אלף מטופלי צינתור, 56 אלף מטופלי הרפואה הציבורית בסן פרנסיסקו, 62 אלף עובדי המרכז הרפואי UPMC (והדלפה נוספת הפעם של 2,200 מטופלים ממוסד זה), פרטי 4.5 מיליון מטופלים מקבוצת בתי החולים הגדולה ביותר בארה"ב ואף 11 מיליון רשומות של לקוחות חברת ביטוח רפואי.

דליפת פרטי כאלף מטופלי צינתור בארה"ב

3 יוני 2015/ב ארה"ב, בריאות, הדלפה /על ידי Tal Pavel

ב-15 במאי פורסם על דבר פריצה לחברת MetroHealth System אשר נאלצה להודיע לכאלף מטופלי צינתור בבית החולים במהלך השנה החולפת, כי פרטים האישיים יתכן ודלפו בשל פריצה לשלושה מחשבים.

החברה זיהתה ב-17 במרץ נוזקה בשלושה מחשבים במעבדת הצינתור שהשפיעה על מטופלים ששהו במעבדה בין התאריכים 14 יולי 2014 ועד 21 מרץ 2015. עם גילוי הנוזקה התברר כי היתה קיימת אחת נוספת שהוסרה רק ב-21 במרץ.

מהבדיקה שנערכה התברר בין השאר כי שותף עסקי "השבית את תוכנת האנטי וירוס במחשבים על מנת לאפשר עדכון תוכנה. אין עדות לגישה למידע רפואי". עוד נמסר כי המחשבים לא הכילו מידע פיננסי, אשר הוא על פי רוב המטרה של נוזקות אלה. אולם המידע האישי אשר יתכן ודלף כלל; שמות, תאריכי לידה, גובה, משקל, טיפול תרופתי, פרטי הצינתור, מידע רפואי מנהלתי.

החברה המליצה למטופלים לנטר את פעילות חשבונם והבהירה כי היא חיזקה את הליכי ההגנה על פרטיות המטופלים ובכלל זה הגברת הניטור אחר נוזקות ועדכוני תוכנות.

ושוב דליפת מידע מ-UPMC

18 מאי 2015/ב ארה"ב, בריאות, הדלפה /על ידי Tal Pavel

ב-15 במאי פרסם המרכז הרפואי (UPMC (University of Pittsburgh Medical Center באתר האינטרנט שלו הודעה ממנה מתברר כי 2,200 ממטופליו במחלקות הרפואה הדחופה קיבלו הודעה כתובה לפיה יתכן ומידע מתיקיהם הרפואיים דלף על ידי ספק חיצוני.

חברת Medical Management LLC, המספקת שרותי חיוב, הודיעה לאחרונה ל-UPMC וספקי שרותי רפואה אחרים, לפיה סוכנויות האכיפה הפדרליות הודיעו לה על דבר קיומה של חקירה פלילית בדבר עובד מרכז שרות של החברה – מאז אינו מועסק בה יותר – אשר זוהה כמקור האחראי על העתקת "מספר פריטים של מידע אישי ממערכת החיוב במהלך השנתיים האחרונות וחשף לאחר מכן את המידע בצורה בלתי חוקית לצד ג'".

המידע שיתכן ודלף כלל שמות, תאריכי לידה ומספרי ביטוח לאומי, עם זאת ההודעה מציינת כי אין עדות שדלף מידע הקשור בהסטוריה רפואית או בטיפולים. UPMC פועלת יחד עם ספק שרותי החיוב על מנת לחקור את דבר הדליפה ודיווחה עצמאית לרשויות הפדרליות המתאימות.

אולם אין זה הכשלון הקיברנטי הראשון בפניו ניצב UPMC, בסוף מאי 2014 הודיעה דוברת החברה על דליפת פרטיהם האישיים של כל 62 אלף עובדיה בכעשרים בתי חולים.

