卡巴斯基全球俄罗斯研究和分析团队负责人 Maria Namestnikova 表示,远程医疗服务不仅仅是视频通话。“我们谈论的是一系列复杂且快速发展的技术和产品,包括专业应用、可穿戴设备、可植入传感器和云数据库,”她说。“然而,许多医院仍然依赖未经测试的第三方服务来存储患者数据,医疗保健可穿戴设备和传感器的漏洞仍然存在。”
Kaspersky: Wearable medical devices vulnerable to DTP attack
Kaspersky: Wearable medical devices vulnerable to DTP attack
Security analysts have found 33 vulnerabilities in MMQT, a frequently used protocol that rarely includes authentication or encryption.
Kaspersky warns users of wearable devices / fig. Luke Chaser, Unsplash.com
Kaspersky security researchers have announced that a common data transfer protocol used by medical devices is riddled with security vulnerabilities. They identified 33 vulnerabilities in 2021, which is an increase compared to the issues discovered in 2020.
Check also:
Kaspersky also announced that 90 vulnerabilities have been identified since 2014. This total includes critical vulnerabilities that, according to the analysis, have not yet been patched. It seems to be simply ignored by manufacturers and suppliers.
The researchers also found flaws in the Qualcomm Snapdragon wearable platform, which is used in many wearables.
The MMQT protocol is often used in remote patient monitors. These devices record heart activity and other health indicators continuously or intermittently. The problem with MMQT is that authentication is “completely optional,” according to Kasperski, and rarely involves encryption. This makes the protocol “highly vulnerable to man-in-the-middle attacks” and puts a person’s medical data, personal data, and potential location at risk of theft.
Telehealth services go beyond video calls, said Maria Namestnikova, head of the global Russia research and analysis team at Kaspersky. “We’re talking about a whole range of complex and rapidly evolving technologies and products, including specialized applications, wearable devices, implantable sensors and cloud databases,” she said. “However, many hospitals still rely on untested third-party services to store patient data, and vulnerabilities in healthcare wearables and sensors remain open.”
Kaspersky recommends that healthcare providers take the following steps to keep patient data safe:
Check the security of the app or device suggested by the hospital or medical organization
Limit the data sent by remote healthcare apps if possible (eg, don’t allow the device to send location data if it’s not needed)
Change your passwords from the default and use encryption if your device provides it
Additional research from the Kaspersky Healthcare 2021 Report finds that doctors and nurses are concerned about data security, potential HIPAA violations, and even misdiagnosis due to poor video quality.
The report focused on telehealth, but it also raised questions about the technology’s overall impact on healthcare. About half of telehealth providers say they have patients who refused to join a video visit due to privacy and data security concerns. Healthcare providers are also concerned, with 81% citing concerns about how patient data from telehealth sessions are used and shared.
Providers are also concerned that personal penalties may arise as a result of data leaks during remote consultation. In addition, 34% of telehealth providers said one or more doctors at their company misdiagnosed due to poor video or image quality.
Data loss is not the only cybersecurity problem that hospitals face. A study by security firm Armis found that 85% of healthcare companies have seen an increase in Internet risk over the past year. Up to 58% of IT professionals in this sector say their organizations have been affected by ransomware. This study is based on a survey conducted in October 2021 by Censuswide among 400 IT professionals working in health care organizations in the United States and 2,030 general and patient respondents.
Kaspersky: Wearable medical devices vulnerable to DTP attack
Kaspersky : les dispositifs médicaux portables vulnérables aux attaques DTP
Les analystes de la sécurité ont trouvé 33 vulnérabilités dans MMQT, un protocole fréquemment utilisé qui inclut rarement l’authentification ou le cryptage.
Kaspersky met en garde les utilisateurs d’appareils portables / fig. Luke Chaser, Unsplash.com
Les chercheurs en sécurité de Kaspersky ont annoncé qu’un protocole de transfert de données commun utilisé par les appareils médicaux est truffé de failles de sécurité. Ils ont identifié 33 vulnérabilités en 2021, ce qui représente une augmentation par rapport aux problèmes découverts en 2020.
Vérifiez également :
Kaspersky a également annoncé que 90 vulnérabilités ont été identifiées depuis 2014. Ce total comprend des vulnérabilités critiques qui, selon l’analyse, n’ont pas encore été corrigées. Il semble être simplement ignoré par les fabricants et les fournisseurs.
Les chercheurs ont également trouvé des failles dans la plate-forme portable Qualcomm Snapdragon, qui est utilisée dans de nombreux appareils portables.
Le protocole MMQT est souvent utilisé dans les moniteurs patient à distance. Ces appareils enregistrent l’activité cardiaque et d’autres indicateurs de santé de manière continue ou intermittente. Le problème avec MMQT est que l’authentification est “complètement facultative”, selon Kasperski, et implique rarement le cryptage. Cela rend le protocole “très vulnérable aux attaques de l’homme du milieu” et expose les données médicales, les données personnelles et l’emplacement potentiel d’une personne à un risque de vol.
