Cyberkriminelle greifen das Gesundheitswesen an (aber wir können uns wehren)
Eine Version dieses Artikels lief in Cyber Defense Magazin. Es wurde hier für die Syndizierung aktualisiert.
Cyberangriffe sind heutzutage zu einer Lebensweise geworden. Die Menschen erwarten fast, Neuigkeiten über neue Sicherheitslücken oder Sicherheitslücken zu hören, die alles betreffen, vom Bankwesen über die Luftfahrt bis hin zu Geräten, die so unterschiedlich sind wie Smartphones und Ampeln. Selbst unsere Häuser sind nicht mehr völlig sicher. Ganze Städte und Gemeinden werden angegriffen fast täglich von Kriminellen, wobei Angreifer Lösegeld in Millionenhöhe fordern, um kompromittierte kritische Dienste wiederherzustellen.
Aber ein Ort, an dem wir uns hoffentlich noch sicher fühlen konnten, war in der Arztpraxis oder sogar in einem Krankenhaus. Menschen sind am anfälligsten, wenn sie sich an einen Gesundheitsdienstleister wenden. Der menschliche Anstand würde fast verlangen, dass die örtlichen Kliniker ihre edle Arbeit in Ruhe erledigen dürfen. Leider ist das nicht der Fall. Unter den heutigen Cyberdieben scheint wenig Ehre "oder vielleicht schiere Verzweiflung" zu herrschen. Tatsächlich könnte das Gesundheitswesen das nächste „große“ Schlachtfeld im Bereich Cybersicherheit sein, auf dem Kriminelle genau die Maschinen angreifen, die medizinische Probleme diagnostizieren, Behandlungen durchführen und Leben erhalten. Angesichts der Tatsache, dass sich vor unseren Augen eine anhaltende globale Gesundheitskrise abspielt, ist es von entscheidender Bedeutung, dies von mehreren Punkten aus anzugehen.
Bedrohungen werden persönlicher als je zuvor.
Angriffe auf die Gesundheitsbranche sind nicht neu. Cyberkriminelle wissen bereits, welchen Wert Patienteninformationen, persönliche Daten und Finanzdaten in der Unterwelt und im Dark Web haben. Diese Informationen können verwendet werden, um Geld direkt von Patienten zu stehlen, oder als Ausgangspunkt für sekundäre Angriffe wie Phishing und andere Betrügereien dienen. Kein Wunder also, dass sich viele der verheerendsten Angriffe in letzter Zeit gegen das Gesundheitswesen richteten. Hymne Im Gesundheitswesen wurden 80 Millionen Patientendaten gestohlen. Premera hat 11 Millionen persönliche Dateien verloren. Kümmere dich zuerstInsgesamt waren es 1,1 Millionen kompromittierte Datensätze, und die Liste geht weiter und weiter.
Derzeit scheinen Angriffe direkt gegen medizinische Geräte selten zu sein. Allerdings mindestens ein Bericht deutet darauf hin, dass das Problem viel weiter verbreitet sein könnte, da Krankenhäuser die Angriffe nicht melden oder Mitarbeiter, die nicht in Cybersicherheit geschult sind, einfach nicht erkennen, dass ein Angriff direkt vor ihnen stattfindet. Die Fähigkeit, medizinische Geräte auf beängstigende Weise zu kompromittieren, beispielsweise durch den Einsatz von Schadsoftware füge falsche Tumoren hinzu zu CAT-Scans und MRT-Ergebnissen, wurde von Sicherheitsforschern eindeutig nachgewiesen. Es ist kein großer Sprung zu glauben, dass Angreifer möglicherweise bereits dieselben oder ähnliche Dinge mit medizinischen Geräten in der realen Welt tun.
Das Gesundheitswesen ist auch besonders anfällig für Cyberangriffe, da es zunehmend auf Geräte im Internet der Dinge (IoT) angewiesen ist. Dabei handelt es sich um winzige Sensoren, die mit dem Internet verbunden sind und unglaubliche Informationsmengen erzeugen. In den meisten Fällen war die Sicherung der von diesen Sensoren erzeugten Informationen, der Kommunikationskanäle und sogar der Sensoren selbst kaum mehr als ein nachträglicher Einfall. Die Anzahl potenzieller Sicherheitslücken, die ein Angreifer ausnutzen könnte, wenn sie sich in diesen IoT-dominierten Netzwerken verstecken, ist wahrscheinlich nahezu unbegrenzt.
IoT im Gesundheitswesen birgt ernsthafte Risiken.
Dienstleistungen, die für die Patientenversorgung von entscheidender Bedeutung sind, „die in einigen Fällen vor 20 Jahren noch nicht einmal in Betracht gezogen wurden“, sind Nährboden sowohl für IoT-basierte als auch für andere traditionellere Sicherheitslücken. Elektronische Patientenakten, Telemedizin und mobile Gesundheitsdienste warteten offenbar alle auf die Fülle an Informationen, die das Internet der Dinge bieten konnte. Kein Wunder, dass das Engagement für das Internet der Dinge im Gesundheitswesen überwältigend ist. MarketResearch.com prognostiziert das bis zum nächsten Jahr, der IoT-Markt im Gesundheitswesen wird 117 Milliarden US-Dollar erreichen und danach jedes Jahr mit einer Rate von 15% weiter wachsen.
In dieser Umgebung können erfahrene Angreifer zahlreiche Sicherheitslücken finden, die zum Ausnutzen medizinischer Geräte genutzt werden können. IoT-Sensoren, die in medizinische Geräte integriert sind, kommunizieren und erzeugen ihre Daten im Allgemeinen auf eine von zwei Arten. Einige sammeln Daten und übertragen dann alle ihre Ergebnisse zur Analyse direkt an das Internet. Andere verwenden eine Form der verteilten Vernetzung, bekannt als Nebelverarbeitung wo die Sensoren selbst eine Art Mini-Netzwerk bilden und gemeinsam entscheiden, welche Daten mit einem zentralen Repository oder einer Plattform geteilt werden sollen. Diese Daten können dann weiterverarbeitet oder direkt vom Gesundheitspersonal abgerufen werden.
