Health-ISAC Hacking Healthcare 2-16-2021

Febrúar 18, 2021

TLP White: Í þessari viku, Að hakka heilsugæslu byrjar með sundurliðun á nokkrum háttsettum niðurstöðum frá Cyber Threat Intelligence League (CTIL) fyrstur allra tíma. Darknet skýrsla. Við greinum skýrsluna og framreiknum hana í umræðu um óbeinar ógnir við heilbrigðisgeirann. Næst skoðum við nokkrar skelfilegar fréttir um að fjaraðgangur illgjarnra aðila að vatnsmeðferðarstöð í Flórída gæti hafa leitt til þess að vatnið væri eitrað. Að lokum leggjum við áherslu á að heilbrigðisstofnanir ættu að tryggja að þau tryggi heilsuforritin sín á viðeigandi hátt með því að útlista nýja skýrslu sem fann verulega veikleika í fjölda mikið notaðra heilsuforrita fyrir farsíma og API.

Til að minna á, þetta er opinber útgáfa af Hacking Healthcare blogginu. Til að fá frekari ítarlega greiningu og álit skaltu gerast meðlimur H-ISAC og fá TLP Amber útgáfuna af þessu bloggi (fáanlegt á aðildargáttinni.)

Verið velkomin aftur til Að hakka heilsugæslu.

1. Cyber Threat Intelligence League gefur út Darknet skýrslu 2021

Þegar COVID-19 heimsfaraldurinn hófst, varð fljótt ljóst að netglæpamenn og jafnvel þjóðríkisaðilar myndu ekki forðast að miða á heilbrigðisgeirann, þrátt fyrir nokkrar snemma ábendingar um að þeir gætu. Þar sem öryggi og upplýsingatækni í heilbrigðisgeiranum var þegar þunnt, og þar sem ýmsar ríkisstjórnir voru óvart af falli COVID-19, kom hópur netöryggisrannsakenda og lögreglumanna saman til að mynda CTIL. Yfirlýst markmið samtakanna er að veita „stuðning [fyrir] heilbrigðis- og löggæslufélaga sína“ og „draga úr líkum og áhrifum netöryggistengdra mála svo að umönnunaraðilar geti haldið áfram að þjóna alþjóðlegum lýðheilsumarkmiðum.[1] Í þessu skyni hafa þeir nýlega gefið út sína fyrstu Darknet skýrsla, „skráning glæpastarfsemi sem tengist heilsugæslu og COVID-faraldrinum.[2]

26 blaðsíðna skýrslan veitir lykilinnsýn, mat CTIL á hverju má búast við í framhaldinu og sundurliðun á sjö sérstökum ógnum: Ransomware, upphafsaðgangsmiðlarar, tækifærissinnaðir netglæpamenn, óupplýsingaherferðir, svindlarar, vefveiðar og gagnagrunnar. Helstu innsýn CTIL eru:[3]

– Fimm efstu afbrigði lausnarhugbúnaðar sem höfðu áhrif á heilsugæslu árið 2020 eru Maze, Conti, Netwalker, REvil og Ryuk, sem hafa áhrif á yfir 100 stofnanir sem þeim er kunnugt um.
- Næstum tveir þriðju hlutar fórnarlamba netglæpa í heilbrigðisþjónustu voru í Norður-Ameríku og Evrópu, þó fórnarlömb spanna allar heimsálfur.
– Ógnaleikarar fóru til að miða við heilsugæsluiðnaðinn með lausnarhugbúnaði vegna aukins áberandi heilbrigðisstofnana meðan á heimsfaraldrinum stóð og mikils næmi þeirra fyrir árásum.
– Fjölgun myrkra markaða og aðfangakeðja lækkaði verulega aðgangshindrun fyrir netglæpamenn til að hafa áhrif á heilbrigðisþjónustu.
– Ógnaaðilarnir sem beita lausnarhugbúnaði sem hluta af árásaraðferð sinni munu næstum örugglega beinast í auknum mæli að heilbrigðisgeiranum þar sem hann hefur komið fram sem ein viðkvæmasta atvinnugreinin á meðan á heimsfaraldri stendur.
– Starfsemi Initial Access Brokers (IAB) hefur aukist á árinu 2020. Frá 2. ársfjórðungi 2020 til 4. ársfjórðungs 2020 hefur fjöldi IABs sem skerða og selja aðgang að heilbrigðisstofnunum og öðrum lífbjörgunarstofnunum meira en tvöfaldast.