מגזר הרפואה בארה"ב; גן עדן לפושעים קיברנטיים

17 מאי 2015/ב ארה"ב, בריאות /על ידי Tal Pavel

ב-7 במאי פורסם כי תקיפות קיברנטיות נגד מערכת הרפואה בארה"ב גורמת לה לנזק שנתי של 6 מיליארד דולר מידיהם של פושעים קיברנטיים אשר שמים דגש הולך וגדל על מגזר זה בפעילותם.

התקפות קיברנטיות נגד ספקי שרותים בתחום הרפואה יותר מהכפילו עצמן במהלך חמש השנים האחרונות, תוך נזק ממוצע של 2.1 מיליון דולר לבית חולים, כאשר כ-90% מספקי שרותי הבריאות במדינה נפגעו מהתקפות שכאלה במהלך השנתיים האחרונות, מחציתן בעלות אופי פלילי. זאת על פי מחקר בשם "Fifth Annual Benchmark Study on Privacy and Security of Healthcare Data" שפורסם לאחרונה על ידי חברת Ponemon.

עוד עולה כי למרות המודעות הרבה שיוצרים ארועים רבים אלו, מרבית הגורמים עדיין אינם ערוכים להתגוננות מפני התקפות קיברנטיות מתוחכמות, אכן, כמחצית מהארגונים שנסקרו במחקר זה מסרו כי אין ברשותם הטכנולוגיה המתאימה למנוע פריצות, לאתרן במהירות או אף מומחים בעלי כישורים טכניים נדרשים.

התקפות אלו מבוצעות על ידי פושעים קיברנטיים, מתוחכמים מאוד על פי רוב, אשר פנו לתקוף את מגזר הבריאות הואיל ובו בסיסי הנתונים הם בעלי ערך רב יותר. זאת הואיל ורשומות רפואיות כוללות על פי רוב מספרי ביטוח לאומי, כתובות, מידע רפואי, דבר המעלה את שוויו של המידע לפי 20 מזה של נתוני אשראי גנובים. אלו עושים שימוש במידע לשם לקיחת הלוואות, פתיחת קווי אשראי על שמם של הקורבנות, או לשם גניבת זהות רפואית לצורך קבלת טיפול רפואי חינמי תוך התחזות לאלו שפרטיהם נגנבו.

המחקר מגלה כי במהלך השנה שעברה דלפו 88.4 מיליון רשומות כתוצאה מגניבה או פריצה, מספר כפול מאשר בשנת 2010, זאת לדברי המחלקה לשרותי רפואה הדורשת מארגונים לדווח על כל דליפה שמעורבים בה פרטיהם של יותר מ-500 מטופלים.

בין ארועי התקיפה שפגעו במוסדות בריאות בארה"ב ניתן למנות את גניבת 11 מיליון רשומות מחברת הביטוח הרפואי Premera Blue Cross במרץ השנה, גנבת פרטי 4.5 מיליון מטופלים מבתי חולים שמנהלת חברת Community Health Systems עליה דווח באוגוסט 2014, דליפת פרטיהם של כל 62 אלף עובדי University of Pittsburgh Medical Center, ודליפת נתוני 56 אלף מטופלי הרפואה הציבורית בסן פרנסיסקו.

חשש לגניבת מידע על 11 מיליון מלקוחות חברת ביטוח רפואי בארה"ב

22 מרץ 2015/ב ארה"ב, בריאות, הדלפה /על ידי Tal Pavel

חברת הביטוח הרפואי Premera Blue Cross הודיעה ב-17 במרץ כי היא היתה יעד להתקפה קיברנטית מתוחכמת במהלכה הצליחו התוקפים להשיג גישה למערכות המידע של החברה, דבר אשר הביא לחשיפת פרטיהם האישיים של לקוחותיה.

