电子病历是医疗保健的福音。必要时,医生可以获得重要信息,比如你的过敏史、病史和已知病情,这些信息在紧急情况下可以起到至关重要的作用。出于同样的原因,让这些信息落入坏人之手可能是一个严重的问题。
规定如HIPAA旨在促进个人医疗信息的超高安全标准,如果失败将处以巨额罚款。但是,对安全失败的罚款并不一定会带来安全成功。医生和医疗机构依赖软件供应商提供安全的系统,正如我们所看到的,软件可能会有漏洞。更糟糕的是,医疗机构不具备正确使用安全系统的知识,也不知道如何使它们与不安全系统断开连接。
宾夕法尼亚大学医学院(Penn Medicine)信息安全总监赛斯·福吉(Seth Fogie)对美国医疗安全进行了他所谓的“屏幕活检”黑帽与会者。它并不漂亮。
已知问题
福吉介绍了自己,指出他在16年前的黑帽大会上演讲的主题是掌上电脑安全滥用。这在今天看来似乎过时了,但正如他所指出的,Windows CE和其他过时的、不安全的系统仍在医疗保健行业中使用。
系统漏洞正在被利用和利用。“病人的记录正在被利用和出售,”福吉解释说。“有货币价值。”
在安全行业,你经常听说零日漏洞这些安全漏洞非常新,以前没有人见过。福吉将医疗行业的问题描述为“一日之易”。它们是已知的,但不是固定的。
福吉说:“H-ISAC(健康信息共享和分析中心)意识到了这一点,供应商也意识到了这一点,但无法保证补救措施。”他指出,在他的讲话中不会出现供应商的名字。“我的目标是提高公众的意识,为供应商提供指导,并为安全人员提供见解。”
黑帽诊所
福吉将他引人入胜的演讲作为一个关于爱丽丝和鲍勃访问黑帽诊所的故事。安全专家会记得的爱丽丝和鲍勃(在新窗口打开)来自里维斯特、沙米尔和阿德尔曼奠定基础的原始密码学论文公钥加密.现在他们长大了,鲍勃需要去诊所治疗。
根据他测试安全性的实际经验,Fogie检查了七种不同类型的可能被破坏的医疗系统,其中一些造成了灾难性的后果。故事一开始,鲍勃房间的电视上出现了一张陌生的面孔,并发出了含糊的威胁。这怎么可能呢?原来这不是电视;这是一个病人娱乐系统。因此,它可以处理订餐,接受医生的屏幕录像等等。而且不安全。
医务人员现在使用临床生产力软件。医生的笔记、保险编码数据、病人的说明等等都在里面。福吉发现了一个后门,可以访问超过10万份患者记录。
药品分配和监控肯定是最安全的,对吧?嗯,没有。福吉找到了一条轻松的路。“我们可以丢弃用户名和密码,”他解释道,“然后进入药品分配系统。我们可以将自己添加为任何级别的用户。真头疼!我们甚至可以偷一些对乙酰氨基酚。”
福吉注意到,供应商马上就解决了这个问题,而且他们并没有偷任何头痛药。
布道还在继续。福吉发现温度监测系统存在缺陷,可能会让不法分子控制,导致药物无效甚至中毒。护士呼叫系统?这不仅仅是一个蜂鸣器,它是一个完整的应用程序,它有一个硬编码的后门密码。至于成像系统,他们通过调整代码,只接受错误的密码,很容易就进入了。最后,Fogie和他的团队获得了“停机设备”的完全访问权限,该设备在数据中心不可用时向诊所提供本地信息。
福吉总结道:“22.5万份患者记录受到了损害,而这一点努力都没有。”“这可能价值225万美元,甚至2.25亿美元。如果我们这样推断,嗯,我可能会把它命名为一个万亿美元的问题。”
注意红旗
你可能认为在医疗设备和应用程序中找到安全漏洞需要几个月的艰苦工作,但事实并非如此。福吉和他的团队花了两到四个小时寻找特定的安全危险信号,他们经常会找到它们。
他们要找的东西都是硬编码的后门密码,通常都包含“后门”这个词。认真对待!仅在本地设备上进行的身份验证是另一个问题,因为它很容易被黑客攻击。使用简单的工具,测试团队可以查看应用程序的源代码,甚至在适当的地方修改它们。
福吉鼓励卫生保健安全团队使用宾夕法尼亚医院的红旗技术。他说:“如果你在外面做笔试的时候有机会,看看那些申请。”“你可能会发现一些有趣的事情。”最后,他向医疗保健应用程序供应商提出了请求。“我们在这里谈论的是病人护理,”他说,“所以这是一个病人数据隐私和安全问题。别让我们的工作更困难!”