Þó að ekki sé mikið af þeim upplýsingum sem CTIL veitir séu byltingarkennd, þá er Darknet skýrsla veitir annan gagnapunkt sem staðfestir nýja netógn sem miðar að heilbrigðisgeiranum. Sundurliðunin í skýrslunni er einnig gagnleg vegna víðtækrar nálgunar. Með því að skoða ekki bara glæpa- og þjóðríkisógnirnar sem beinlínis beinast að heilbrigðisstofnunum, heldur einnig þær sem beinast að almenningi, gerir skýrslan aðdáunarvert starf við að skapa samhengi fyrir hversu fjölbreytt illgjarn netstarfsemi gegn heilbrigðisgeiranum getur verið.

2. Tölvusnápur braut Flórída vatnsmeðferðaraðstöðu

Þann 5. febrúar í vatnshreinsistöð í Oldsmar, Flórída, braust tölvuþrjótur sem enn hefur ekki verið nefndur inn í tölvukerfi vatnshreinsistöðvar og jók tímabundið magn natríumhýdroxíðs (lúa) í vatninu í hættulegt magn. Sem betur fer slasaðist enginn í árásinni því lútmagninu var fljótt snúið við af glöggum starfsmönnum verksmiðjunnar. Þó að allir íbúar Oldsmar (15,000 manns) væru í hættu vegna þessarar árásar, sagði Bob Gualtieri sýslumaður eftirfarandi í fréttatilkynningu: „Á engan tíma voru veruleg skaðleg áhrif á vatnið sem verið er að meðhöndla. Mikilvægt er að almenningur var ekki í hættu.“[4] Borgaryfirvöld hafa einnig tekið eftir því að jafnvel þótt aukið lútmagn hefði ekki náðst strax, hefði eitrað vatn tekið 24 til 36 klukkustundir að ná til íbúa borgarinnar og sjálfvirk PH prófunarvörn hefði náð auknu magni lúts, af stað viðvörun, sem lætur starfsfólk vita af breytingunni áður en einhver gæti orðið fyrir skaða.

Slæma leikaranum tókst að síast inn í tölvukerfi Oldsmar vatnshreinsistöðvarinnar í gegnum fjaraðgangshugbúnað sem venjulega er notaður af rekstraraðilum til viðhalds upplýsingatækni. Fjaraðgangshugbúnaðurinn, TeamViewer, hefur síðan verið óvirkur.[5] Það hefur verið áskorun að rekja árásina til ákveðins slæms leikara; eins og er er ekki vitað hvort innlendur eða erlendur leikari hafi framið árásina. Oldsmar stundar réttarrannsókn á árásinni í samvinnu við alríkislögregluna (FBI) og leyniþjónustuna.

Árásarinnar var minnst á í yfirheyrslu alríkisnefndar um heimavarnarmál sem bar yfirskriftina „Netöryggi heima: meta netógnir og byggja upp viðnám“ í síðustu viku. Heyrnarvottar Chris Krebs, fyrrverandi forstjóri netöryggis- og innviðaöryggisstofnunarinnar (CISA), heimavarnadeildar, sagði við yfirheyrsluna að þessi árás gæti verið innherji eða óánægður starfsmaður, en það er líka mögulegt að um erlendan leikara hafi verið að ræða. Annað heyrnarvottur, Michael Daniel, forseti og forstjóri Cyber Threat Alliance, sagðist halda að árásin hafi komið erlendis frá vegna sameiginlegra eiginleika þessarar árásar og fyrri árásar Írans á vatnskerfi Ísraels. Krebs undirstrikaði við yfirheyrsluna að tugþúsundir vatnshreinsistöðva víðs vegar um landið þurfi að fjárfesta í hugbúnaðaruppfærslum.