החברה הודיעה כי היא מעניקה גישה חופשית למשך שנתיים ללקוחותיה לשרותי בקרת אשראי והגנה על הזהות של חברת Experian, תוך עדכון מתמיד של אלו שנפגעו מפריצה זו. לשם כך החברה אף יצרה אתר מיוחד ובו מידע נוסף ללקוחותיה. מאתר זה ניתן ללמוד כי המידע על דבר ההתקפה הגיע לחברה ב-29 בינואר 2015 וכי הבדיקות שערכה גילו כי ההתקפה הראשונית התרחשה ב-5 במאי 2014, כמו גם העובדה שיתכן והמידע שנגנב הוא החל משנת 2002.

בהודעה נמסר כי החברה נקטה בצעדי הגנה ותמיכה בלקוחותיה שנפגעו, תוך ידוע ה-FBI כחלק מהחקירה שמנהלת החברה בין השאר בשיתוף פעולה עם חברת Mandiant לשם חקירת הארוע מבחינת אבטחה קיבנרטית וניקוי מערכותיה מהשלכות הפריצה, לצד צעדים שנקטה לחיזוק האבטחה של מערכות המידע.

ההודעה הבהירה כי "יתכן והתוקפים השיגו גישה למידע אישי ובכלל זה מידע על לקוחותנו, ספקי שרותי רפואה, וכן אנשים וארגונים נוספים עימם אנו עושים עסקים. מידע זה יכול לכלול שמות, תאריכי לידה, כתובות, מספרי טלפון, כתובות דוא"ל, מספרי ביטוח לאומי, מספרי זהות, מידע רפואי ומידע פיננסי. חשוב לציין כי חקירתנו לא קבעה כי המידע הוסר ממערכותנו. אין בידנו עדות בשלב זה כי נעשה שימוש לא ראוי במידע אליו היתה גישה במהלך ההתקפה".

כבמקרים דומים בעבר, הודעת החברה לא מגלה את היקף הפגיעה, מידע אותו ניתן ללמוד מאמצעי התקשורת. אכן, כתבה על הארוע מגלה כי הנתונים שנגנבו הם ככל הנראה של 11 מיליון מלקוחות החברה.

ארוע דומה התגלה בינואר השנה במהלכו הודיעה חברת הביטוח הרפואי Anthem כי מערכותיה נפרצו. גם כאן, אמצעי התקשורת גילו כי יתכן ו-78.8 מיליון מלקוחות החברה נפגעו באמצעות גנבת מידע אישי רב אודותם בעת הפריצה למערכות המחשב של החברה.

חברות ביטוח רפואי ובתי חולים הופכים ליעדים מועדפים על פורצים הואיל ומערכות המחשב בהן כוללות לא רק מידע אישי ופרטי אשראי, אלא גם מידע רפואי של לקוחות חברות אלה, מידע יקר ערך לגורמים שונים.

נסיון לסחיטה מקוונת של בית חולים באילינוי

19 דצמבר 2014/ב ארה"ב, בריאות, הדלפה, פשיעה קיברנטית /על ידי Tal Pavel

ב-16 דצמבר דווח כי בית החולים Clay County Hospital באילינוי הודה שהיה נתון לנסיון סחיטה מקוון תוך איום לפרסם מידע אודות המטופלים בו.

בית החולים הודיע כי קיבל ב-2 נובמבר הודעת דוא"ל אנונימית ובה התבקש לשלם סכום ניכר כדי למנוע פרסום פרטים על מטופלים, תוך צרוף פרטיהם של כמה לשם דוגמא. אולם מבדיקה שנערכה עולה כי נתונים אלו הם של מטופלים אשר שהו במוסד זה לפני פברואר 2012.

עם זאת בית החולים סרב למסור את מספר המטופלים אשר פרטיהם נגנבו, ואת המועד והדרך בה נגנבו, אולם נמסר כי הפרטים כוללים שמות, כתובות, מספרי ביטוח לאומי וכן תאריכי לידה, מבלי שנגנבו פרטים רפואיים. עוד דווח כי מבדיקה חיצונית שנערכה התברר כי בית החולים לא נפרץ.

למרות טענת בית החולים כי הודיע על כך מיד לרשויות אכיפת החוק, הידיעה עצמה פורסמה רק כעת, חודש וחצי לאחר הארוע.