Was die Cybersicherheit im Gesundheitswesen noch komplizierter macht, ist die Tatsache, dass die Branche nie Standards, Methoden oder Schutzmaßnahmen für den Umgang mit Daten akzeptiert oder vereinbart hat. In der Vergangenheit wurde die Gesundheitsbranche von Herstellern bedient, die ihre eigenen proprietären Technologien für medizinische Geräte anboten. Heute gehören dazu die eingebetteten IoT-Sensoren, die Kommunikationskanäle, die die Geräte verwenden, und die Plattform für die Analyse der Daten nach ihrer Erfassung. Das macht die meisten Krankenhausnetzwerke zu einem Traum für Hacker oder zumindest zu einem guten Testgelände, auf dem sie alles ausnutzen können Fehlkonfigurationen bei der Sicherheit zu unzureichender Schutz der Transportschicht. Sie können alles ausprobieren von Site-übergreifende Anforderungsfälschungen zum Klassiker XML-Injection-Angriffe.
Der Gegenschlag, den wir brauchen, liegt direkt vor uns.
Trotz der potenziell katastrophalen Folgen dieser Schwachstellen Wenn diese Sicherheitslücken ausgenutzt werden, gibt es etwas, worüber man optimistisch bleiben kann: Diese Sicherheitslücken sind keine neuen, mächtigen Hintertüren, die von kriminellen Vordenkern geöffnet werden. Sie sind so häufig, dass es frustrierend ist, sie immer wieder zu sehen. Ein Grund, warum sie ihren hässlichen Kopf aufhauen, ist die Verwendung von Altsystemen, die nicht gepatcht wurden, obwohl Korrekturen verfügbar waren, aber der andere Grund hat wieder einmal mit dem menschlichen Faktor zu tun. Entwickler schreiben Code in rasantem Tempo und konzentrieren sich auf ein schickes, funktionales Endprodukt... nicht auf bewährte Sicherheitsmethoden.
Es wird einfach zu viel Software entwickelt, als dass AppSec-Spezialisten Schritt halten könnten, und wir können nicht erwarten, dass sie mit diesen wiederkehrenden Sicherheitslücken ständig den Tag retten. Es ist billiger, effizienter und eindeutig viel sicherer, wenn diese Sicherheitslücken nicht von vornherein eingeführt werden. Das bedeutet, dass Sicherheitsteams und Entwickler sich ins Zeug legen müssen, um eine robuste, durchgängige Sicherheitskultur zu schaffen.
Wie genau sieht eine großartige Sicherheitskultur aus? Hier sind ein paar wichtige Elemente:
- Entwickler sind mit den Tools und Schulungen ausgestattet, die sie benötigen, um häufig auftretende Fehler zu beheben (und zu verstehen, warum dies so wichtig ist)
- Die Schulung ist umfassend, leicht verdaulich und spielt die Stärken der Entwickler aus
- Die Ergebnisse des Trainings werden anhand von Kennzahlen und Berichten korrekt gemessen (nicht nur ein Häkchen setzen und mit dem Training fortfahren)
- AppSec und Entwickler beginnen, dieselbe Sprache zu sprechen: Schließlich arbeiten sie in einer positiven Sicherheitskultur daran, ähnliche Ziele zu erreichen.
Die Wahrscheinlichkeit einer Katastrophe ist immer noch enorm und geht weit über den bloßen Diebstahl der Krankenakten eines Patienten hinaus. Das Injizieren falscher Tumoren in einen Scan könnte eine Person, die ängstlich darauf wartet, zu erfahren, ob sie an Krebs erkrankt ist, am Boden zerstört haben. Und der Austausch von Medikamenten oder die Änderung der Behandlungspläne könnten sie tatsächlich töten. Aber es braucht nur einen Cyberkriminellen, der bereit ist, diese Grenze zu überschreiten, um Gewinn zu erzielen, und Sie können garantieren, dass dies passiert. Vielleicht verschlüsselt der nächste Ransomware-Betrug nicht die Daten eines Krankenhauses, sondern ruiniert stattdessen die Diagnosen von Tausenden von Patienten. Oder vielleicht droht ein Angreifer damit, Medikamente zu verändern, sofern sie nicht bezahlt werden, und setzt buchstäblich Leben auf Lösegeld.
Es ist klar, dass wir nicht länger dem „business as usual“ -Ansatz folgen können, wenn es darum geht Cybersicherheit im Gesundheitswesen. Wir können uns nicht darauf verlassen, dass ein oder zwei Spezialisten in Gesundheitsorganisationen jedes Problem lösen. Stattdessen brauchen wir sicherheitsbewusste Entwickler, die an Apps und Geräten für das Gesundheitswesen arbeiten, um potenzielle Probleme zu erkennen und sie zu beheben, bevor sie in Einrichtungen eingesetzt werden. Und selbst Beschäftigte im Gesundheitswesen könnten grundlegende Schulungen zur Cybersicherheit in Anspruch nehmen.
Es stimmt, dass nichts wichtiger ist als Ihre Gesundheit. In der Gesundheitsbranche hängt die Aufrechterhaltung einer guten Cybersicherheit für die Zukunft davon ab, dass heute ein besseres allgemeines Sicherheitsbewusstsein geschaffen wird. Ohne ernsthafte Behandlung wird sich dieses Problem nur noch verschärfen.
Das Gesundheitswesen könnte das nächste „große“ Schlachtfeld für Cybersicherheit sein, auf dem Kriminelle genau die Maschinen angreifen, die medizinische Probleme diagnostizieren, Behandlungen durchführen und Leben erhalten.
Director General, Presidente y Cofundador
Secure Code Warrior a disposición de su empresa para ayudarle a proteger el código durante todo el ciclo de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de seguridad de aplicaciones, desarrollador, responsable de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su empresa a reducir los riesgos asociados al código inseguro.
Reservar una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Eine Version dieses Artikels lief in Cyber Defense Magazin. Es wurde hier für die Syndizierung aktualisiert.
Cyberangriffe sind heutzutage zu einer Lebensweise geworden. Die Menschen erwarten fast, Neuigkeiten über neue Sicherheitslücken oder Sicherheitslücken zu hören, die alles betreffen, vom Bankwesen über die Luftfahrt bis hin zu Geräten, die so unterschiedlich sind wie Smartphones und Ampeln. Selbst unsere Häuser sind nicht mehr völlig sicher. Ganze Städte und Gemeinden werden angegriffen fast täglich von Kriminellen, wobei Angreifer Lösegeld in Millionenhöhe fordern, um kompromittierte kritische Dienste wiederherzustellen.