Les services de télésanté vont au-delà des appels vidéo, a déclaré Maria Namestnikova, responsable de l’équipe mondiale de recherche et d’analyse sur la Russie chez Kaspersky. “Nous parlons de toute une gamme de technologies et de produits complexes et en évolution rapide, y compris des applications spécialisées, des dispositifs portables, des capteurs implantables et des bases de données cloud”, a-t-elle déclaré. “Cependant, de nombreux hôpitaux s’appuient toujours sur des services tiers non testés pour stocker les données des patients, et les vulnérabilités des appareils portables et des capteurs de soins de santé restent ouvertes.”
Kaspersky recommande aux prestataires de soins de prendre les mesures suivantes pour assurer la sécurité des données des patients :
Vérifiez la sécurité de l’application ou de l’appareil suggéré par l’hôpital ou l’organisation médicale
Limitez les données envoyées par les applications de soins de santé à distance si possible (par exemple, n’autorisez pas l’appareil à envoyer des données de localisation si ce n’est pas nécessaire)
Changez vos mots de passe par défaut et utilisez le cryptage si votre appareil le fournit
Des recherches supplémentaires du rapport Kaspersky Healthcare 2021 révèlent que les médecins et les infirmières sont préoccupés par la sécurité des données, les violations potentielles de la loi HIPAA et même les diagnostics erronés dus à une mauvaise qualité vidéo.
Le rapport s’est concentré sur la télésanté, mais il a également soulevé des questions sur l’impact global de la technologie sur les soins de santé. Environ la moitié des fournisseurs de télésanté disent avoir des patients qui ont refusé de participer à une visite vidéo en raison de problèmes de confidentialité et de sécurité des données. Les prestataires de soins de santé sont également préoccupés, 81 % citant des inquiétudes quant à la manière dont les données des patients issues des sessions de télésanté sont utilisées et partagées.
Les fournisseurs craignent également que des sanctions personnelles puissent survenir à la suite de fuites de données lors de la consultation à distance. En outre, 34 % des fournisseurs de télésanté ont déclaré qu’un ou plusieurs médecins de leur entreprise avaient mal diagnostiqué en raison d’une mauvaise qualité de vidéo ou d’image.
La perte de données n’est pas le seul problème de cybersécurité auquel les hôpitaux sont confrontés. Une étude de la société de sécurité Armis a révélé que 85 % des entreprises de soins de santé ont constaté une augmentation des risques liés à Internet au cours de l’année écoulée. Jusqu’à 58 % des professionnels de l’informatique de ce secteur affirment que leur organisation a été affectée par des ransomwares. Cette étude est basée sur une enquête menée en octobre 2021 par Censuswide auprès de 400 professionnels de l’informatique travaillant dans des organisations de soins de santé aux États-Unis et auprès de 2 030 répondants généraux et patients.
Kaspersky: Wearable medical devices vulnerable to DTP attack
Kaspersky: Tragbare medizinische Geräte sind anfällig für DTP-Angriffe
Sicherheitsanalysten haben 33 Schwachstellen in MMQT gefunden, einem häufig verwendeten Protokoll, das selten Authentifizierung oder Verschlüsselung beinhaltet.
Kaspersky warnt Nutzer von Wearables / Abb. Luke Chaser, Unsplash.com
Sicherheitsforscher von Kaspersky haben bekannt gegeben, dass ein gemeinsames Datenübertragungsprotokoll, das von medizinischen Geräten verwendet wird, mit Sicherheitslücken gespickt ist. Sie identifizierten 2021 33 Schwachstellen, was eine Zunahme im Vergleich zu den im Jahr 2020 entdeckten Problemen darstellt.
Überprüfen Sie auch:
Kaspersky gab außerdem bekannt, dass seit 2014 90 Schwachstellen identifiziert wurden. Darin enthalten sind kritische Schwachstellen, die der Analyse zufolge noch nicht gepatcht wurden. Es scheint von Herstellern und Zulieferern einfach ignoriert zu werden.
Die Forscher fanden auch Fehler in der Wearable-Plattform Qualcomm Snapdragon, die in vielen Wearables verwendet wird.
Das MMQT-Protokoll wird häufig in entfernten Patientenmonitoren verwendet. Diese Geräte zeichnen die Herzaktivität und andere Gesundheitsindikatoren kontinuierlich oder intermittierend auf. Das Problem bei MMQT ist, dass die Authentifizierung laut Kasperski „völlig optional“ ist und selten eine Verschlüsselung beinhaltet. Dies macht das Protokoll „höchst anfällig für Man-in-the-Middle-Angriffe“ und setzt die medizinischen Daten, persönlichen Daten und den potenziellen Standort einer Person einem Diebstahlrisiko aus.
