Forældede IoT-sundhedsenheder udgør store sikkerhedstrusler
Ransomware har vist sig at blive det værste mareridt i sundhedssektoren og hospital enheder, der kører på forældede Windows-versioner eller open source-software som Linux er de nemme mål, ifølge forskning af Cynerio.
Mere end halvdelen (53%) af IoT og af medicinske enheder (IoMT), der anvendes i sundhedssektoren, indeholder kritiske cybersikkerhed risici, ifølge IoMT Device Security rapport fra Cynerio, som analyserede enheder fra mere end 300 hospitaler i USA.
Cynerio laver IoT og sikkerhedssystemer til plejeudbydere. Til rapporten blev mere end 10 millioner IoT- og IoMT-enheder scannet. Cynerio brugte et stik, der, når det er tilsluttet en SPAN-portport (switched port analyzer) på et netværks kernekontakt, indsamler oplysninger om enhedstrafik for hver enhed, der er tilsluttet netværket. Disse oplysninger blev derefter analyseret af en intern AI-algoritme for at hjælpe med at identificere sårbarheder og trusler.
Rapporten fandt, at IV (intravenøse) pumper udgør 38% af et hospitals typiske sundhedspleje IoT fodaftryk, og 73% af disse pumper har mindst én sårbarhed, der kan bringe patientsikkerhed, data fortrolighed eller service tilgængelighed, hvis identificeret af en dårlig aktør.
“Sundhedssystemer har flere angreb overflader fra selve infrastrukturen på et hospital til den øgede (hvis ikke total) digitalisering af patientjournaler,” siger Constellation Research analytiker Liz Miller. “Den globale pandemi sødede puljen for angribere, og den blev hurtigt åben sæson på netværk, systemer og enheder.”
Rapporten fandt, at 79% af IoT-enheder bruges mindst en gang om måneden, mens 21% kan gå uden brug i fire uger.
Enheder åbner for stor risiko
“Når et medicinsk udstyr bruges til en patient, det kunne være i brug i dage eller uger ad gangen,” siger Daniel Brodie, Cynerio’s CTO. “Mange enheder har driftskrav på 24 timer i døgnet, 7 dage om ugen, og en afbrydelse, selv for patching, kan have alvorlige konsekvenser for medicinske arbejdsgange, patientsikkerhed og hospitalsoperationer.”
En anden faktor, der bidrager til, at enhederne går glip af rettidige opgraderinger, er, at et typisk hospitalsnetværk kan være vært for en kombination af enheder fra forskellige leverandører, og strømlining af patching- og opgraderingsprocessen bliver for kompleks til at blive opnået inden for de respektive nedetidsvinduer, ifølge Brodie.
Næsten halvdelen (48%) af de IoT-enheder, der blev scannet i forskningen, brugte Linux som deres operativsystem, hvilket ifølge rapporten fører til voksende bekymringer, da Linux er en open source-platform, der har vundet meget popularitet inden for de dårlige aktørers samfund, da det driver næsten 70% af webservere over hele verden.
“Vi ser en øget målretning af Linux-enheder af ransomware grupper i IoT miljøer,” Brodie tilføjer. “Gerningsmændene forstår og målretter deres angreb, næsten på en tilpasset måde, til et hospitals unikke setup. Det tager længere tid end en ‘spray and pray’ type angreb, men potentialet for payoff er meget højere.”
Et andet centralt resultat af rapporten er, at selvom kun et marginalt antal IoT-enheder i en sundhedsopsætning kører på Windows, er den kritiske plejesektor generelt domineret af enheder, der kører gamle versioner af Windows, typisk ældre end Windows 10. Disse omfatter enheder, der anvendes af hospitalsafdelinger normalt ansvarlig for direkte pleje af patienter som farmakologi, onkologi, og laboratorier.
Ransomware fører IoT-angreb
Af de mange cyberangreb rettet mod sundhedspleje plads, ransomware har vist sig at være den mest problematiske i nyere tid. Den Cynerio rapport påpegede, at i 2021 ransomware angreb på hospitaler steg 123% år-til-år, koster i alt $21 milliarder fra over 500 angreb. Den gennemsnitlige pris pr ransomware angreb har vist sig at være $8 millioner og hvert angreb anslås at tage en organisation omkring 287 dage til fuldt ud at inddrive.
Ransomware angreb er blevet mere udbredt i de sidste to år, ifølge Forrester analytiker Allie Mellen. På grund af arten af sundhedsudstyr kan der være mange udfordringer med at opgradere ældre systemer i betragtning af den brede vifte af enheder.
Malware eller DDoS (distribueret denial of service) angreb er de hyppigste og har tendens til at blive til ransomware krav. I et typisk angreb, enhederne til at gå ned er dem, der sporer patienternes vitale tegn sammen med de systemer, der samler den medicinske historie og dokumentation af hver patient, ifølge Brodie. Dette efterfølges hurtigt af lukningen af kommunikationssystemer, herunder e-mail- og VOIP-telefoner, hvilket gør det svært at videregive kritiske oplysninger. Andre systemer, der mister funktionalitet under disse angreb omfatter radiologi, billedbehandling, PACS (billede arkivering og kommunikationssystem) maskiner og scannere, IV og insulinpumper, printere og andet netværksudstyr.
Netværkssegmentering kan eliminere vigtige sårbarheder
Rapporten konkluderede, at selv om URGENT/11 og Ripple20 har gjort de seneste overskrifter for at være de vigtigste sårbarheder inden for sundhedspleje IoT-enheder, de udgør kun omkring 10% af den reelle trussel. URGENT/11 og Ripple20 henviser til gruppen af sårbarheder, der gør det muligt for angribere at omgå firewalls og fjernstyre at tage kontrol over enhederne via TCP/IP-stakken uden brugerinteraktion.
Rapporten anbefaler netværkskarantæne og segmentering som den mest effektive teknik til at afhjælpe sårbarhederne, da patching er en vanskelig løsning for IoT-enheder, der kommer fra forskellige leverandører. Det understreges også, at en korrekt balance mellem netværksforbindelser med en blanding af øst-vest (enhed til enhed) og nord-syd (server til enhed) form for segmentering er afgørende for at sikre sikkerheden uden at forstyrre forbindelsen.
“Kontekst er vigtig, i et sundhedsmiljø specifikt, kan du ikke have segmentering blande sig i kliniske arbejdsgange eller afbryde patientpleje, så der er helt sikkert en balance, der skal findes mellem forbindelse og fratrædelsesgodtgørelse,” Brodie siger. Han uddyber, at for eksempel IV pumper kunne være forbundet kun til serverne på datacentre og ikke til andre servere eller enheder (i en nord-syd segmentering manøvre), der kan være lettere adgang.
Kilde: CSOonline