Atención médica El nuevo vector de ataque para estafadores y ladrones de identidad

Atención médica El nuevo vector de ataque para estafadores y ladrones de identidad / Seguridad

Todos somos cada vez más conocedores del robo de identidad en línea..

No pasan muchos días sin que se sepa que una empresa importante sufre algún tipo de violación de datos; simplemente no siempre escuchamos acerca de la gravedad, a menos que involucre cantidades sustanciales de datos de clientes. Del mismo modo, tratamos nuestros registros de atención médica con la misma privacidad. Contienen información confidencial y personal que se puede utilizar contra nosotros en las manos equivocadas..

Hace tiempo que conocemos y entendemos la necesidad de privacidad en relación con los registros médicos, y afortunadamente nuestros médicos y enfermeras han jurado defender esa privacidad. En el mundo del papel de antaño, el acceso no autorizado a los registros médicos sería mediante un juego de manos o un trabajo interno..

Pero ahora, la industria médica global ahora está digitalizada, y también lo son nuestros registros. El hecho de tener un registro médico digitalizado presenta ventajas enormes, pero vale la pena poner sus datos personales en la línea de fuego.?

Robo de identidad medica

No hay duda de que el robo de identidad médica está en aumento 5 razones por las que aumenta el robo de identidad médica 5 razones por las que aumenta el robo de identidad médica Los estafadores quieren sus datos personales e información de cuenta bancaria, pero ¿sabía que sus registros médicos también son de interés para ¿ellos? Averigua qué puedes hacer al respecto. Lee mas . Los estafadores que tradicionalmente han buscado información bancaria y de cuenta en línea 3 consejos de prevención de fraude en línea que necesita saber en 2014 3 consejos de prevención de fraude en línea que necesita saber en 2014 Leer más recurren cada vez más a los registros médicos. ¿Por qué? Bueno, por un lado, están llenos de la información más personal relacionada con algo que todos apreciamos: nuestras vidas.

Su expediente médico se mantiene todos de su información personal: nombre, dirección, fecha de nacimiento, número de seguro social (o equivalente) y, en algunos casos, contendrá información de facturación y detalles de la tarjeta de crédito o débito. Obviamente, esto hace que un registro médico sea muy valioso: más valioso que su cuenta bancaria. Aquí es cuánto puede valer su identidad en la red oscura. Aquí es cuánto puede valer su identidad en la red oscura. Es incómodo pensar que usted es un producto básico, pero Todos sus datos personales, desde el nombre y la dirección hasta los datos de la cuenta bancaria, valen algo para los delincuentes en línea. ¿Cuanto vales? Lea más detalles (bueno, dependiendo de la cantidad de cero en su cuenta!).

La facilidad con que los piratas informáticos acceden a los registros médicos hace que sean un objetivo aún más atractivo. A pesar de los años de conocimiento previo de que los registros médicos se digitalizarían en algún momento, muchas instalaciones médicas no están equipadas para hacer frente a la amenaza omnisciente de la ciberdelincuencia. Por lo tanto, no es de extrañar que el porcentaje de organizaciones de atención médica de EE. UU. Que informaron ataques potenciales haya aumentado del 20% en 2009 al 40% en 2013. Solo en 2015, se registraron 108.8 millones de registros individuales oficialmente reportados. La FCC mantiene la neutralidad de la red. La aseguradora de salud de ataques [Tech News Digest] La FCC preserva la neutralidad de la red, piratas informáticos La aseguradora de salud de ataques [Tech News Digest] gobierna las reglas de neutralidad de la red, Anthem sufre un contratiempo de salud, BT compra EE, tweets en Google, Netflix llega a Japón y el Super Bowl Los comerciales se rehacen en LEGO. Lea más en cinco organizaciones de salud separadas; Cada organización informó que su servidor de red había sido violado:

NÓTESE BIEN: La tabla anterior muestra individuos afectados en millones.

Qué podemos esperar?

Aparte del problema obvio de que su historial médico cae en manos desconocidas, otro espectro cobra mucha importancia. Los recientes avances en hardware médico no son más que milagrosos, pero vienen con una diferencia significativa a sus precursores: su estado en red. Muchos dispositivos ahora están conectados a la red del hospital, lo que brinda a los piratas informáticos la oportunidad de acceder directamente a ciertos dispositivos.