Telegesundheitsdienste gehen über Videoanrufe hinaus, sagte Maria Namestnikova, Leiterin des globalen Forschungs- und Analyseteams für Russland bei Kaspersky. „Wir sprechen über eine ganze Reihe komplexer und sich schnell entwickelnder Technologien und Produkte, einschließlich spezialisierter Anwendungen, tragbarer Geräte, implantierbarer Sensoren und Cloud-Datenbanken“, sagte sie. „Viele Krankenhäuser verlassen sich jedoch immer noch auf ungetestete Dienste von Drittanbietern, um Patientendaten zu speichern, und Schwachstellen in Wearables und Sensoren im Gesundheitswesen bleiben offen.“
Kaspersky empfiehlt Gesundheitsdienstleistern, die folgenden Schritte zu unternehmen, um Patientendaten zu schützen:
Überprüfen Sie die Sicherheit der vom Krankenhaus oder der medizinischen Organisation vorgeschlagenen App oder des Geräts
Beschränken Sie nach Möglichkeit die von Remote-Apps für die Gesundheitsfürsorge gesendeten Daten (erlauben Sie dem Gerät z. B. nicht, Standortdaten zu senden, wenn dies nicht erforderlich ist).
Ändern Sie Ihre Standardkennwörter und verwenden Sie die Verschlüsselung, wenn Ihr Gerät dies bereitstellt
Zusätzliche Untersuchungen aus dem Kaspersky Healthcare 2021 Report zeigen, dass Ärzte und Krankenschwestern besorgt über die Datensicherheit, mögliche HIPAA-Verstöße und sogar Fehldiagnosen aufgrund schlechter Videoqualität sind.
Der Bericht konzentrierte sich auf Telemedizin, warf aber auch Fragen zu den allgemeinen Auswirkungen der Technologie auf das Gesundheitswesen auf. Etwa die Hälfte der Telemedizinanbieter gibt an, Patienten zu haben, die sich aus Datenschutz- und Datensicherheitsgründen geweigert haben, an einem Videobesuch teilzunehmen. Gesundheitsdienstleister sind ebenfalls besorgt, wobei 81 % Bedenken darüber äußern, wie Patientendaten aus Telemedizinsitzungen verwendet und weitergegeben werden.
Anbieter befürchten zudem, dass durch Datenlecks bei der Fernberatung personengebundene Strafen entstehen können. Darüber hinaus gaben 34 % der Telemedizinanbieter an, dass ein oder mehrere Ärzte in ihrem Unternehmen aufgrund schlechter Video- oder Bildqualität eine Fehldiagnose gestellt haben.
Datenverlust ist nicht das einzige Cybersicherheitsproblem, mit dem Krankenhäuser konfrontiert sind. Eine Studie des Sicherheitsunternehmens Armis ergab, dass 85 % der Gesundheitsunternehmen im vergangenen Jahr einen Anstieg des Internetrisikos verzeichnet haben. Bis zu 58 % der IT-Experten in diesem Sektor geben an, dass ihre Organisationen von Ransomware betroffen waren. Diese Studie basiert auf einer Umfrage, die im Oktober 2021 von Censuswide unter 400 IT-Experten, die in Gesundheitsorganisationen in den USA arbeiten, und 2.030 allgemeinen und Patientenbefragten durchgeführt wurde.
Kaspersky: Wearable medical devices vulnerable to DTP attack
Kaspersky: dispositivi medici indossabili vulnerabili agli attacchi DTP
Gli analisti della sicurezza hanno rilevato 33 vulnerabilità in MMQT, un protocollo utilizzato di frequente che raramente include l’autenticazione o la crittografia.
Kaspersky avverte gli utenti di dispositivi indossabili / fig. Luke Chaser, Unsplash.com
I ricercatori di Kaspersky Security hanno annunciato che un protocollo di trasferimento dati comune utilizzato dai dispositivi medici è pieno di vulnerabilità di sicurezza. Hanno identificato 33 vulnerabilità nel 2021, un aumento rispetto ai problemi scoperti nel 2020.
Controlla anche:
Kaspersky ha inoltre annunciato che dal 2014 sono state identificate 90 vulnerabilità. Questo totale include vulnerabilità critiche che, secondo l’analisi, non sono state ancora corrette. Sembra essere semplicemente ignorato da produttori e fornitori.
I ricercatori hanno anche riscontrato dei difetti nella piattaforma indossabile Qualcomm Snapdragon, utilizzata in molti dispositivi indossabili.
Il protocollo MMQT viene spesso utilizzato nei monitor paziente remoti. Questi dispositivi registrano l’attività cardiaca e altri indicatori di salute in modo continuo o intermittente. Il problema con MMQT è che l’autenticazione è “completamente facoltativa”, secondo Kasperski, e raramente implica la crittografia. Ciò rende il protocollo “altamente vulnerabile agli attacchi man-in-the-middle” e mette a rischio di furto i dati medici, i dati personali e la posizione potenziale di una persona.
