Ich bin mir sicher, dass das Gesundheitswesen auch weiterhin ein wichtiges Ziel für Cyberkriminelle bleiben wird, da es ihnen ein großes Potenzial bietet, ihre Bemühungen durch Ransomware-Forderungen oder durch den Missbrauch von exfiltrierten Patientendaten zu finanzieren. Betriebsunterbrechungen und sensible Daten wie Krankenakten in Kombination mit Finanz- und Versicherungsdaten bieten einen potenziellen "Jackpot", den es in vielen anderen Umgebungen einfach nicht gibt.
Auf der Black Hat Europe 2023 wurde das Problem der von vielen Organisationen des Gesundheitswesens verwendeten Legacy-Protokolle von einem Team der Aplite GmbH vorgestellt. Das Problem der veralteten Protokolle ist nicht neu. Es gibt zahlreiche Fälle, in denen Geräte oder Systeme aufgrund der erheblichen Kosten, die mit dem Austausch verbunden sind, weiter verwendet werden, obwohl sie Protokolle verwenden, die für die heutige vernetzte Umgebung nicht geeignet sind. Der Austausch eines Kernspintomographen kann beispielsweise bis zu 500.000 USD kosten, und wenn die Notwendigkeit, das Gerät auszutauschen, darauf zurückzuführen ist, dass die Software, mit der das Gerät betrieben wird, am Ende ihrer Lebensdauer angelangt ist, dann mag das Risiko angesichts der Budgetanforderungen für manche akzeptabel erscheinen.
Die Probleme mit DICOM
Das Aplite-Team wies auf Probleme mit dem DICOM-Protokoll (Digital Imaging and Communications in Medicine) hin, das für die Verwaltung und Übertragung medizinischer Bilder und zugehöriger Daten verwendet wird.
Das Protokoll ist seit über 30 Jahren im Bereich der medizinischen Bildgebung weit verbreitet und wurde in der Vergangenheit mehrfach überarbeitet und aktualisiert. Wenn ein medizinischer Bildscan durchgeführt wird, enthält er in der Regel mehrere Bilder; die Bilder werden als Serie gruppiert, und die zugehörigen Patientendaten werden dann zusammen mit dem Bild gespeichert, zusammen mit allen Notizen des medizinischen Teams des Patienten, einschließlich Diagnosen. Der Zugriff auf die Daten erfolgt dann über das DICOM-Protokoll mit Hilfe von Softwarelösungen, die den Zugriff, das Hinzufügen und die Änderung ermöglichen.
Bei älteren DICOM-Versionen war keine Autorisierung für den Zugriff auf die Daten erforderlich, so dass jeder, der eine Verbindung zum DICOM-Server herstellen konnte, potenziell auf die Daten zugreifen oder sie verändern konnte. Die Aplite-Präsentation zeigt, dass 3.806 Server, auf denen DICOM läuft, über das Internet öffentlich zugänglich sind und Daten über 59 Millionen Patienten enthalten, von denen etwas mehr als 16 Millionen identifizierbare Informationen wie Name, Geburtsdatum, Adresse oder Sozialversicherungsnummer enthalten.
Die Studie ergab, dass nur 1 % der über das Internet zugänglichen Server die in den aktuellen Versionen des Protokolls verfügbaren Autorisierungs- und Authentifizierungsmechanismen implementiert hatten. Organisationen, die sich des Risikos bewusst sind und bereits Maßnahmen ergriffen haben, können die Server vom öffentlichen Zugang ausschließen, indem sie sie in Netze einbinden, die über die entsprechenden Authentifizierungs- und Sicherheitsmaßnahmen zum Schutz der Patienten- und medizinischen Daten verfügen.
Das Gesundheitswesen ist ein Sektor mit strengen Gesetzen und Vorschriften, wie HIPPA (USA), DSGVO (EU), PIPEDA (Kanada) usw. Umso erstaunlicher ist es, dass 18,2 Millionen der auf diesen öffentlich zugänglichen Servern zugänglichen Datensätze in den USA gespeichert sind.
Schutz kritischer Systeme
Der Missbrauch von Daten, die von diesen zugänglichen Servern stammen, bietet Cyberkriminellen eine große Chance. Die Erpressung von Patienten durch die Drohung, ihre Diagnosen öffentlich zu machen, die Veränderung von Daten zur Erstellung falscher Diagnosen, die Erpressung der verantwortlichen Krankenhäuser oder anderer Gesundheitsdienstleister über die geänderten Daten, der Missbrauch von Sozialversicherungsnummern und persönlichen Informationen der Patienten oder die Verwendung dieser Informationen in Spearphishing-Kampagnen sind nur einige mögliche Wege, wie solche Daten zur Erzielung von Gewinnen aus der Cyberkriminalität verwendet werden könnten.
Fragen der Sicherung von Altsystemen mit bekannten potenziellen Sicherheitsproblemen, wie DICOM, sollten auf dem Radar von Regulierungsbehörden und Gesetzgebern sein. Wenn die Aufsichtsbehörden, die finanzielle oder andere Strafen verhängen können, von den Unternehmen ausdrücklich eine Bestätigung verlangen, dass diese anfälligen Systeme über angemessene Sicherheitsmaßnahmen zum Schutz medizinischer und personenbezogener Daten verfügen, wäre dies ein Anreiz für die Betreiber solcher Systeme, sie zu sichern.
Viele Branchen leiden unter der Last des teuren Ersatzes von Altsystemen, darunter Versorgungsunternehmen, die Medizinbranche und die Schifffahrt, um nur einige zu nennen. Es ist wichtig, dass diese Systeme entweder ersetzt werden. In Situationen, in denen es zu komplex oder finanziell schwierig ist, die Systeme zu ersetzen, müssen geeignete Maßnahmen ergriffen werden, um zu verhindern, dass diese Protokolle aus der Vergangenheit Sie heimsuchen.