H-ISAC Hacking Healthcare 7-15-2020

July 17, 2020

TLP Vit:

Den här veckan utforskar Hacking Healthcare hela omfattningen av Kinas underrättelseinsamlingsoperationer mot sjukvårdsenheter i USA och dess allierade i kölvattnet av COVID-19 och beskriver några praktiska och billiga sätt att öka säkerheten. Därefter granskar vi hur enskilda stater vidtar åtgärder för att permanent omfamna telehälsoförändringar och diskuterar vad du kan förvänta dig om telehälsa ur en federal synvinkel. Slutligen förklarar vi kort hur en smartklocka och en medföljande hälsorelaterad app visar säkerhetsproblemen med att inte ha heltäckande insyn i en produkts underliggande kod. Välkommen tillbaka till Hacking Healthcare.

Som en påminnelse är detta den offentliga versionen av Hacking Healthcare-bloggen. För ytterligare djupgående analys och åsikter, bli medlem i H-ISAC och få TLP Amber-versionen av denna blogg (tillgänglig i medlemsportalen.)

1. FBI: Kinas underrättelseverksamhet Lap the Field.

Hotet från statligt sponsrade kinesiska Advanced Persistent Threats ("APTs"), patriotiska hackare och icke-anslutna kriminella organisationer är välkänt i väst. Men förra veckan hjälpte Federal Bureau of Investigation (“FBI”) direktör Christopher Wray till att sätta den stora omfattningen av kinesiska hotaktörer i fokus när han uttalade att nästan hälften av de 5,000 XNUMX aktiva kontraspionageutredningarna som är öppna i USA är relaterade. till Kina.[1] Detta leder till att ett nytt kinesiskt ärende öppnas var tionde timme.[2]

Även om inte alla dessa kinesiska underrättelseaktiviteter innehåller skadliga cyberkomponenter, gör många av de högst profilerade och mest känsliga operationerna det. Direktör Wray erkände att kinesiskt relaterade ekonomiskt spionagefall, inklusive de som riktar sig till forskning och bedriver IP-stöld, hade ökat med 1300 % under det senaste decenniet.[3] Han beskrev vidare att kinesiska hotaktörer använder "en mångfald av sofistikerade tekniker" som inkluderar subtila cyberintrång såväl som riktade attacker med hjälp av sociala medier för att identifiera mål.[4]

Wray erkände specifikt hotet mot sjukvården och uppgav att den kinesiska regeringen aktivt försöker äventyra hälso- och sjukvårds- och läkemedelsföretag som bedriver forskning om covid-19. FBI har noterat att amerikanska hälso- och sjukvårdsorganisationer som gör framstående meddelanden relaterade till covid-19-forskning ofta hamnar i mål inom 24 timmar.[5] Detta återspeglar uttalanden från nära allierade som Kanada.

Scott Jones, chef för det kanadensiska centret för cybersäkerhet, noterade förra veckan många framgångsrika intrång mot organisationer som bedriver forskning om covid-19 till det kanadensiska parlamentet, även om han inte specifikt kallade ut Kina.[6] Jones förklarade att beslutsfattare ofta förbiser hur många små och medelstora organisationer som är avgörande för covid-19-ansträngningen som saknar cybersäkerhetsresurserna för att på ett adekvat sätt försvara sig mot de typer av hot de ser. Detta har lett till att individer som Paul-Émile Cloutier, VD för HealthcareCAN, offentligt beklagar tillståndet inom hälso- och sjukvårdssektorns cybersäkerhet, och vissa har krävt införandet av nationella cybersäkerhetsstandarder för sektorn.[7]

Handling & Analys

*H-ISAC-medlemskap krävs*

2. Stater tar ledningen när det gäller att göra COVID-19-relaterade förändringar inom telehälsa.

Medan kongressen och den federala regeringen bedömer förändringar av nationella regler och förordningar för telehälsa har flera delstater börjat ta initiativet.

massachusetts: I slutet av juni godkände Massachusetts Board of Registration in Medicine en permanent policy för telemedicin som säger: "Utövandet av medicin ska inte kräva ett möte ansikte mot ansikte mellan läkaren och patienten innan sjukvården levereras via telemedicin." Policyn bekräftar också att "vårdstandarden som gäller för läkaren är densamma oavsett om patienten ses personligen eller genom telemedicin. "[8] Detta anses av många vara ett viktigt steg för en stat som har undvikit att göra någon detaljerad telehälsopolitik i årtionden.[9]

Colorado: Förra veckan undertecknade Colorados guvernör Jared Polis SB20-212 i lag. Lagförslaget "[gäller] ersättning för hälso- och sjukvårdstjänster som tillhandahålls genom telehälsa" och "förhindrar hälsoplaner från att införa specifika krav eller begränsningar för den teknik som används för att tillhandahålla telehälsotjänster så länge som dessa tekniker följer Health Insurance Portability and Accountability Act."[10]^{, [11]} Lagförslaget gick igenom Coloradohuset och senaten med starkt bi-partisan stöd och fick bara en avvikande röst. Guvernör Polis nämnde specifikt COVID-19 som drivkraften för att utveckla telemedicin.

Idaho: I slutet av juni undertecknade Idahos guvernör Brad Little en verkställande order som gjorde ett antal tillfälliga undantag från telehälsovård permanenta, inklusive lättnader på begränsningarna för de applikationer som vårdgivare får använda för telehälsa. Lättnaden av dessa restriktioner kom som en del av ett bredare paket som gjorde över 150 covid-19-relaterade nödregler permanenta. Guvernör Little hävdade att dessa förändringar "gör sjukvården mer tillgänglig och överkomlig för familjer och företag i Idaho."[12]

Handling & Analys

*H-ISAC-medlemskap krävs*

3. Smartwatch Health-appen upprepar IoT HealthCare-säkerhetsfarorna.

Från vår "In Case You Forgot Department" noterar vi att spänningen över potentialen för smartphones, smarta klockor och IoT-enheter att utöka hälsovårdsalternativ och tjänster fortsätter att växa. De senaste rapporterna har dock upprepat de faror som är förknippade med anslutna sjukvårdsenheter när säkerheten inte är i fokus under utveckling och när enheter med potential för vårdapplikationer inte produceras och stöds av sjukvårdsenheter.

Förra veckan tog säkerhetsforskare en djupare titt på en spårningstjänstapplikation och medföljande smartklocka som ser ut att vara utformad speciellt för äldre och de med kognitiva funktionsnedsättningar. Bland de olika alternativen som ingår i klockan och den medföljande applikationen finns en spårningsfunktion som hjälper vårdgivare att hitta desorienterade bärare, och en utlöst påminnelse om att det är dags att ta mediciner. Som forskarna noterar, "Om en vårdare inte kunde besöka på grund av isolering under CV-19, skulle en fjärrvarning till en bärare som inte kunde komma ihåg själv vara till stor hjälp."[13]

När det gäller användbarhet och avsikt är dessa enhetsapplikationer alla bra. Säkerhetsmässigt utgjorde enheten tyvärr obestridliga risker. Forskare noterade att det bara krävdes "grundläggande" hackningsfärdigheter för att låta vem som helst spåra någon som använder enheten, att ljudet kunde äventyras för att möjliggöra avlyssning och att medicinaviseringen kunde utlösas efter behag.[14] En av de främsta kritikerna forskarna har tagit upp är att "[ingen] har tittat på den underliggande koden. Ingen har tittat på hur många servrar som är offentligt tillgängliga och vad som kan göras på serversidan för dina barn, äldre släktingar eller till och med din bil.”[15]

Handling & Analys

*H-ISAC-medlemskap krävs*