I servizi di telemedicina vanno oltre le videochiamate, ha affermato Maria Namestnikova, capo del team di ricerca e analisi globale della Russia presso Kaspersky. “Stiamo parlando di un’intera gamma di tecnologie e prodotti complessi e in rapida evoluzione, comprese applicazioni specializzate, dispositivi indossabili, sensori impiantabili e database cloud”, ha affermato. “Tuttavia, molti ospedali si affidano ancora a servizi di terze parti non testati per archiviare i dati dei pazienti e le vulnerabilità nei dispositivi indossabili e nei sensori sanitari rimangono aperte”.
Kaspersky consiglia agli operatori sanitari di adottare le seguenti misure per proteggere i dati dei pazienti:
Verifica la sicurezza dell’app o del dispositivo suggerito dall’ospedale o dall’organizzazione medica
Limitare i dati inviati dalle app sanitarie remote, se possibile (ad es. non consentire al dispositivo di inviare dati sulla posizione se non è necessario)
Modifica le tue password da quelle predefinite e usa la crittografia se il tuo dispositivo lo fornisce
Ulteriori ricerche del rapporto Kaspersky Healthcare 2021 rilevano che medici e infermieri sono preoccupati per la sicurezza dei dati, potenziali violazioni dell’HIPAA e persino diagnosi errate a causa della scarsa qualità del video.
Il rapporto si concentrava sulla telemedicina, ma sollevava anche interrogativi sull’impatto complessivo della tecnologia sull’assistenza sanitaria. Circa la metà dei fornitori di servizi di telemedicina afferma di avere pazienti che si sono rifiutati di partecipare a una visita video a causa di problemi di privacy e sicurezza dei dati. Anche gli operatori sanitari sono preoccupati, con l’81% che cita preoccupazioni su come vengono utilizzati e condivisi i dati dei pazienti dalle sessioni di telemedicina.
I fornitori temono inoltre che possano insorgere sanzioni personali a seguito di fughe di dati durante la consultazione a distanza. Inoltre, il 34% dei fornitori di servizi di telemedicina ha affermato che uno o più medici della loro azienda hanno diagnosticato erroneamente a causa della scarsa qualità del video o dell’immagine.
La perdita di dati non è l’unico problema di sicurezza informatica che gli ospedali devono affrontare. Uno studio della società di sicurezza Armis ha rilevato che l’85% delle aziende sanitarie ha visto un aumento del rischio Internet nell’ultimo anno. Fino al 58% dei professionisti IT in questo settore afferma che le proprie organizzazioni sono state colpite da ransomware. Questo studio si basa su un sondaggio condotto nell’ottobre 2021 da Censuswide tra 400 professionisti IT che lavorano nelle organizzazioni sanitarie negli Stati Uniti e 2.030 intervistati generali e pazienti.
Os analistas de segurança encontraram 33 vulnerabilidades no MMQT, um protocolo usado com frequência que raramente inclui autenticação ou criptografia.
A Kaspersky avisa os usuários sobre dispositivos vestíveis / fig. Luke Chaser, Unsplash.com
Os pesquisadores de segurança da Kaspersky anunciaram que um protocolo comum de transferência de dados usado por dispositivos médicos está repleto de vulnerabilidades de segurança. Eles identificaram 33 vulnerabilidades em 2021, o que representa um aumento em comparação com os problemas descobertos em 2020.
Confira também:
A Kaspersky também anunciou que 90 vulnerabilidades foram identificadas desde 2014. Esse total inclui vulnerabilidades críticas que, segundo a análise, ainda não foram corrigidas. Parece ser simplesmente ignorado por fabricantes e fornecedores.
Os pesquisadores também encontraram falhas na plataforma vestível Qualcomm Snapdragon, que é usada em muitos vestíveis.
O protocolo MMQT é frequentemente usado em monitores remotos de pacientes. Esses dispositivos registram a atividade cardíaca e outros indicadores de saúde de forma contínua ou intermitente. O problema com o MMQT é que a autenticação é “completamente opcional”, de acordo com a Kasperski, e raramente envolve criptografia. Isso torna o protocolo “altamente vulnerável a ataques man-in-the-middle” e coloca os dados médicos, os dados pessoais e a localização potencial de uma pessoa em risco de roubo.
Os serviços de telessaúde vão além das videochamadas, disse Maria Namestnikova, chefe da equipe global de pesquisa e análise da Rússia da Kaspersky. “Estamos falando de toda uma gama de tecnologias e produtos complexos e em rápida evolução, incluindo aplicativos especializados, dispositivos vestíveis, sensores implantáveis e bancos de dados em nuvem”, disse ela. “No entanto, muitos hospitais ainda dependem de serviços de terceiros não testados para armazenar dados de pacientes, e vulnerabilidades em dispositivos vestíveis e sensores de saúde permanecem em aberto.”
A Kaspersky recomenda que os profissionais de saúde tomem as seguintes medidas para manter os dados dos pacientes seguros:
Verifique a segurança do aplicativo ou dispositivo sugerido pelo hospital ou organização médica
Limite os dados enviados por aplicativos remotos de saúde, se possível (por exemplo, não permita que o dispositivo envie dados de localização se não for necessário)
Altere suas senhas do padrão e use criptografia se o seu dispositivo a fornecer
Pesquisas adicionais do Relatório Kaspersky Healthcare 2021 descobriram que médicos e enfermeiros estão preocupados com a segurança dos dados, possíveis violações da HIPAA e até diagnósticos incorretos devido à baixa qualidade do vídeo.
