Badacze bezpieczeństwa Kaspersky ogłosili, że popularny protokół przesyłania danych, używany przez urządzenia medyczne, jest pełen krytycznych luk. Zidentyfikowali 33 słabe punkty w 2021 r., co stanowi wzrost w porównaniu z problemami wykrytymi w 2020 r.

Sprawdź: DuckDuckGo

Firma Kaspersky poinformowała również, że od 2014 r. zidentyfikowano 90 luk. Ta łączna liczba obejmuje krytyczne luki, które według analizy nadal nie zostały załatane. Zdaje się, że są po prostu ignorowane przez producentów i dostawców.

Badacze znaleźli również luki w platformie Qualcomm Snapdragon Wearable, która jest wykorzystywana w wielu urządzeniach do noszenia na ciele.

Protokół MMQT jest często używany w urządzeniach służących do zdalnego monitorowania pacjenta. Urządzenia te rejestrują w sposób ciągły lub przerywany aktywność serca i inne wskaźniki zdrowotne. Problem z MMQT polega na tym, że uwierzytelnianie jest według Kasperskiego "całkowicie opcjonalne i rzadko obejmuje szyfrowanie". To sprawia, że protokół jest "wysoce podatny na ataki typu man-in-the-middle" i naraża dane medyczne, dane osobowe i potencjalnie lokalizację danej osoby na ryzyko kradzieży.

Maria Namestnikova, szefowa rosyjskiego globalnego zespołu ds. badań i analiz w firmie Kaspersky, powiedziała, że usługi telezdrowia znacznie wykraczają poza rozmowy wideo. "Mówimy o całej gamie złożonych, szybko rozwijających się technologii i produktów, w tym o specjalistycznych aplikacjach, urządzeniach do noszenia, wszczepialnych czujnikach i bazach danych w chmurze" – powiedziała. "Jednak wiele szpitali nadal korzysta z nieprzetestowanych usług innych firm do przechowywania danych pacjentów, a luki w zabezpieczeniach urządzeń do noszenia i czujników dla służby zdrowia pozostają otwarte".

Kaspersky zaleca, aby dostawcy opieki zdrowotnej podjęli następujące kroki w celu zapewnienia bezpieczeństwa danych pacjentów:

• Sprawdź bezpieczeństwo aplikacji lub urządzenia sugerowanego przez szpital lub organizację medyczną
• Zminimalizuj dane przesyłane przez aplikacje telezdrowia, jeśli to możliwe (np. nie zezwalaj urządzeniu na wysyłanie danych o lokalizacji, jeśli nie są one potrzebne)
• Zmień hasła z domyślnych i używaj szyfrowania, jeśli urządzenie to oferuje

Dodatkowe badania z raportu Kaspersky Healthcare 2021 wykazały, że lekarze i pielęgniarki są zaniepokojeni bezpieczeństwem danych, potencjalnymi naruszeniami HIPAA, a nawet błędną diagnozą z powodu niskiej jakości wideo.

Zobacz: TPM 2.0

Raport skupiał się na telezdrowiu, ale zawierał również pytania dotyczące ogólnego wpływu technologii na opiekę zdrowotną. Około połowa dostawców telezdrowia twierdzi, że ma pacjentów, którzy odmówili dołączenia do wizyty wideo z powodu obaw o prywatność i bezpieczeństwo danych. Zaniepokojeni są również dostawcy opieki zdrowotnej, przy czym 81% powołuje się na obawy dotyczące tego, w jaki sposób dane pacjentów z sesji telezdrowia będą wykorzystywane i udostępniane.

Świadczeniodawcy obawiają się również, że w wyniku wycieku danych podczas zdalnej konsultacji mogą powstać kary osobiste. Ponadto 34% dostawców telezdrowia powiedziało, że jeden lub więcej lekarzy w ich firmach postawiło błędną diagnozę z powodu złej jakości wideo lub zdjęć.

Utrata danych to nie jedyny problem z cyberbezpieczeństwem, z którym borykają się szpitale. Badanie przeprowadzone przez firmę Armis z branży bezpieczeństwa wykazało, że 85% firm z sektora opieki zdrowotnej odnotowało wzrost ryzyka cybernetycznego w ciągu ostatniego roku. Aż 58% specjalistów IT w tym sektorze twierdzi, że ich organizacje zostały dotknięte atakiem ransomware. Niniejsze badanie opiera się na ankiecie przeprowadzonej w październiku 2021 r. przez Censuswide wśród 400 specjalistów IT, pracujących w instytucjach opieki zdrowotnej w Stanach Zjednoczonych oraz 2030 ogólnych respondentów i pacjentów.