Русский
English
Français
Deutsch
Español
Italiano
Português
日本語
한국어
Выброшенные медицинские устройства содержат массу информации о медицинских учреждениях
Исследователи обнаружили, что инфузионные насосы, продаваемые на вторичных рынках, таких как eBay, до сих пор содержат массу конфиденциальной информации о больницах, которым они когда-то принадлежали.
Главный исследователь безопасности Rapid7 Дерал Хейланд и несколько других изучили 13 брендов инфузионных насосов, таких как Alaris, Baxter и Hospira, найдя учетные данные доступа и данные аутентификации их предыдущих владельцев. Эти машины являются важными устройствами, которые устанавливаются рядом с больничными койками и передают жидкости, лекарства или питательные вещества в систему кровообращения пациента.
Исследование проливает свет на постоянную проблему в области медицинских устройств: важные сохраненные данные, оставшиеся на инфузионных насосах, которые не очищаются должным образом перед прекращением приобретения. Устройства часто продаются на вторичных рынках, когда больницы модернизируют их или заменяют более новыми моделями.
Восемь из 13 проверенных устройств содержали конфиденциальную информацию, что, по словам Хейланда, является свидетельством того, что некоторые из них действительно были должным образом очищены от данных перед продажей на таких сайтах, как eBay.
Информация, оставленная на большинстве устройств, может предложить кому-то пароли Wi-Fi, которые с высокой вероятностью останутся действительными в медицинских организациях в США.
«Определение ограничений на то, что можно или нельзя продавать онлайн, становится трудным. Как рынок — например, Ebay — будет контролировать это, чтобы определить, были ли устройства очищены или нет?» Хейланд рассказал Recorded Future News.
«В данном случае я считаю, что ответственность лежит на обеих сторонах. Во-первых, поставщики встраиваемых медицинских технологий должны предоставить простой и хорошо документированный метод очистки устройств перед их выводом из эксплуатации и передачей. Во-вторых, медицинские организации, использующие эти технологии, должны внедрить процессы и процедуры (от колыбели до могилы), которые гарантируют, что устройства должным образом очищаются от данных перед выводом из эксплуатации, продажей или передачей другой стороне».
Инфузионные насосы уже давно являются источником беспокойства для экспертов и поставщиков кибербезопасности, которые потратили более десяти лет, пытаясь улучшить свою безопасность. В сентябре ФБР предупредило, что уязвимости в устройствах открывают двери для кибератак.
Шон Сурбер, старший директор и стратег в области здравоохранения компании по кибербезопасности Tanium, сказал, что учреждения здравоохранения «должны так же дисциплинированно утилизировать устройства, как и биологические материалы».
«Подобные сценарии слишком распространены, поскольку медицинские насосы и другие периферийные устройства часто игнорируются как вектор атаки», — сказал он. «Раскрытие учетных данных и ключей внутренней беспроводной сети может легко привести к тому, что злоумышленник получит внутренний доступ к сети и воспользуется другими уязвимыми устройствами в этой сети. Оттуда злоумышленник может легко распространить вредоносное ПО или программу-вымогатель или незаметно собрать и украсть личную медицинскую информацию [PHI]».
Атака такого рода потребует непосредственной физической близости к цели, но, по словам Сурбера, может быть особенно разрушительной, «поскольку злоумышленник сможет получить PHI на своем собственном устройстве, а не отправлять через другие механизмы, которые с большей вероятностью будут перехвачены». решениями сетевой безопасности».
Некоторые производители инфузионных насосов, упомянутые в отчете Rapid7, не ответили на запросы о комментариях.
Представитель Becton, Dickinson and Company — компании, выпускающей инфузионные насосы Alaris, — заявил, что данные, представленные в BD Alaris Systems, «защищены элементами управления, присутствующими в системе, и соблюдением лучших отраслевых практик безопасности в отношении контроля доступа, идентификации и авторизации. , кадровая безопасность и физическая защита активов».
О проблемах, задокументированных в отчете, «ранее сообщалось клиентам BD, и они устраняются или смягчаются с помощью компенсирующих средств управления в новейшей системе BD Alaris Infusion System», — сказал представитель.
«Скрытые данные об устаревших медицинских устройствах, которые не были должным образом выведены из эксплуатации, являются известной проблемой во всей отрасли. В 2016 году компания BD выпустила бюллетень по безопасности продукта об остаточных данных системы BD Alaris, чтобы привлечь внимание к этой проблеме и предоставить клиентам рекомендации по защите данных пациентов».