O relatório se concentrou em telessaúde, mas também levantou questões sobre o impacto geral da tecnologia na saúde. Cerca de metade dos provedores de telessaúde dizem ter pacientes que se recusaram a participar de uma visita por vídeo devido a questões de privacidade e segurança de dados. Os profissionais de saúde também estão preocupados, com 81% citando preocupações sobre como os dados dos pacientes das sessões de telessaúde são usados e compartilhados.
Os provedores também estão preocupados com a possibilidade de penalidades pessoais como resultado de vazamentos de dados durante a consulta remota. Além disso, 34% dos provedores de telessaúde disseram que um ou mais médicos em sua empresa foram diagnosticados incorretamente devido à baixa qualidade de vídeo ou imagem.
A perda de dados não é o único problema de segurança cibernética que os hospitais enfrentam. Um estudo da empresa de segurança Armis descobriu que 85% das empresas de saúde viram um aumento no risco da Internet no ano passado. Até 58% dos profissionais de TI neste setor dizem que suas organizações foram afetadas por ransomware. Este estudo é baseado em uma pesquisa realizada em outubro de 2021 pelo Censuswide entre 400 profissionais de TI que trabalham em organizações de saúde nos Estados Unidos e 2.030 entrevistados gerais e pacientes.
Исследователи безопасности «Лаборатории Касперского» объявили, что общий протокол передачи данных, используемый медицинскими устройствами, пронизан уязвимостями безопасности. В 2021 году они выявили 33 уязвимости, что больше по сравнению с проблемами, обнаруженными в 2020 году.
Проверьте также:
«Лаборатория Касперского» также сообщила, что с 2014 года было выявлено 90 уязвимостей. В это число входят критические уязвимости, которые, согласно анализу, еще не закрыты. Похоже, производители и поставщики просто игнорируют его.
Исследователи также обнаружили недостатки в носимой платформе Qualcomm Snapdragon, которая используется во многих носимых устройствах.
Протокол MMQT часто используется в удаленных мониторах пациентов. Эти устройства непрерывно или с перерывами регистрируют сердечную деятельность и другие показатели здоровья. Проблема с MMQT заключается в том, что, по словам Касперского, аутентификация является «совершенно необязательной» и редко включает шифрование. Это делает протокол «очень уязвимым для атак типа «человек посередине»» и подвергает риску кражи медицинские данные человека, личные данные и потенциальное местоположение.
Услуги телемедицины выходят за рамки видеозвонков, говорит Мария Наместникова, глава группы исследований и анализа России в «Лаборатории Касперского». «Мы говорим о целом ряде сложных и быстро развивающихся технологий и продуктов, включая специализированные приложения, носимые устройства, имплантируемые датчики и облачные базы данных», — сказала она. «Однако многие больницы по-прежнему полагаются на непроверенные сторонние сервисы для хранения данных о пациентах, а уязвимости в медицинских носимых устройствах и датчиках остаются открытыми».
«Лаборатория Касперского» рекомендует поставщикам медицинских услуг предпринять следующие шаги для обеспечения безопасности данных пациентов:
Проверьте безопасность приложения или устройства, предложенного больницей или медицинской организацией.
Если возможно, ограничьте данные, отправляемые удаленными медицинскими приложениями (например, не разрешайте устройству отправлять данные о местоположении, если они не нужны).
Измените свои пароли по умолчанию и используйте шифрование, если оно предусмотрено вашим устройством.
Дополнительные исследования из отчета Kaspersky Healthcare 2021 Report показывают, что врачи и медсестры обеспокоены безопасностью данных, потенциальными нарушениями HIPAA и даже неправильным диагнозом из-за плохого качества видео.
Отчет был посвящен телездравоохранению, но также поднял вопросы об общем влиянии технологии на здравоохранение. Около половины поставщиков телемедицинских услуг говорят, что у них есть пациенты, которые отказались присоединиться к видеопосещению из-за проблем с конфиденциальностью и безопасностью данных. Медицинские работники также обеспокоены: 81% опрошенных обеспокоены тем, как используются и передаются данные пациентов из сеансов телемедицины.
Провайдеры также обеспокоены тем, что могут возникнуть персональные санкции в результате утечки данных во время удаленной консультации. Кроме того, 34% поставщиков телемедицинских услуг заявили, что один или несколько врачей в их компании поставили неправильный диагноз из-за плохого качества видео или изображения.