Aber ein Ort, an dem wir uns hoffentlich noch sicher fühlen konnten, war in der Arztpraxis oder sogar in einem Krankenhaus. Menschen sind am anfälligsten, wenn sie sich an einen Gesundheitsdienstleister wenden. Der menschliche Anstand würde fast verlangen, dass die örtlichen Kliniker ihre edle Arbeit in Ruhe erledigen dürfen. Leider ist das nicht der Fall. Unter den heutigen Cyberdieben scheint wenig Ehre "oder vielleicht schiere Verzweiflung" zu herrschen. Tatsächlich könnte das Gesundheitswesen das nächste „große“ Schlachtfeld im Bereich Cybersicherheit sein, auf dem Kriminelle genau die Maschinen angreifen, die medizinische Probleme diagnostizieren, Behandlungen durchführen und Leben erhalten. Angesichts der Tatsache, dass sich vor unseren Augen eine anhaltende globale Gesundheitskrise abspielt, ist es von entscheidender Bedeutung, dies von mehreren Punkten aus anzugehen.
Bedrohungen werden persönlicher als je zuvor.
Angriffe auf die Gesundheitsbranche sind nicht neu. Cyberkriminelle wissen bereits, welchen Wert Patienteninformationen, persönliche Daten und Finanzdaten in der Unterwelt und im Dark Web haben. Diese Informationen können verwendet werden, um Geld direkt von Patienten zu stehlen, oder als Ausgangspunkt für sekundäre Angriffe wie Phishing und andere Betrügereien dienen. Kein Wunder also, dass sich viele der verheerendsten Angriffe in letzter Zeit gegen das Gesundheitswesen richteten. Hymne Im Gesundheitswesen wurden 80 Millionen Patientendaten gestohlen. Premera hat 11 Millionen persönliche Dateien verloren. Kümmere dich zuerstInsgesamt waren es 1,1 Millionen kompromittierte Datensätze, und die Liste geht weiter und weiter.
Derzeit scheinen Angriffe direkt gegen medizinische Geräte selten zu sein. Allerdings mindestens ein Bericht deutet darauf hin, dass das Problem viel weiter verbreitet sein könnte, da Krankenhäuser die Angriffe nicht melden oder Mitarbeiter, die nicht in Cybersicherheit geschult sind, einfach nicht erkennen, dass ein Angriff direkt vor ihnen stattfindet. Die Fähigkeit, medizinische Geräte auf beängstigende Weise zu kompromittieren, beispielsweise durch den Einsatz von Schadsoftware füge falsche Tumoren hinzu zu CAT-Scans und MRT-Ergebnissen, wurde von Sicherheitsforschern eindeutig nachgewiesen. Es ist kein großer Sprung zu glauben, dass Angreifer möglicherweise bereits dieselben oder ähnliche Dinge mit medizinischen Geräten in der realen Welt tun.
Das Gesundheitswesen ist auch besonders anfällig für Cyberangriffe, da es zunehmend auf Geräte im Internet der Dinge (IoT) angewiesen ist. Dabei handelt es sich um winzige Sensoren, die mit dem Internet verbunden sind und unglaubliche Informationsmengen erzeugen. In den meisten Fällen war die Sicherung der von diesen Sensoren erzeugten Informationen, der Kommunikationskanäle und sogar der Sensoren selbst kaum mehr als ein nachträglicher Einfall. Die Anzahl potenzieller Sicherheitslücken, die ein Angreifer ausnutzen könnte, wenn sie sich in diesen IoT-dominierten Netzwerken verstecken, ist wahrscheinlich nahezu unbegrenzt.
IoT im Gesundheitswesen birgt ernsthafte Risiken.
Dienstleistungen, die für die Patientenversorgung von entscheidender Bedeutung sind, „die in einigen Fällen vor 20 Jahren noch nicht einmal in Betracht gezogen wurden“, sind Nährboden sowohl für IoT-basierte als auch für andere traditionellere Sicherheitslücken. Elektronische Patientenakten, Telemedizin und mobile Gesundheitsdienste warteten offenbar alle auf die Fülle an Informationen, die das Internet der Dinge bieten konnte. Kein Wunder, dass das Engagement für das Internet der Dinge im Gesundheitswesen überwältigend ist. MarketResearch.com prognostiziert das bis zum nächsten Jahr, der IoT-Markt im Gesundheitswesen wird 117 Milliarden US-Dollar erreichen und danach jedes Jahr mit einer Rate von 15% weiter wachsen.
In dieser Umgebung können erfahrene Angreifer zahlreiche Sicherheitslücken finden, die zum Ausnutzen medizinischer Geräte genutzt werden können. IoT-Sensoren, die in medizinische Geräte integriert sind, kommunizieren und erzeugen ihre Daten im Allgemeinen auf eine von zwei Arten. Einige sammeln Daten und übertragen dann alle ihre Ergebnisse zur Analyse direkt an das Internet. Andere verwenden eine Form der verteilten Vernetzung, bekannt als Nebelverarbeitung wo die Sensoren selbst eine Art Mini-Netzwerk bilden und gemeinsam entscheiden, welche Daten mit einem zentralen Repository oder einer Plattform geteilt werden sollen. Diese Daten können dann weiterverarbeitet oder direkt vom Gesundheitspersonal abgerufen werden.
Was die Cybersicherheit im Gesundheitswesen noch komplizierter macht, ist die Tatsache, dass die Branche nie Standards, Methoden oder Schutzmaßnahmen für den Umgang mit Daten akzeptiert oder vereinbart hat. In der Vergangenheit wurde die Gesundheitsbranche von Herstellern bedient, die ihre eigenen proprietären Technologien für medizinische Geräte anboten. Heute gehören dazu die eingebetteten IoT-Sensoren, die Kommunikationskanäle, die die Geräte verwenden, und die Plattform für die Analyse der Daten nach ihrer Erfassung. Das macht die meisten Krankenhausnetzwerke zu einem Traum für Hacker oder zumindest zu einem guten Testgelände, auf dem sie alles ausnutzen können Fehlkonfigurationen bei der Sicherheit zu unzureichender Schutz der Transportschicht. Sie können alles ausprobieren von Site-übergreifende Anforderungsfälschungen zum Klassiker XML-Injection-Angriffe.