בעת האחרונה דווחו מספר מקרים של גנבה רחבת היקף של מידע מבתי חולים בארה"ב ובכלל זה; הודעה מה-18 אוגוסט על הדלפת 4.5 מיליון רשומות של מטופלים מ-Community Health Systems, הודעה מה-31 במאי לפיה פרטיהם של כל 62 אלף עובדי University of Pittsburgh Medical Center נגנבו, וכן גנבת פרטיהם של 56 אלף מטופלי הרפואה הציבורית בסן פרנסיסקו.

ארה"ב: מסמך המלצות לאבטחה קיברנטית של מכשור רפואי

7 אוקטובר 2014/ב ארה"ב, בריאות, מוכנות /על ידי Tal Pavel

ב-6 באוקטובר פורסם כי מנהל המזון והתרופות האמריקאי (FDA), פרסם הנחיה ב-2 בחודש ובה הוא מציע שיצרני ציוד רפואי יקחו בחשבון סכנות של פריצה בעת עיצוב מוצריהם, זאת מבלי לדרוש אמצעי אכיפה.

המסמך פותח וקובע כי העליה בשימוש בתקשורת אלחוטית, מכשירים מבוססי אינטרנט כמו גם העברת מידע רפואי באמצעים אלקטרוניים, מעלים את הצורך בנקיטת אבטחה קיברנטית יעילה על מנת להבטיח את התפעול של המכשור הרפואי ובטיחותו.

ההנחיות הוכנו על ידי ה-FDA לשם תמיכה בתעשיה באמצעות זיהוי נושאים אשר להם זיקה לאבטחה קיברנטית שעל היצרנים לתת עליהם את הדעת בעיצוב ופיתוח המכשור הרפואי ובעת הכנת בקשות בטרם שיווק מכשירים אלה. זאת תוך קביעה כי אין במסמך זה אכיפת אחריות משפטית, אלא הוא משקף את "החשיבה הנוכחית" של רשות זו בנושא וכי הדברים צריכים להחשב כהמלצות בלבד, אלא אם קיימת הנחיה מפורשת אחרת, ולא בדרישה מיצרנים אלו.

המסמך ממליץ ליצרנים אלו לשקול את פעולות הגילוי, הגנה, זיהוי, תגובה ושחזור. בכלל זה בדיקת היכולות של מכשור רפואי לתקשר עם מכשירים אחרים, לאינטרנט, לרשת אחרת או לאמצעי אחסון שונים. ממשקי נתונים, סביבת השימוש הצפויה, חולשות קיימות באבטחה קיברנטית וכן הסיכון האפשרי למטופל בשל הפריצה הקיברנטית האפשרית. היצרנים צריכים לבחון בקפידה את האיזון בין שמירה על אבטחה קיברנטית לבין השימושיות במכשיר בסביבתו המיועדת לכך. במסגרת זו ממליץ המסמך להגביל את הגישה למכשור תוך זיהוי המשתמש ואף יצירת שכבות של הרשאות בהתאם לתפקיד המשתמש, יצירת אבטחה פיזית למכשור ואמצעי התקשורת שלהם, הרשאות בטרם ביצוע עדכוני תוכנה, יישום תכונות המאפשרות גילוי פריצות אבטחה, מימוש יכולות שיאפשרו למשתמש הקצה לנקוט בצעדים מתאימים עם גילוי ארוע של אבטחה קיברנטית, מימוש תכונות אשר יאפשרו הגנה על תפעול קריטי של המכשור אפילו אם אבטחתו נפרצה, מתן אפשרות לשחזור תצורת המכשור באמצעות משתמש מורשה.

זאת לצד אזהרה בדבר הצורך להעריך כל סיכון בשל שימוש שגוי אם בכוונת תחילה ואם בשוגג, כבר בשלבי עיצוב המוצר. בנוסף, מכשור ומערכות רפואיות אמורות לעקוב ולתעד התקפות ולאפשר לטכנאים להגיב על התקפות שכאלה, בין אם באמצעות הטלאת החולשה או באמצעים אחרים. לצד תעוד סיכוני האבטחה הקיברנטית אשר נבחנו בעת עיצוב המכשור.