Потеря данных — не единственная проблема кибербезопасности, с которой сталкиваются больницы. Исследование, проведенное охранной фирмой Armis, показало, что 85% медицинских компаний за последний год столкнулись с увеличением интернет-рисков. До 58% ИТ-специалистов в этом секторе говорят, что их организации пострадали от программ-вымогателей. Это исследование основано на опросе, проведенном Censuswide в октябре 2021 года среди 400 ИТ-специалистов, работающих в организациях здравоохранения в США, и 2030 респондентов общего профиля и пациентов.
Kaspersky: Wearable medical devices vulnerable to DTP attack
Kaspersky: dispositivos médicos portátiles vulnerables al ataque DTP
Los analistas de seguridad han encontrado 33 vulnerabilidades en MMQT, un protocolo de uso frecuente que rara vez incluye autenticación o cifrado.
Kaspersky advierte a los usuarios de dispositivos portátiles / fig. Luke Chaser, Unsplash.com
Los investigadores de seguridad de Kaspersky han anunciado que un protocolo común de transferencia de datos que utilizan los dispositivos médicos está plagado de vulnerabilidades de seguridad. Identificaron 33 vulnerabilidades en 2021, lo que representa un aumento en comparación con los problemas descubiertos en 2020.
Compruebe también:
Kaspersky también anunció que se han identificado 90 vulnerabilidades desde 2014. Este total incluye vulnerabilidades críticas que, según el análisis, aún no se han reparado. Parece ser simplemente ignorado por los fabricantes y proveedores.
Los investigadores también encontraron fallas en la plataforma portátil Qualcomm Snapdragon, que se utiliza en muchos dispositivos portátiles.
El protocolo MMQT se usa a menudo en monitores de pacientes remotos. Estos dispositivos registran la actividad cardíaca y otros indicadores de salud de forma continua o intermitente. El problema con MMQT es que la autenticación es “completamente opcional”, según Kasperski, y rara vez implica el cifrado. Esto hace que el protocolo sea “altamente vulnerable a los ataques de intermediarios” y pone en riesgo de robo los datos médicos, los datos personales y la ubicación potencial de una persona.
Los servicios de telesalud van más allá de las videollamadas, dijo Maria Namestnikova, jefa del equipo global de investigación y análisis de Rusia en Kaspersky. “Estamos hablando de toda una gama de tecnologías y productos complejos y en rápida evolución, que incluyen aplicaciones especializadas, dispositivos portátiles, sensores implantables y bases de datos en la nube”, dijo. “Sin embargo, muchos hospitales aún dependen de servicios de terceros no probados para almacenar datos de pacientes, y las vulnerabilidades en dispositivos portátiles y sensores de atención médica siguen abiertas”.
Kaspersky recomienda que los proveedores de atención médica sigan los siguientes pasos para mantener seguros los datos de los pacientes:
Verifique la seguridad de la aplicación o dispositivo sugerido por el hospital u organización médica
Si es posible, limite los datos enviados por aplicaciones remotas de atención médica (p. ej., no permita que el dispositivo envíe datos de ubicación si no es necesario)
Cambie sus contraseñas predeterminadas y use encriptación si su dispositivo lo proporciona
Investigaciones adicionales del Informe Kaspersky Healthcare 2021 encuentran que los médicos y enfermeras están preocupados por la seguridad de los datos, las posibles violaciones de HIPAA e incluso los diagnósticos erróneos debido a la mala calidad del video.
El informe se centró en la telesalud, pero también planteó preguntas sobre el impacto general de la tecnología en la atención médica. Aproximadamente la mitad de los proveedores de telesalud dicen que tienen pacientes que se negaron a unirse a una visita por video debido a problemas de privacidad y seguridad de los datos. Los proveedores de atención médica también están preocupados, con un 81 % citando preocupaciones sobre cómo se usan y comparten los datos de los pacientes de las sesiones de telesalud.
A los proveedores también les preocupa que puedan surgir sanciones personales como resultado de fugas de datos durante la consulta remota. Además, el 34 % de los proveedores de telesalud dijeron que uno o más médicos de su empresa dieron un diagnóstico erróneo debido a la mala calidad del video o la imagen.
La pérdida de datos no es el único problema de ciberseguridad al que se enfrentan los hospitales. Un estudio realizado por la firma de seguridad Armis encontró que el 85% de las empresas de atención médica han visto un aumento en el riesgo de Internet durante el último año. Hasta el 58% de los profesionales de TI en este sector dicen que sus organizaciones se han visto afectadas por ransomware. Este estudio se basa en una encuesta realizada en octubre de 2021 por Censuswide entre 400 profesionales de TI que trabajan en organizaciones de atención médica en los Estados Unidos y 2030 encuestados generales y de pacientes.
Kaspersky: Wearable medical devices vulnerable to DTP attack
Kaspersky: Giyilebilir tıbbi cihazlar DTP saldırısına karşı savunmasız
Güvenlik analistleri, nadiren kimlik doğrulama veya şifreleme içeren, sık kullanılan bir protokol olan MMQT’de 33 güvenlik açığı buldu.
