许多研究表明,智能住宅、智能汽车和智能城市无可否认地有益于人们日常生活,但又往往会对他们的安全构成威胁,而这不仅仅是个人数据泄露的问题。试想一下,如果一个智能冰箱受到第三方的影响,会开始错误识别过期产品的新鲜度;或者更糟糕的是,智能车系统将车辆高速转向右侧,使司机无法察觉…
然而,现有的和可预见的来自家庭物联网设备的威胁只是我们周围的基础设施变得更智能化的问题的一部分。医学上的技术进步既鼓励医疗机构在处理数据方面使用专门的信息系统,也导致了能够与传统系统和网络交互的新型技术设备和个人设备的出现。这意味着与医疗系统相关的安全威胁也会随之出现。
医疗数据的访问入口点
对于医疗行业,主要的安全威胁与个人数据和患者健康状况有关。对数据安全水平评估的第一步是确定基础医疗机构的入口点,因为在基础医疗机构里医疗数据可以被收集、存储,或被一个恶意程序利用。
可能的入口点可分为以下几类:
•医疗机构的计算机网络的信息系统(因特网上的服务器、工作站、医疗设备管理面板等);
•连接到企业网络的医疗设备;
•不是网络节点但连接工作站的医疗设备(例如通过USB);
•患者的便携式设备(先进的健身追踪器,心脏起搏器和心脏监视器,胰岛素泵等)和移动设备,可以跟踪健康指标(移动智能手机和智能手表);
•其他无线信息系统(Wi-Fi、蓝牙、射频)、可移动心电设备,脉搏血氧仪,跟踪高危病人的医疗条件事件监视器等。
目前,我们将关注于不需要物理访问、并经常从因特网访问的设备及其组件。
便携式设备可以显示病史
2015年3月时,我们就已有如下关于便携式设备的安全风险猜想:“试想,如果一个健身跟踪与心率监视器被黑客攻击,那么当买家在商店购物时,所有商店的业主将能够跟踪买家的心率。广告对人们的影响可以用同样的方式进行研究。此外,一个装有心脏监视器的入侵式心率追踪器可以被用作测谎器。”
由于传感器的精度越来越高,收集其健康状况数据的小工具可能会被用于重症门诊护理,以评估病人的健康状况。然而,这些小工具的安全性并没有像它们的能力那样迅速发展。
在移动设备的帮助下跟踪生命体征可能成为门诊护理的一个组成部分。
通过跟踪生命体征收集的信息,可以由设备所有者和跟踪应用程序运行的基础设施供应商使用。对于用户来说,心率参数可以表示某个活动应该被减少,特定的药物应该被使用;而供应商可以将收集到的数据发送给医疗公司,可以使用它来评估客户的整体健康状况。
因此,小工具收集的数据的主要优点不在于它的分析深度(任何医学检查都会比健康追踪器获得更精确的结果),而在于动态评估患者健康状况变化的能力。使用信息的场景受到设备所有者的想象力以及健康数据相关法律的限制。
如果我们从网络罪犯的角度来看相同的信息,那么设备所有者不一定会将设备用在我们所期待的方向,健康分析(例如,心率、睡眠质量、或平均ADL评分)将允许罪犯获得受害者的健康概述。任何附加信息可由连接到移动设备的小部件传送至指定程序,例如,用户的血压或血糖水平。通过对受害者的疾病分析,任意的恶意程序或行为都可以激发他们健康状况的恶化。
获取健康数据的攻击行为可分为三种基本类型:违反数据隐私的攻击、破坏数据完整性的攻击和攻击数据可用性的攻击。
侵犯医疗数据隐私的攻击类型:
•中间人攻击传感器和存储传感器数据服务之间的传感器通道;
•未经授权访问本地和远程数据存储。
攻击数据完整性的类型:
•未经授权访问数据存储,可能存在数据替换;
•中间人对信道进行欺骗攻击以替代传输数据;
•修改(替换)数据并将其传输给消费者。
攻击可用性:
•勒索攻击(用户数据/删除加密)。
在线医疗数据
然而,我们想详细回顾另一个切入点——医疗机构网络上的信息系统。这些信息系统可以从因特网上访问。
医疗机构利用信息系统存储解决方案,存储有关病人的各种信息(诊断结果,有关处方药的信息,病史等)。这种系统的基础设施可以包括各种硬件和软件组件,它们可以被合并到数据存储网络中,并且可以以某种形式从因特网访问。
关于存储医疗数据的解决方案,可以将几个软件包作为医疗基础设施的入口点使用,如下。
•医院信息系统控制不同来源的医疗信息的软件包,包括下面提到的系统。
•电子健康记录(EHR)系统是专用软件,能够结构化存储病人数据和病历记录。
•附网存储(NAS)指专用网络存储设备,它可以是在医疗机构使用的存储医疗数据的专用设备。
•DICOM复合(数字成像和医学通信)设备和PACS(图像存档和通信系统)服务器是基于DICOM标准的医疗信息系统,包括以下组件:
DICOM客户端,这是一个能够对DICOM服务器传输数据的医疗设备;
DICOM服务器,这是一个从客户端接收和储存数据的软件(或硬件)包;
DICOM影像工作站和DICOM打印机,负责处理并可视化医学图像和印刷的软件和硬件。
上述系统的一个关键特性是可以通过Web接口(Web应用程序)在因特网上实现对它们的控制。某个网络接口如果有漏洞,可以被一个恶意程序所利用,犯罪者即能获得有价值的信息。详细地复查这些系统并验证他们是否能够接入网络是有价值的,换句话说,验证他们是否有可供那些网络犯罪分子利用的漏洞。
电子健康档案(EHR)
为了评估从外部(来自互联网)可以使用并可以与EHR一起工作的应用程序的数量,应该创建一个在这些任务中被使用的软件列表,然后组织一个Dork列表。Dorks是特殊的搜索引擎查询,目的是在搜索引擎索引的所有资源中查找所需软件的web组件。
下面是一个使用谷歌搜索EHR软件组件的登录表单的Dork查询示例:
intitle:”<vendor_name> Login” & inurl:<vendor name>
一个被发现的Web组件(一个登录表单)的示例,它的用途是与EHR一起工作。
值得注意的是,在搜索结果中发现的一些资源被证明是由犯罪者设下的陷阱(蜜罐)。这一事实本身就表明,有一部分群体正跟踪与医疗基础设施有关的威胁。
每一个被发现的web资源都是一个潜在的入口点,可以被一个恶意程序所利用来访问基础设施。例如,许多系统被发现缺乏对密码搜索的保护,这意味着罪犯可以使用蛮力攻击。然后,通过使用被黑客攻击的帐户,犯罪者可以通过接口获得特权访问系统,或者利用网络漏洞,以便将来访问系统。
一个用于登录到EHR系统的web接口的示例
医疗信息系统
“医院信息系统”是一个非常广泛的概念,包括一整套处理医疗信息的方法和技术。在我们的案例中,我们只对他的组件感兴趣,这些组件具有控制和可视化医疗信息的web接口。
我们以OpenEMR软件为例。该软件被用于医疗机构作为医疗数据管理解决方案,并由国家卫生信息技术协调员办公室(ONC)认证。它的一些组件是用PHP编程语言编写的,这意味着,对于黑客而言,维护这些OpenEMR组件的web服务器可以作为一个潜在的入口点。
在对搜索结果进行了快速分析后,很明显,大多数被发现的OpenEMR系统的组件都有弱点,包括一些关键的漏洞。这些漏洞公开可用,意味着利用这些漏洞可以打开OpenEMR数据库,并使其受到损害。
网络附加存储(NAS)
至少有两种类型的NAS服务器已经被医疗机构使用:专用的医疗NAS服务器和常规NAS服务器。差别在于,前者对存储在其上的数据有严格的安全性要求,后者的安全性依赖于他们的开发人员的职业操守,以及使用这种类型NAS的医疗机构的安全意识。因此,非医疗NAS可能会在没有任何更新的情况下工作多年,从而存在了大量已知的漏洞。
非医疗系统
上面描述的系统需要处理有价值的医疗数据,因此,这些系统的安全要求必须很高。但是,我们不能忽视,除了潜在的切入点,有其余几十个非医疗系统设备可以使用不与医疗系统直接相关,但位于基础设施之上的重要数据。
这里有几个非医疗系统的例子,可以作为计算机网络的潜在入口点:
•连接到机构网络并可从因特网访问的任何服务器(Web服务器、FTP服务器、电子邮件服务器等);
•医疗机构的公共Wi-Fi热点;
•办公室打印机;
·视频监视系统;
·SCADA控制器;
•控制建筑物的机械和电气部件的自动化系统(建筑管理系统,BMS)。
每一个提到的系统可能存在漏洞,可以用以非法的途径从而来获取重要数据。
如何实现安全
为了防止网络罪犯从机构中窃取医疗数据,青松建议采取以下措施:
•排除处理医疗数据或其他有关数据的所有信息系统的外部访问;
•连接到工作站(或者是网络节点)的所有医疗设备应该在专用段中隔离,而设备的操作参数可以通过使用工作站(或远程)进行修改;
•任何在线信息系统都应被隔离在“非军事区”或完全被排除在企业网络之外;
•持续监控医疗系统软件更新和更新软件;
•更改设置为医疗系统登录表单的默认密码,并从数据库中删除不需要的帐户(例如测试帐户);
•为所有帐户创建强密码。
•医疗系统内网采用专业的安全管理平台,对系统的整体安全实现全周期的监控、防御。
注:本文由青松云安全原创编译,如需转载,请署名出处。