במהלך החודשים האחרונים היינו עדים למספר ארועים של פריצה למערכות מחשב במגזר הבריאות בארה"ב ובכלל זה דליפת 4.5 מיליון רשומות מ-Community Health Systems, קבוצת בתי החולים הגדולה ביותר בארה"ב; דליפת מידע אישי של כל 62 אלף עובדי המרכז הרפואי פיטסבורג; וגנבת פרטיהם של 56 אלף חולים בסן פרנסיסקו.

זאת לצד הדיווחים על חששו של סגן נשיא ארה"ב לשעבר מפני פריצה קיברנטית לקוצב הלב שלו, המבוססת על הוכחת יכולת לפרוץ לשתלים רפואיים שונים ובכללם היכולת לפרוץ לקוצבי לב.

קספרסקי: דאגה במגזרי הפיננסים והבריאות מהכנסת טכנולוגיה של וירטואליזציה

19 ספטמבר 2014/ב בנקאות, בריאות /על ידי Tal Pavel

ב-17 בספטמבר פורסם דוח חדש של חברת קספרסקי לפיו מסקר שנערך בקרב 3,900 מומחי מערכות מידע ברחבי העולם, עולה כי מגזרי הפיננסים והבריאות הם אלו אשר יטו יותר מהאחרים לראות בשיקולי אבטחה מחסום בפני יישום טכנולוגיות של וירטואליזציה.

50% מהנשאלים מהמגזר הפיננסי הסכימו כי שיקולי אבטחה ימנעו אימוץ של טכנולוגיות וירטואליזציה, לאחריהם 49% מהמשיבים ממגזר הבריאות, זאת בהשוואה לממוצע של 40% בשאר המגזרים הלא תעשייתיים ו-43% בהכללת המגזרים התעשיתיים.

שני מגזרים אלו ידועים ככאלה המנהלים כמות עצומה של מידע רגיש ביותר על משתמשיהם ושניהם כפופים לחוקים וכללים מחמירים להגנת המידע ולגישה אליו. בנוסף, שני מגזרים אלה, ממוקמים במקום הגבוה ביותר בהיקף דרישות תאימות; 40% ו-38% לעומת ממוצע של 27% ביתר המגזרים. המחקר מעלה את האפשרות כי סוגיית דרישות התאימות יכולה לעמוד מאחורי מה שנתפס כ"שיקולי אבטחה" בהקשר זה. עם זאת בשני מגזרים אלו לא נרשמה דאגה שכזו בדבר מכונות וירטואליות שכבר מצויות ברשותם. מבין המשיבים מהמגזר הפיננסי, רק 16% מיקמו את "אבטחת תשתית הוירטואליזציה" כדאגה העליונה בתחומי אבטחת מערכות מידע, ורק 12% במגזר הבריאות, בהשוואה ל-14% בממוצע הכללי. המחקר מסביר את השוני בנתונים בגישה של "אם זה עובד, אל תתקן זאת". כלומר, נטיה להכיל את הקיים, אך לחשוש מקבלת החדש.

במחקר קודם של החברה התגלה כי לפחות רבע מהנשאלים גילו חוסר הבנה או הבנה חלשה בדבר אפשרויות האבטחה בתחום הוירטואליזציה, בעוד מרבית התשתית הקיימת בתחום זה אובטחה על ידם באמצעים מסורתיים בהם נעשה שימוש לאבטחת נקודות קצה פיזיות. לאור זאת ניתן להניח שתשובת מומחי מערכות המידע מתחומי הפיננסים והבריאות בדבר דאגתם מהוספת פלטפורמות וירטואליות לרשתות שלהם, נובעת מהצורך לנקוט בצעדי אבטחה יעודיים לתחום זה, דבר שהם ככל הנראה לא שולטים בו בצורה מלאה.