Der Gegenschlag, den wir brauchen, liegt direkt vor uns.
Trotz der potenziell katastrophalen Folgen dieser Schwachstellen Wenn diese Sicherheitslücken ausgenutzt werden, gibt es etwas, worüber man optimistisch bleiben kann: Diese Sicherheitslücken sind keine neuen, mächtigen Hintertüren, die von kriminellen Vordenkern geöffnet werden. Sie sind so häufig, dass es frustrierend ist, sie immer wieder zu sehen. Ein Grund, warum sie ihren hässlichen Kopf aufhauen, ist die Verwendung von Altsystemen, die nicht gepatcht wurden, obwohl Korrekturen verfügbar waren, aber der andere Grund hat wieder einmal mit dem menschlichen Faktor zu tun. Entwickler schreiben Code in rasantem Tempo und konzentrieren sich auf ein schickes, funktionales Endprodukt... nicht auf bewährte Sicherheitsmethoden.
Es wird einfach zu viel Software entwickelt, als dass AppSec-Spezialisten Schritt halten könnten, und wir können nicht erwarten, dass sie mit diesen wiederkehrenden Sicherheitslücken ständig den Tag retten. Es ist billiger, effizienter und eindeutig viel sicherer, wenn diese Sicherheitslücken nicht von vornherein eingeführt werden. Das bedeutet, dass Sicherheitsteams und Entwickler sich ins Zeug legen müssen, um eine robuste, durchgängige Sicherheitskultur zu schaffen.
Wie genau sieht eine großartige Sicherheitskultur aus? Hier sind ein paar wichtige Elemente:
- Entwickler sind mit den Tools und Schulungen ausgestattet, die sie benötigen, um häufig auftretende Fehler zu beheben (und zu verstehen, warum dies so wichtig ist)
- Die Schulung ist umfassend, leicht verdaulich und spielt die Stärken der Entwickler aus
- Die Ergebnisse des Trainings werden anhand von Kennzahlen und Berichten korrekt gemessen (nicht nur ein Häkchen setzen und mit dem Training fortfahren)
- AppSec und Entwickler beginnen, dieselbe Sprache zu sprechen: Schließlich arbeiten sie in einer positiven Sicherheitskultur daran, ähnliche Ziele zu erreichen.
Die Wahrscheinlichkeit einer Katastrophe ist immer noch enorm und geht weit über den bloßen Diebstahl der Krankenakten eines Patienten hinaus. Das Injizieren falscher Tumoren in einen Scan könnte eine Person, die ängstlich darauf wartet, zu erfahren, ob sie an Krebs erkrankt ist, am Boden zerstört haben. Und der Austausch von Medikamenten oder die Änderung der Behandlungspläne könnten sie tatsächlich töten. Aber es braucht nur einen Cyberkriminellen, der bereit ist, diese Grenze zu überschreiten, um Gewinn zu erzielen, und Sie können garantieren, dass dies passiert. Vielleicht verschlüsselt der nächste Ransomware-Betrug nicht die Daten eines Krankenhauses, sondern ruiniert stattdessen die Diagnosen von Tausenden von Patienten. Oder vielleicht droht ein Angreifer damit, Medikamente zu verändern, sofern sie nicht bezahlt werden, und setzt buchstäblich Leben auf Lösegeld.
Es ist klar, dass wir nicht länger dem „business as usual“ -Ansatz folgen können, wenn es darum geht Cybersicherheit im Gesundheitswesen. Wir können uns nicht darauf verlassen, dass ein oder zwei Spezialisten in Gesundheitsorganisationen jedes Problem lösen. Stattdessen brauchen wir sicherheitsbewusste Entwickler, die an Apps und Geräten für das Gesundheitswesen arbeiten, um potenzielle Probleme zu erkennen und sie zu beheben, bevor sie in Einrichtungen eingesetzt werden. Und selbst Beschäftigte im Gesundheitswesen könnten grundlegende Schulungen zur Cybersicherheit in Anspruch nehmen.
Es stimmt, dass nichts wichtiger ist als Ihre Gesundheit. In der Gesundheitsbranche hängt die Aufrechterhaltung einer guten Cybersicherheit für die Zukunft davon ab, dass heute ein besseres allgemeines Sicherheitsbewusstsein geschaffen wird. Ohne ernsthafte Behandlung wird sich dieses Problem nur noch verschärfen.
Eine Version dieses Artikels lief in Cyber Defense Magazin. Es wurde hier für die Syndizierung aktualisiert.
Cyberangriffe sind heutzutage zu einer Lebensweise geworden. Die Menschen erwarten fast, Neuigkeiten über neue Sicherheitslücken oder Sicherheitslücken zu hören, die alles betreffen, vom Bankwesen über die Luftfahrt bis hin zu Geräten, die so unterschiedlich sind wie Smartphones und Ampeln. Selbst unsere Häuser sind nicht mehr völlig sicher. Ganze Städte und Gemeinden werden angegriffen fast täglich von Kriminellen, wobei Angreifer Lösegeld in Millionenhöhe fordern, um kompromittierte kritische Dienste wiederherzustellen.
Aber ein Ort, an dem wir uns hoffentlich noch sicher fühlen konnten, war in der Arztpraxis oder sogar in einem Krankenhaus. Menschen sind am anfälligsten, wenn sie sich an einen Gesundheitsdienstleister wenden. Der menschliche Anstand würde fast verlangen, dass die örtlichen Kliniker ihre edle Arbeit in Ruhe erledigen dürfen. Leider ist das nicht der Fall. Unter den heutigen Cyberdieben scheint wenig Ehre "oder vielleicht schiere Verzweiflung" zu herrschen. Tatsächlich könnte das Gesundheitswesen das nächste „große“ Schlachtfeld im Bereich Cybersicherheit sein, auf dem Kriminelle genau die Maschinen angreifen, die medizinische Probleme diagnostizieren, Behandlungen durchführen und Leben erhalten. Angesichts der Tatsache, dass sich vor unseren Augen eine anhaltende globale Gesundheitskrise abspielt, ist es von entscheidender Bedeutung, dies von mehreren Punkten aus anzugehen.
