Kaspersky: Giyilebilir tıbbi cihazlar DTP saldırısına karşı savunmasız
Kaspersky: Giyilebilir tıbbi cihazlar DTP saldırısına karşı savunmasız
Güvenlik analistleri, nadiren kimlik doğrulama veya şifreleme içeren, sık kullanılan bir protokol olan MMQT’de 33 güvenlik açığı buldu.
Kaspersky güvenlik araştırmacıları, tıbbi cihazlar tarafından kullanılan ortak bir veri aktarım protokolünün güvenlik açıklarıyla dolu olduğunu duyurdu. 2020’de keşfedilen sorunlara kıyasla bir artış olan 2021’de 33 güvenlik açığı belirlediler.
Ayrıca kontrol edin:
Kaspersky ayrıca 2014’ten bu yana 90 güvenlik açığı tespit edildiğini duyurdu. Bu toplam, analize göre henüz yamalanmamış kritik güvenlik açıklarını da içeriyor. Üreticiler ve tedarikçiler tarafından basitçe görmezden geliniyor gibi görünüyor.
Araştırmacılar ayrıca birçok giyilebilir cihazda kullanılan Qualcomm Snapdragon giyilebilir platformunda da kusurlar buldular.
MMQT protokolü genellikle uzak hasta monitörlerinde kullanılır. Bu cihazlar, kalp aktivitesini ve diğer sağlık göstergelerini sürekli veya aralıklı olarak kaydeder. MMQT ile ilgili sorun, Kasperski’ye göre kimlik doğrulamanın “tamamen isteğe bağlı” olması ve nadiren şifreleme içermesidir. Bu, protokolü “ortadaki adam saldırılarına karşı son derece savunmasız” hale getirir ve bir kişinin tıbbi verilerini, kişisel verilerini ve potansiyel konumunu hırsızlık riskine sokar.
Kaspersky’deki küresel Rusya araştırma ve analiz ekibinin başkanı Maria Namestnikova, telesağlık hizmetlerinin görüntülü aramaların ötesine geçtiğini söyledi. “Özel uygulamalar, giyilebilir cihazlar, implante edilebilir sensörler ve bulut veritabanları dahil olmak üzere bir dizi karmaşık ve hızla gelişen teknoloji ve ürünlerden bahsediyoruz” dedi. “Ancak, birçok hastane hasta verilerini depolamak için hala test edilmemiş üçüncü taraf hizmetlerine güveniyor ve sağlık giyilebilir cihazlarındaki ve sensörlerdeki güvenlik açıkları açık kalıyor.”
Kaspersky, sağlık hizmeti sağlayıcılarının hasta verilerini güvende tutmak için aşağıdaki adımları atmasını önerir:
- Hastane veya tıbbi kuruluş tarafından önerilen uygulamanın veya cihazın güvenliğini kontrol edin
- Mümkünse uzak sağlık uygulamaları tarafından gönderilen verileri sınırlayın (örneğin, gerekli değilse cihazın konum verileri göndermesine izin vermeyin)
- Parolalarınızı varsayılandan değiştirin ve cihazınız sağlıyorsa şifrelemeyi kullanın
Kaspersky Healthcare 2021 Raporundan yapılan ek araştırmalar, doktorların ve hemşirelerin veri güvenliği, olası HIPAA ihlalleri ve hatta düşük video kalitesi nedeniyle yanlış teşhis konusunda endişe duyduğunu ortaya koyuyor.
Rapor telesağlığa odaklandı, ancak aynı zamanda teknolojinin sağlık hizmetleri üzerindeki genel etkisi hakkında soruları da gündeme getirdi. Telesağlık sağlayıcılarının yaklaşık yarısı, gizlilik ve veri güvenliği endişeleri nedeniyle bir video ziyaretine katılmayı reddeden hastaları olduğunu söylüyor. Sağlık hizmeti sağlayıcıları da endişe duyuyor ve %81’i telesağlık seanslarından alınan hasta verilerinin nasıl kullanıldığı ve paylaşıldığına ilişkin endişelerini dile getiriyor.
Sağlayıcılar ayrıca, uzaktan danışma sırasında veri sızıntılarının bir sonucu olarak kişisel cezaların ortaya çıkabileceğinden endişe duymaktadır. Buna ek olarak, telesağlık sağlayıcılarının %34’ü şirketlerindeki bir veya daha fazla doktorun düşük video veya görüntü kalitesi nedeniyle yanlış teşhis konulduğunu söyledi.
Veri kaybı, hastanelerin karşılaştığı tek siber güvenlik sorunu değildir. Güvenlik firması Armis tarafından yapılan bir araştırma, sağlık şirketlerinin %85’inin geçtiğimiz yıl internet riskinde bir artış gördüğünü buldu. Bu sektördeki BT uzmanlarının %58’e kadarı, kuruluşlarının fidye yazılımlarından etkilendiğini söylüyor. Bu çalışma, Censuswide tarafından Ekim 2021’de Amerika Birleşik Devletleri’ndeki sağlık kuruluşlarında çalışan 400 BT uzmanı ile 2.030 genel ve hasta katılımcı arasında yürütülen bir ankete dayanmaktadır.