Kaspersky, kullanıcıları giyilebilir cihazlar konusunda uyarır / şek. Luke Chaser, Unsplash.com
Kaspersky güvenlik araştırmacıları, tıbbi cihazlar tarafından kullanılan ortak bir veri aktarım protokolünün güvenlik açıklarıyla dolu olduğunu duyurdu. 2020’de keşfedilen sorunlara kıyasla bir artış olan 2021’de 33 güvenlik açığı belirlediler.
Ayrıca kontrol edin:
Kaspersky ayrıca 2014’ten bu yana 90 güvenlik açığı tespit edildiğini duyurdu. Bu toplam, analize göre henüz yamalanmamış kritik güvenlik açıklarını da içeriyor. Üreticiler ve tedarikçiler tarafından basitçe görmezden geliniyor gibi görünüyor.
Araştırmacılar ayrıca birçok giyilebilir cihazda kullanılan Qualcomm Snapdragon giyilebilir platformunda da kusurlar buldular.
MMQT protokolü genellikle uzak hasta monitörlerinde kullanılır. Bu cihazlar, kalp aktivitesini ve diğer sağlık göstergelerini sürekli veya aralıklı olarak kaydeder. MMQT ile ilgili sorun, Kasperski’ye göre kimlik doğrulamanın “tamamen isteğe bağlı” olması ve nadiren şifreleme içermesidir. Bu, protokolü “ortadaki adam saldırılarına karşı son derece savunmasız” hale getirir ve bir kişinin tıbbi verilerini, kişisel verilerini ve potansiyel konumunu hırsızlık riskine sokar.
Kaspersky’deki küresel Rusya araştırma ve analiz ekibinin başkanı Maria Namestnikova, telesağlık hizmetlerinin görüntülü aramaların ötesine geçtiğini söyledi. “Özel uygulamalar, giyilebilir cihazlar, implante edilebilir sensörler ve bulut veritabanları dahil olmak üzere bir dizi karmaşık ve hızla gelişen teknoloji ve ürünlerden bahsediyoruz” dedi. “Ancak, birçok hastane hasta verilerini depolamak için hala test edilmemiş üçüncü taraf hizmetlerine güveniyor ve sağlık giyilebilir cihazlarındaki ve sensörlerdeki güvenlik açıkları açık kalıyor.”
Kaspersky, sağlık hizmeti sağlayıcılarının hasta verilerini güvende tutmak için aşağıdaki adımları atmasını önerir:
Hastane veya tıbbi kuruluş tarafından önerilen uygulamanın veya cihazın güvenliğini kontrol edin
Mümkünse uzak sağlık uygulamaları tarafından gönderilen verileri sınırlayın (örneğin, gerekli değilse cihazın konum verileri göndermesine izin vermeyin)
Parolalarınızı varsayılandan değiştirin ve cihazınız sağlıyorsa şifrelemeyi kullanın
Kaspersky Healthcare 2021 Raporundan yapılan ek araştırmalar, doktorların ve hemşirelerin veri güvenliği, olası HIPAA ihlalleri ve hatta düşük video kalitesi nedeniyle yanlış teşhis konusunda endişe duyduğunu ortaya koyuyor.
Rapor telesağlığa odaklandı, ancak aynı zamanda teknolojinin sağlık hizmetleri üzerindeki genel etkisi hakkında soruları da gündeme getirdi. Telesağlık sağlayıcılarının yaklaşık yarısı, gizlilik ve veri güvenliği endişeleri nedeniyle bir video ziyaretine katılmayı reddeden hastaları olduğunu söylüyor. Sağlık hizmeti sağlayıcıları da endişe duyuyor ve %81’i telesağlık seanslarından alınan hasta verilerinin nasıl kullanıldığı ve paylaşıldığına ilişkin endişelerini dile getiriyor.
Sağlayıcılar ayrıca, uzaktan danışma sırasında veri sızıntılarının bir sonucu olarak kişisel cezaların ortaya çıkabileceğinden endişe duymaktadır. Buna ek olarak, telesağlık sağlayıcılarının %34’ü şirketlerindeki bir veya daha fazla doktorun düşük video veya görüntü kalitesi nedeniyle yanlış teşhis konulduğunu söyledi.
Veri kaybı, hastanelerin karşılaştığı tek siber güvenlik sorunu değildir. Güvenlik firması Armis tarafından yapılan bir araştırma, sağlık şirketlerinin %85’inin geçtiğimiz yıl internet riskinde bir artış gördüğünü buldu. Bu sektördeki BT uzmanlarının %58’e kadarı, kuruluşlarının fidye yazılımlarından etkilendiğini söylüyor. Bu çalışma, Censuswide tarafından Ekim 2021’de Amerika Birleşik Devletleri’ndeki sağlık kuruluşlarında çalışan 400 BT uzmanı ile 2.030 genel ve hasta katılımcı arasında yürütülen bir ankete dayanmaktadır.
أعلن باحثو الأمن في Kaspersky أن بروتوكول نقل البيانات الشائع الذي تستخدمه الأجهزة الطبية مليء بالثغرات الأمنية. حددوا 33 نقطة ضعف في عام 2021 ، وهي زيادة مقارنة بالمشكلات التي تم اكتشافها في عام 2020.