Bedrohungen werden persönlicher als je zuvor.
Angriffe auf die Gesundheitsbranche sind nicht neu. Cyberkriminelle wissen bereits, welchen Wert Patienteninformationen, persönliche Daten und Finanzdaten in der Unterwelt und im Dark Web haben. Diese Informationen können verwendet werden, um Geld direkt von Patienten zu stehlen, oder als Ausgangspunkt für sekundäre Angriffe wie Phishing und andere Betrügereien dienen. Kein Wunder also, dass sich viele der verheerendsten Angriffe in letzter Zeit gegen das Gesundheitswesen richteten. Hymne Im Gesundheitswesen wurden 80 Millionen Patientendaten gestohlen. Premera hat 11 Millionen persönliche Dateien verloren. Kümmere dich zuerstInsgesamt waren es 1,1 Millionen kompromittierte Datensätze, und die Liste geht weiter und weiter.
Derzeit scheinen Angriffe direkt gegen medizinische Geräte selten zu sein. Allerdings mindestens ein Bericht deutet darauf hin, dass das Problem viel weiter verbreitet sein könnte, da Krankenhäuser die Angriffe nicht melden oder Mitarbeiter, die nicht in Cybersicherheit geschult sind, einfach nicht erkennen, dass ein Angriff direkt vor ihnen stattfindet. Die Fähigkeit, medizinische Geräte auf beängstigende Weise zu kompromittieren, beispielsweise durch den Einsatz von Schadsoftware füge falsche Tumoren hinzu zu CAT-Scans und MRT-Ergebnissen, wurde von Sicherheitsforschern eindeutig nachgewiesen. Es ist kein großer Sprung zu glauben, dass Angreifer möglicherweise bereits dieselben oder ähnliche Dinge mit medizinischen Geräten in der realen Welt tun.
Das Gesundheitswesen ist auch besonders anfällig für Cyberangriffe, da es zunehmend auf Geräte im Internet der Dinge (IoT) angewiesen ist. Dabei handelt es sich um winzige Sensoren, die mit dem Internet verbunden sind und unglaubliche Informationsmengen erzeugen. In den meisten Fällen war die Sicherung der von diesen Sensoren erzeugten Informationen, der Kommunikationskanäle und sogar der Sensoren selbst kaum mehr als ein nachträglicher Einfall. Die Anzahl potenzieller Sicherheitslücken, die ein Angreifer ausnutzen könnte, wenn sie sich in diesen IoT-dominierten Netzwerken verstecken, ist wahrscheinlich nahezu unbegrenzt.
IoT im Gesundheitswesen birgt ernsthafte Risiken.
Dienstleistungen, die für die Patientenversorgung von entscheidender Bedeutung sind, „die in einigen Fällen vor 20 Jahren noch nicht einmal in Betracht gezogen wurden“, sind Nährboden sowohl für IoT-basierte als auch für andere traditionellere Sicherheitslücken. Elektronische Patientenakten, Telemedizin und mobile Gesundheitsdienste warteten offenbar alle auf die Fülle an Informationen, die das Internet der Dinge bieten konnte. Kein Wunder, dass das Engagement für das Internet der Dinge im Gesundheitswesen überwältigend ist. MarketResearch.com prognostiziert das bis zum nächsten Jahr, der IoT-Markt im Gesundheitswesen wird 117 Milliarden US-Dollar erreichen und danach jedes Jahr mit einer Rate von 15% weiter wachsen.
In dieser Umgebung können erfahrene Angreifer zahlreiche Sicherheitslücken finden, die zum Ausnutzen medizinischer Geräte genutzt werden können. IoT-Sensoren, die in medizinische Geräte integriert sind, kommunizieren und erzeugen ihre Daten im Allgemeinen auf eine von zwei Arten. Einige sammeln Daten und übertragen dann alle ihre Ergebnisse zur Analyse direkt an das Internet. Andere verwenden eine Form der verteilten Vernetzung, bekannt als Nebelverarbeitung wo die Sensoren selbst eine Art Mini-Netzwerk bilden und gemeinsam entscheiden, welche Daten mit einem zentralen Repository oder einer Plattform geteilt werden sollen. Diese Daten können dann weiterverarbeitet oder direkt vom Gesundheitspersonal abgerufen werden.
Was die Cybersicherheit im Gesundheitswesen noch komplizierter macht, ist die Tatsache, dass die Branche nie Standards, Methoden oder Schutzmaßnahmen für den Umgang mit Daten akzeptiert oder vereinbart hat. In der Vergangenheit wurde die Gesundheitsbranche von Herstellern bedient, die ihre eigenen proprietären Technologien für medizinische Geräte anboten. Heute gehören dazu die eingebetteten IoT-Sensoren, die Kommunikationskanäle, die die Geräte verwenden, und die Plattform für die Analyse der Daten nach ihrer Erfassung. Das macht die meisten Krankenhausnetzwerke zu einem Traum für Hacker oder zumindest zu einem guten Testgelände, auf dem sie alles ausnutzen können Fehlkonfigurationen bei der Sicherheit zu unzureichender Schutz der Transportschicht. Sie können alles ausprobieren von Site-übergreifende Anforderungsfälschungen zum Klassiker XML-Injection-Angriffe.
Der Gegenschlag, den wir brauchen, liegt direkt vor uns.
Trotz der potenziell katastrophalen Folgen dieser Schwachstellen Wenn diese Sicherheitslücken ausgenutzt werden, gibt es etwas, worüber man optimistisch bleiben kann: Diese Sicherheitslücken sind keine neuen, mächtigen Hintertüren, die von kriminellen Vordenkern geöffnet werden. Sie sind so häufig, dass es frustrierend ist, sie immer wieder zu sehen. Ein Grund, warum sie ihren hässlichen Kopf aufhauen, ist die Verwendung von Altsystemen, die nicht gepatcht wurden, obwohl Korrekturen verfügbar waren, aber der andere Grund hat wieder einmal mit dem menschlichen Faktor zu tun. Entwickler schreiben Code in rasantem Tempo und konzentrieren sich auf ein schickes, funktionales Endprodukt... nicht auf bewährte Sicherheitsmethoden.