Aðgerð og greining

**Aðild krafist**

3. Skýrsla vekur áhyggjur af öryggi heilsugæsluforrita fyrir farsíma

Á árinu 2020 undirstrikaði COVID-19 hversu mikilvægt það er fyrir einstaklinga um allan heim að hafa aðgang að stafrænum vörum og þjónustu. Því miður leiddi hlaupið til að nýta þessa þörf til þess að sum áberandi tilvik um bestu starfshætti netöryggis og persónuverndar urðu minna í forgangi (eða jafnvel hunsuð með öllu). Þó að samskiptaforrit eins og Zoom hafi gripið snemma fyrirsagnir fyrir minna en stjörnuöryggi, hefur heilbrigðisgeirinn lent í sínum eigin óhöppum. Nýleg skýrsla um öryggi heilsugæsluappa er edrú áminning um að það er ekki auðvelt verkefni að ná fullnægjandi öryggi og friðhelgi einkalífs jafnvel fyrir stofnanir sem hafa mesta auðlind og velvilja.

Heilbrigðisgeirinn leitar í auknum mæli að stafrænum vörum og þjónustu til að ná bæði til sjúklinga meðan á viðbrögðum við COVID-19 stendur, sem og samfélaga sem eru vanmáttug, þar sem heilsugæsla í eigin persónu er skipulagsleg áskorun. Þessi staðreynd er að hluta til ábyrg fyrir áætlaðum 318,000 farsímaheilsuforritum sem eru til í helstu appverslunum í dag.[6] Vaxandi vinsældir slíkra forrita leiddi til öryggisfyrirtækis fyrir farsímaforrit API Samþykkt að styrkja markaðsfyrirtæki fyrir netöryggi Knight Ink að kanna öryggi 30 slíkra heilsuforrita með tilliti til veikleika sem gætu afhjúpað viðkvæmar heilsu- og auðkennisupplýsingar.[7] Forritin sem prófuð voru voru ekki takmörkuð við litla, óþekkta aðila, og á meðan auðkenni þeirra sem prófuð voru var haldið nafnlausum, var meðalfjöldi niðurhala fyrir forritin sem prófuð voru 772,619.[8]

Niðurstöður skýrslunnar voru niðurdrepandi, en einnig gagnlegar til að undirstrika hversu erfitt verkefnið að tryggja heilsuforrit getur verið og hvers konar vandamál stofnanir ættu að tryggja að þau tækju á. Helstu niðurstöður voru meðal annars:[9]

– Af öllum þrjátíu mHealth forritunum sem voru prófuð innihéldu 77% harðkóðaða API lykla, sumir sem renna ekki út, og 7% innihéldu jafnvel harðkóðaðan notendanöfn og lykilorð.
- Af API-endapunktum sem voru prófaðir voru 100% þeirra viðkvæm fyrir Broken Object Level Authorization (BOLA) árásum sem leiddu til óviðkomandi aðgangs að heildarskrám sjúklinga, niðurhalanlegum rannsóknarniðurstöðum og röntgenmyndum, blóðvinnu, ofnæmi og persónugreinanlegum upplýsingum (PII).
– 27% af forritunum sem prófuð voru voru ekki tryggð gegn öfugþróun með kóðaþoku.
– 100% af forritunum sem prófuð voru tókst ekki að innleiða skilríkisfestingu, mann-í-miðjuárásir gegn appinu.
– 50% af API sem prófuð voru leyfðu aðgang að meinafræði, röntgenmyndum og klínískum niðurstöðum annað

Höfundur rannsóknarinnar komst að þeirri niðurstöðu að „mHealth fyrirtæki þyrftu að innleiða meira af núlltraustsnálgun við öryggi forrita sinna og API“ og að „[þ]að er greinilega skortur á kyrrstöðugreiningu og skarpskyggniprófun sem hefði mildað marga af „lágt hangandi ávöxtum“.“[10]

Aðgerð og greining
**Aðild krafist**