تحقق أيضًا من:
أعلنت Kaspersky أيضًا أنه تم تحديد 90 نقطة ضعف منذ عام 2014. يشمل هذا الإجمالي نقاط الضعف الحرجة التي ، وفقًا للتحليل ، لم يتم تصحيحها بعد. يبدو أنه يتم تجاهلها ببساطة من قبل المصنعين والموردين.
وجد الباحثون أيضًا عيوبًا في منصة Qualcomm Snapdragon القابلة للارتداء ، والتي تُستخدم في العديد من الأجهزة القابلة للارتداء.
غالبًا ما يستخدم بروتوكول MMQT في أجهزة مراقبة المريض عن بُعد. تسجل هذه الأجهزة نشاط القلب والمؤشرات الصحية الأخرى بشكل مستمر أو متقطع. تكمن مشكلة MMQT في أن المصادقة “اختيارية تمامًا” ، وفقًا لـ Kasperski ، ونادرًا ما تتضمن تشفيرًا. هذا يجعل البروتوكول “عرضة بشدة لهجمات الرجل في الوسط” ويعرض البيانات الطبية للشخص والبيانات الشخصية والموقع المحتمل لخطر السرقة.
قالت ماريا ناميستنيكوفا ، رئيس فريق البحث والتحليل الروسي العالمي في Kaspersky ، إن خدمات الرعاية الصحية عن بُعد تتجاوز مكالمات الفيديو. وقالت: “نحن نتحدث عن مجموعة كاملة من التقنيات والمنتجات المعقدة وسريعة التطور ، بما في ذلك التطبيقات المتخصصة ، والأجهزة القابلة للارتداء ، وأجهزة الاستشعار القابلة للزرع وقواعد البيانات السحابية”. “ومع ذلك ، لا تزال العديد من المستشفيات تعتمد على خدمات الجهات الخارجية غير المختبرة لتخزين بيانات المرضى ، ولا تزال نقاط الضعف في الأجهزة القابلة للارتداء وأجهزة الاستشعار للرعاية الصحية مفتوحة.”
توصي Kaspersky مقدمي الرعاية الصحية باتخاذ الخطوات التالية للحفاظ على أمان بيانات المريض:
تحقق من أمان التطبيق أو الجهاز الذي تقترحه المستشفى أو المنظمة الطبية
قلل البيانات التي ترسلها تطبيقات الرعاية الصحية عن بُعد إن أمكن (على سبيل المثال ، لا تسمح للجهاز بإرسال بيانات الموقع إذا لم تكن هناك حاجة)
قم بتغيير كلمات المرور الخاصة بك من الكلمات الافتراضية واستخدم التشفير إذا كان جهازك يوفرها
وجد بحث إضافي من تقرير Kaspersky Healthcare 2021 أن الأطباء والممرضات قلقون بشأن أمان البيانات وانتهاكات HIPAA المحتملة وحتى التشخيص الخاطئ بسبب جودة الفيديو الرديئة.
ركز التقرير على الرعاية الصحية عن بعد ، لكنه طرح أيضًا أسئلة حول التأثير الكلي للتكنولوجيا على الرعاية الصحية. يقول حوالي نصف مزودي الخدمات الصحية عن بُعد إن لديهم مرضى رفضوا الانضمام إلى زيارة الفيديو بسبب مخاوف تتعلق بالخصوصية وأمن البيانات. يشعر مقدمو الرعاية الصحية بالقلق أيضًا ، حيث ذكر 81 ٪ مخاوف بشأن كيفية استخدام بيانات المريض من جلسات الرعاية الصحية عن بُعد ومشاركتها.
يشعر مقدمو الخدمات أيضًا بالقلق من احتمال ظهور عقوبات شخصية نتيجة لتسرب البيانات أثناء الاستشارة عن بُعد. بالإضافة إلى ذلك ، قال 34٪ من مقدمي الخدمات الصحية عن بُعد إن طبيبًا واحدًا أو أكثر في شركاتهم أخطأ في التشخيص بسبب ضعف جودة الفيديو أو الصورة.
فقدان البيانات ليس المشكلة الوحيدة للأمن السيبراني التي تواجهها المستشفيات. وجدت دراسة أجرتها شركة الأمن Armis أن 85٪ من شركات الرعاية الصحية شهدت زيادة في مخاطر الإنترنت خلال العام الماضي. يقول ما يصل إلى 58٪ من محترفي تكنولوجيا المعلومات في هذا القطاع إن مؤسساتهم قد تأثرت ببرامج الفدية الضارة. تستند هذه الدراسة إلى استطلاع أجري في أكتوبر 2021 من قبل Censuswide بين 400 متخصص في تكنولوجيا المعلومات يعملون في مؤسسات الرعاية الصحية في الولايات المتحدة و 2030 من المستجيبين العامين والمرضى.