Es wird einfach zu viel Software entwickelt, als dass AppSec-Spezialisten Schritt halten könnten, und wir können nicht erwarten, dass sie mit diesen wiederkehrenden Sicherheitslücken ständig den Tag retten. Es ist billiger, effizienter und eindeutig viel sicherer, wenn diese Sicherheitslücken nicht von vornherein eingeführt werden. Das bedeutet, dass Sicherheitsteams und Entwickler sich ins Zeug legen müssen, um eine robuste, durchgängige Sicherheitskultur zu schaffen.
Wie genau sieht eine großartige Sicherheitskultur aus? Hier sind ein paar wichtige Elemente:
- Entwickler sind mit den Tools und Schulungen ausgestattet, die sie benötigen, um häufig auftretende Fehler zu beheben (und zu verstehen, warum dies so wichtig ist)
- Die Schulung ist umfassend, leicht verdaulich und spielt die Stärken der Entwickler aus
- Die Ergebnisse des Trainings werden anhand von Kennzahlen und Berichten korrekt gemessen (nicht nur ein Häkchen setzen und mit dem Training fortfahren)
- AppSec und Entwickler beginnen, dieselbe Sprache zu sprechen: Schließlich arbeiten sie in einer positiven Sicherheitskultur daran, ähnliche Ziele zu erreichen.
Die Wahrscheinlichkeit einer Katastrophe ist immer noch enorm und geht weit über den bloßen Diebstahl der Krankenakten eines Patienten hinaus. Das Injizieren falscher Tumoren in einen Scan könnte eine Person, die ängstlich darauf wartet, zu erfahren, ob sie an Krebs erkrankt ist, am Boden zerstört haben. Und der Austausch von Medikamenten oder die Änderung der Behandlungspläne könnten sie tatsächlich töten. Aber es braucht nur einen Cyberkriminellen, der bereit ist, diese Grenze zu überschreiten, um Gewinn zu erzielen, und Sie können garantieren, dass dies passiert. Vielleicht verschlüsselt der nächste Ransomware-Betrug nicht die Daten eines Krankenhauses, sondern ruiniert stattdessen die Diagnosen von Tausenden von Patienten. Oder vielleicht droht ein Angreifer damit, Medikamente zu verändern, sofern sie nicht bezahlt werden, und setzt buchstäblich Leben auf Lösegeld.
Es ist klar, dass wir nicht länger dem „business as usual“ -Ansatz folgen können, wenn es darum geht Cybersicherheit im Gesundheitswesen. Wir können uns nicht darauf verlassen, dass ein oder zwei Spezialisten in Gesundheitsorganisationen jedes Problem lösen. Stattdessen brauchen wir sicherheitsbewusste Entwickler, die an Apps und Geräten für das Gesundheitswesen arbeiten, um potenzielle Probleme zu erkennen und sie zu beheben, bevor sie in Einrichtungen eingesetzt werden. Und selbst Beschäftigte im Gesundheitswesen könnten grundlegende Schulungen zur Cybersicherheit in Anspruch nehmen.
Es stimmt, dass nichts wichtiger ist als Ihre Gesundheit. In der Gesundheitsbranche hängt die Aufrechterhaltung einer guten Cybersicherheit für die Zukunft davon ab, dass heute ein besseres allgemeines Sicherheitsbewusstsein geschaffen wird. Ohne ernsthafte Behandlung wird sich dieses Problem nur noch verschärfen.
Haga clic en el enlace de abajo y descargue el PDF de este recurso.
Secure Code Warrior a disposición de su empresa para ayudarle a proteger el código durante todo el ciclo de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de seguridad de aplicaciones, desarrollador, responsable de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su empresa a reducir los riesgos asociados al código inseguro.
Ver informeReservar una demostración
Director General, Presidente y Cofundador
Pieter Danhieux es un experto en seguridad mundialmente reconocido, con más de 12 años de experiencia como consultor de seguridad y 8 años como instructor principal de SANS enseñando técnicas ofensivas sobre cómo atacar y evaluar organizaciones, sistemas y personas en busca de debilidades de seguridad. En 2016, fue reconocido como una de las personas más cool de la tecnología en Australia (Business Insider), galardonado como Profesional de Seguridad Cibernética del Año (AISA - Asociación Australiana de Seguridad de la Información) y tiene certificaciones GSE, CISSP, GCIH, GCFA, GSEC, GPEN, GWAPT, GCIA.
Eine Version dieses Artikels lief in Cyber Defense Magazin. Es wurde hier für die Syndizierung aktualisiert.
Cyberangriffe sind heutzutage zu einer Lebensweise geworden. Die Menschen erwarten fast, Neuigkeiten über neue Sicherheitslücken oder Sicherheitslücken zu hören, die alles betreffen, vom Bankwesen über die Luftfahrt bis hin zu Geräten, die so unterschiedlich sind wie Smartphones und Ampeln. Selbst unsere Häuser sind nicht mehr völlig sicher. Ganze Städte und Gemeinden werden angegriffen fast täglich von Kriminellen, wobei Angreifer Lösegeld in Millionenhöhe fordern, um kompromittierte kritische Dienste wiederherzustellen.
Aber ein Ort, an dem wir uns hoffentlich noch sicher fühlen konnten, war in der Arztpraxis oder sogar in einem Krankenhaus. Menschen sind am anfälligsten, wenn sie sich an einen Gesundheitsdienstleister wenden. Der menschliche Anstand würde fast verlangen, dass die örtlichen Kliniker ihre edle Arbeit in Ruhe erledigen dürfen. Leider ist das nicht der Fall. Unter den heutigen Cyberdieben scheint wenig Ehre "oder vielleicht schiere Verzweiflung" zu herrschen. Tatsächlich könnte das Gesundheitswesen das nächste „große“ Schlachtfeld im Bereich Cybersicherheit sein, auf dem Kriminelle genau die Maschinen angreifen, die medizinische Probleme diagnostizieren, Behandlungen durchführen und Leben erhalten. Angesichts der Tatsache, dass sich vor unseren Augen eine anhaltende globale Gesundheitskrise abspielt, ist es von entscheidender Bedeutung, dies von mehreren Punkten aus anzugehen.