En un informe verdaderamente sorprendente titulado 'Predicciones 2016: La ciberseguridad cambia a la prevención'vemos la predicción de que 2016 verá el comienzo del equipamiento médico afectado por el ransomware La ciberdelincuencia se desconecta: el papel de los bitcoins en el rescate y la extorsión La ciberdelincuencia se desentiende: el papel de los bitcoins en el rescate y la extorsión Leer más .

El riesgo proviene de una falta básica de conocimiento sobre la seguridad de la red. En 2012, a Scott Erven, entonces Director de Seguridad de la Información de Essentia Health (ahora Director Asociado de Protoviti), se le asignó la tarea de evaluar la seguridad de una gran cadena de instalaciones de atención médica del Medio Oeste. Entre la lista de cuestiones planteadas, quedó claro que las instalaciones médicas seguían utilizando contraseñas de red codificadas como, por ejemplo, “administración” o “1234,” corroborando informes anteriores e ICS-ALERT-13-164-01, donde los investigadores Billy Rios y Terry McCorkle de Cylance informaron que aproximadamente 300 dispositivos médicos seguían usando contraseñas codificadas.

Estos pasos básicos de autenticación están creando problemas de seguridad masivos que podrían evitarse fácilmente, o al menos dificultar la tarea serían los atacantes. Así es como te hackean: el mundo turbio de los kits de hazañas Así es como te hackean: el mundo turbio de Kits de explotar Los estafadores pueden usar conjuntos de software para explotar vulnerabilidades y crear malware. ¿Pero cuáles son estos kits de explotación? ¿De dónde vienen? ¿Y cómo pueden ser detenidos? Lee mas . En el mejor de los casos, veremos un aumento en la extorsión financiera..

En el peor de los casos, la gente muere..

Medjack

TrapX, una empresa de seguridad cibernética basada en el engaño, identificó una amplia ola de ataques a instalaciones médicas, que se dirigen principalmente a dispositivos médicos de hospitales. En tres hospitales separados, TrapX encontró “Compromiso extenso de una variedad de dispositivos médicos que incluían equipos de rayos X, archivos de imágenes y sistemas de comunicaciones (PACS) y analizadores de gases en sangre (BGA).”

Sin embargo, este no es el límite del vector de ataque MEDJACK. TrapX cree (se requiere registro):

“Hay muchos otros dispositivos que presentan objetivos para MEDJACK. Esto incluye equipos de diagnóstico (escáneres PET, escáneres de tomografía computarizada (TC), máquinas de resonancia magnética, etc.), equipos terapéuticos (bombas de infusión, láseres médicos y máquinas quirúrgicas LASIK) y equipos de soporte vital (máquinas de corazón - pulmón, ventiladores médicos, máquinas de oxigenación por membrana extracorpórea y máquinas de diálisis) y mucho más..”

El informe explica que muchos de los dispositivos médicos que se están explotando son dispositivos de sistema cerrado, con sistemas operativos desactualizados. 7 formas en que Windows 10 es más seguro que en Windows XP 7 formas en que Windows 10 es más seguro que en Windows XP Incluso si no lo hace. Si no te gusta Windows 10, ya deberías haber migrado de Windows XP. Le mostramos cómo el sistema operativo de 13 años ahora está plagado de problemas de seguridad. Lea más, como Windows 2000, o Windows XP. Los sistemas operativos a menudo se modifican y están llenos de agujeros de seguridad. Todas las versiones de Windows se ven afectadas por esta vulnerabilidad: qué puede hacer al respecto. Todas las versiones de Windows se ven afectadas por esta vulnerabilidad: qué puede hacer al respecto. ¿Qué diría si le dijéramos que su vulnerabilidad de Windows se ve afectada por una vulnerabilidad que se remonta a 1997? Desafortunadamente, esto es cierto. Microsoft simplemente nunca lo parchó. ¡Tu turno! Lea más, presentando una vulnerabilidad masiva en la red de cualquier hospital. En la mayoría de los casos, el personal médico que usa y despliega estos dispositivos no tiene acceso a los trabajos internos, lo que significa que tienen una dependencia total de los fabricantes para instalarlos. y Muros de seguridad resistentes - y actualmente no está sucediendo.