Bedrohungen werden persönlicher als je zuvor.
Angriffe auf die Gesundheitsbranche sind nicht neu. Cyberkriminelle wissen bereits, welchen Wert Patienteninformationen, persönliche Daten und Finanzdaten in der Unterwelt und im Dark Web haben. Diese Informationen können verwendet werden, um Geld direkt von Patienten zu stehlen, oder als Ausgangspunkt für sekundäre Angriffe wie Phishing und andere Betrügereien dienen. Kein Wunder also, dass sich viele der verheerendsten Angriffe in letzter Zeit gegen das Gesundheitswesen richteten. Hymne Im Gesundheitswesen wurden 80 Millionen Patientendaten gestohlen. Premera hat 11 Millionen persönliche Dateien verloren. Kümmere dich zuerstInsgesamt waren es 1,1 Millionen kompromittierte Datensätze, und die Liste geht weiter und weiter.
Derzeit scheinen Angriffe direkt gegen medizinische Geräte selten zu sein. Allerdings mindestens ein Bericht deutet darauf hin, dass das Problem viel weiter verbreitet sein könnte, da Krankenhäuser die Angriffe nicht melden oder Mitarbeiter, die nicht in Cybersicherheit geschult sind, einfach nicht erkennen, dass ein Angriff direkt vor ihnen stattfindet. Die Fähigkeit, medizinische Geräte auf beängstigende Weise zu kompromittieren, beispielsweise durch den Einsatz von Schadsoftware füge falsche Tumoren hinzu zu CAT-Scans und MRT-Ergebnissen, wurde von Sicherheitsforschern eindeutig nachgewiesen. Es ist kein großer Sprung zu glauben, dass Angreifer möglicherweise bereits dieselben oder ähnliche Dinge mit medizinischen Geräten in der realen Welt tun.
Das Gesundheitswesen ist auch besonders anfällig für Cyberangriffe, da es zunehmend auf Geräte im Internet der Dinge (IoT) angewiesen ist. Dabei handelt es sich um winzige Sensoren, die mit dem Internet verbunden sind und unglaubliche Informationsmengen erzeugen. In den meisten Fällen war die Sicherung der von diesen Sensoren erzeugten Informationen, der Kommunikationskanäle und sogar der Sensoren selbst kaum mehr als ein nachträglicher Einfall. Die Anzahl potenzieller Sicherheitslücken, die ein Angreifer ausnutzen könnte, wenn sie sich in diesen IoT-dominierten Netzwerken verstecken, ist wahrscheinlich nahezu unbegrenzt.
IoT im Gesundheitswesen birgt ernsthafte Risiken.
Dienstleistungen, die für die Patientenversorgung von entscheidender Bedeutung sind, „die in einigen Fällen vor 20 Jahren noch nicht einmal in Betracht gezogen wurden“, sind Nährboden sowohl für IoT-basierte als auch für andere traditionellere Sicherheitslücken. Elektronische Patientenakten, Telemedizin und mobile Gesundheitsdienste warteten offenbar alle auf die Fülle an Informationen, die das Internet der Dinge bieten konnte. Kein Wunder, dass das Engagement für das Internet der Dinge im Gesundheitswesen überwältigend ist. MarketResearch.com prognostiziert das bis zum nächsten Jahr, der IoT-Markt im Gesundheitswesen wird 117 Milliarden US-Dollar erreichen und danach jedes Jahr mit einer Rate von 15% weiter wachsen.
In dieser Umgebung können erfahrene Angreifer zahlreiche Sicherheitslücken finden, die zum Ausnutzen medizinischer Geräte genutzt werden können. IoT-Sensoren, die in medizinische Geräte integriert sind, kommunizieren und erzeugen ihre Daten im Allgemeinen auf eine von zwei Arten. Einige sammeln Daten und übertragen dann alle ihre Ergebnisse zur Analyse direkt an das Internet. Andere verwenden eine Form der verteilten Vernetzung, bekannt als Nebelverarbeitung wo die Sensoren selbst eine Art Mini-Netzwerk bilden und gemeinsam entscheiden, welche Daten mit einem zentralen Repository oder einer Plattform geteilt werden sollen. Diese Daten können dann weiterverarbeitet oder direkt vom Gesundheitspersonal abgerufen werden.
Was die Cybersicherheit im Gesundheitswesen noch komplizierter macht, ist die Tatsache, dass die Branche nie Standards, Methoden oder Schutzmaßnahmen für den Umgang mit Daten akzeptiert oder vereinbart hat. In der Vergangenheit wurde die Gesundheitsbranche von Herstellern bedient, die ihre eigenen proprietären Technologien für medizinische Geräte anboten. Heute gehören dazu die eingebetteten IoT-Sensoren, die Kommunikationskanäle, die die Geräte verwenden, und die Plattform für die Analyse der Daten nach ihrer Erfassung. Das macht die meisten Krankenhausnetzwerke zu einem Traum für Hacker oder zumindest zu einem guten Testgelände, auf dem sie alles ausnutzen können Fehlkonfigurationen bei der Sicherheit zu unzureichender Schutz der Transportschicht. Sie können alles ausprobieren von Site-übergreifende Anforderungsfälschungen zum Klassiker XML-Injection-Angriffe.
Der Gegenschlag, den wir brauchen, liegt direkt vor uns.
Trotz der potenziell katastrophalen Folgen dieser Schwachstellen Wenn diese Sicherheitslücken ausgenutzt werden, gibt es etwas, worüber man optimistisch bleiben kann: Diese Sicherheitslücken sind keine neuen, mächtigen Hintertüren, die von kriminellen Vordenkern geöffnet werden. Sie sind so häufig, dass es frustrierend ist, sie immer wieder zu sehen. Ein Grund, warum sie ihren hässlichen Kopf aufhauen, ist die Verwendung von Altsystemen, die nicht gepatcht wurden, obwohl Korrekturen verfügbar waren, aber der andere Grund hat wieder einmal mit dem menschlichen Faktor zu tun. Entwickler schreiben Code in rasantem Tempo und konzentrieren sich auf ein schickes, funktionales Endprodukt... nicht auf bewährte Sicherheitsmethoden.
Es wird einfach zu viel Software entwickelt, als dass AppSec-Spezialisten Schritt halten könnten, und wir können nicht erwarten, dass sie mit diesen wiederkehrenden Sicherheitslücken ständig den Tag retten. Es ist billiger, effizienter und eindeutig viel sicherer, wenn diese Sicherheitslücken nicht von vornherein eingeführt werden. Das bedeutet, dass Sicherheitsteams und Entwickler sich ins Zeug legen müssen, um eine robuste, durchgängige Sicherheitskultur zu schaffen.
Wie genau sieht eine großartige Sicherheitskultur aus? Hier sind ein paar wichtige Elemente:
- Entwickler sind mit den Tools und Schulungen ausgestattet, die sie benötigen, um häufig auftretende Fehler zu beheben (und zu verstehen, warum dies so wichtig ist)
- Die Schulung ist umfassend, leicht verdaulich und spielt die Stärken der Entwickler aus
- Die Ergebnisse des Trainings werden anhand von Kennzahlen und Berichten korrekt gemessen (nicht nur ein Häkchen setzen und mit dem Training fortfahren)
- AppSec und Entwickler beginnen, dieselbe Sprache zu sprechen: Schließlich arbeiten sie in einer positiven Sicherheitskultur daran, ähnliche Ziele zu erreichen.
Die Wahrscheinlichkeit einer Katastrophe ist immer noch enorm und geht weit über den bloßen Diebstahl der Krankenakten eines Patienten hinaus. Das Injizieren falscher Tumoren in einen Scan könnte eine Person, die ängstlich darauf wartet, zu erfahren, ob sie an Krebs erkrankt ist, am Boden zerstört haben. Und der Austausch von Medikamenten oder die Änderung der Behandlungspläne könnten sie tatsächlich töten. Aber es braucht nur einen Cyberkriminellen, der bereit ist, diese Grenze zu überschreiten, um Gewinn zu erzielen, und Sie können garantieren, dass dies passiert. Vielleicht verschlüsselt der nächste Ransomware-Betrug nicht die Daten eines Krankenhauses, sondern ruiniert stattdessen die Diagnosen von Tausenden von Patienten. Oder vielleicht droht ein Angreifer damit, Medikamente zu verändern, sofern sie nicht bezahlt werden, und setzt buchstäblich Leben auf Lösegeld.
Es ist klar, dass wir nicht länger dem „business as usual“ -Ansatz folgen können, wenn es darum geht Cybersicherheit im Gesundheitswesen. Wir können uns nicht darauf verlassen, dass ein oder zwei Spezialisten in Gesundheitsorganisationen jedes Problem lösen. Stattdessen brauchen wir sicherheitsbewusste Entwickler, die an Apps und Geräten für das Gesundheitswesen arbeiten, um potenzielle Probleme zu erkennen und sie zu beheben, bevor sie in Einrichtungen eingesetzt werden. Und selbst Beschäftigte im Gesundheitswesen könnten grundlegende Schulungen zur Cybersicherheit in Anspruch nehmen.
Es stimmt, dass nichts wichtiger ist als Ihre Gesundheit. In der Gesundheitsbranche hängt die Aufrechterhaltung einer guten Cybersicherheit für die Zukunft davon ab, dass heute ein besseres allgemeines Sicherheitsbewusstsein geschaffen wird. Ohne ernsthafte Behandlung wird sich dieses Problem nur noch verschärfen.
Índice
Director General, Presidente y Cofundador
Secure Code Warrior a disposición de su empresa para ayudarle a proteger el código durante todo el ciclo de desarrollo de software y crear una cultura en la que la ciberseguridad sea una prioridad. Tanto si es responsable de seguridad de aplicaciones, desarrollador, responsable de seguridad de la información o cualquier otra persona relacionada con la seguridad, podemos ayudar a su empresa a reducir los riesgos asociados al código inseguro.
Reservar una demostraciónDescargarRecursos para empezar
Temas y contenidos de la formación Securecode
Nuestros contenidos líderes en el sector se desarrollan continuamente para adaptarse al cambiante panorama del desarrollo de software, teniendo en cuenta su función. Temas que abarcan desde la inteligencia artificial hasta la inyección XQuery y que se ofrecen para una amplia variedad de funciones, desde arquitectos e ingenieros hasta gestores de productos y control de calidad. Eche un vistazo a nuestro catálogo de contenidos por temas y funciones.
La Cámara de Comercio establece el estándar para la seguridad impulsada por desarrolladores a gran escala
Kamer van Koophandel comparte cómo ha integrado la codificación segura en el desarrollo diario mediante certificaciones basadas en roles, evaluaciones comparativas de Trust Score y una cultura de responsabilidad compartida en materia de seguridad.
%20(1).avif)
.avif)
Modelado de amenazas con IA: convertir a cada desarrollador en un modelador de amenazas
Saldrá mejor equipado para ayudar a los desarrolladores a combinar ideas y técnicas de modelado de amenazas con las herramientas de IA que ya utilizan para reforzar la seguridad, mejorar la colaboración y crear software más resistente desde el principio.
Recursos para empezar
Cybermon ha vuelto: ¡Derrota al jefe! Las misiones KI ya están disponibles bajo demanda.
Cybermon 2025 Beat the Boss ya está disponible durante todo el año en SCW. Utiliza requisitos de seguridad avanzados de IA/LLM para reforzar el desarrollo seguro de la IA a gran escala.
Explicación de la Ley de Resiliencia Cibernética: qué significa para el desarrollo de software Secure by Design
Descubra qué exige la Ley de Ciberresiliencia de la UE (CRA), a quién se aplica y cómo los equipos de desarrollo pueden prepararse para ella mediante métodos seguros, la prevención de vulnerabilidades de seguridad y el desarrollo de capacidades para los desarrolladores.
Facilitador 1: Criterios de éxito definidos y medibles
El facilitador 1 abre nuestra serie de diez partes titulada «Facilitadores del éxito» y muestra cómo la codificación segura puede combinarse con resultados empresariales como la reducción de riesgos y la velocidad para lograr la madurez del programa a largo plazo.