Tampoco se limita a unos pocos hospitales. Con una variedad de fabricantes que suministran gamas masivas de equipos a instalaciones médicas en todo el mundo, es difícil identificar exactamente dónde estará expuesta la próxima vulnerabilidad.

Por ejemplo, cuando la FDA emitió una recomendación para que los fabricantes refuercen la seguridad de los equipos médicos, el Departamento de Seguridad Nacional (DHS) reveló su investigación en curso en 24 casos de presuntos defectos de ciberseguridad, incluidos “una bomba de infusión de Hospira Inc. y dispositivos cardíacos implantables de Medtronic Inc. y St Jude Medical Inc..”

La investigación del DHS continúa.

Venta de registros médicos

Si bien no son tan peligrosos para la vida como los aparatos médicos secuestrados, los registros médicos privados se venden cada vez más a empresas de minería de datos, a veces junto con códigos postales para hacer que los datos sean más útiles y, por lo tanto, más valiosos..

Sin embargo, una vez que los datos han salido de la instalación médica, aumentan las posibilidades de que su información caiga en manos infames. Ya en agosto de 2013, 11 agencias de salud habían comenzado o ya habían realizado revisiones de políticas de recopilación de datos, incluida la forma en que se produce el proceso de venta de datos y las responsabilidades que deben implementarse para las empresas de extracción de datos. ¿Cuánto sabe realmente Google acerca de ¿Tú? ¿Cuánto sabe realmente Google acerca de usted? Google no es un defensor de la privacidad del usuario, pero puede que se sorprenda de lo mucho que saben. Lee mas .

Marc Probst, director de información de Intermountain Healthcare, Salt Lake City, declara “La única razón para comprar esos datos es para que puedan facturar fraudulentamente” los registros médicos respectivos con la esperanza de que alguien entre en pánico y pague. Este uso fraudulento de registros médicos (junto con los registros médicos robados en primer lugar, la seguridad laxa que se encuentra en innumerables instalaciones y los esfuerzos continuos para proporcionar una mejor seguridad cibernética a toda la industria de la salud) es uno de los muchos costos que se transfieren directamente a Los ciudadanos estadounidenses a través de su prima de salud..

Puedes pararlo?

Desafortunadamente, en el caso de registros médicos digitalizados mantenidos directamente por un proveedor de atención médica, no podemos hacer mucho al respecto.

Su proveedor conserva sus datos, e incluso si solicita una copia (que puede ser relativamente costosa), es muy poco probable que su proveedor elimine sus registros por capricho. Quién sabe cuándo podría ser llevado a la sala de emergencias, solo para descubrir que no tienen información médica relacionada con su alergia a la penicilina..

Una medida proactiva es configurar un sistema de alerta con DataLossDB.org, un sitio web general que detalla la mayor cantidad posible de violaciones de datos. Otra estrategia de mitigación podría incluir el monitoreo de su informe de crédito, pero esto generalmente conlleva una tarifa mensual. No obstante, sin duda, notaría que su calificación se redujo a 6 señales de advertencia de robo de identidad digital que no debe ignorar. sin embargo, a menudo caemos en la trampa de pensar que siempre le sucederá a "otra persona". No ignore las señales de advertencia. Lee más, y podría atraparlo antes de que se vuelva irrecuperable. Si nota algo particularmente nefasto y lo captura a tiempo, puede emitir una alerta de fraude, bloqueando cualquier solicitud de crédito o cuentas nuevas que se abran en su nombre durante 90 días..

Es difícil ser tan proactivo con la seguridad de los registros médicos como lo es con sus datos bancarios, pero eso no significa que tenga que sentarse y esperar.

¿Preocupado por el fraude de salud? ¿Le han robado su historial médico? ¿O qué prácticas de seguridad tiene implementadas? Háganos saber a continuación!

Créditos de imagen: sujetar un estetoscopio de nimon a través de Shutterstock, Medical Record a través de Pixabay, Holding Heart a través de Pixabay, Gloved Hand a través de Freerange Stock

Obtenga más información sobre: ​​Salud, robo de identidad, privacidad en línea.