Ataki hakerskie urządzeń medycznych to przyszłość. Przygotowujesz się na nie? – część II

Co roku przybywa średnio 20% nowych urządzeń medycznych na świecie – globalny trend przekłada się również na realia polskiego sektora medycznego, jednak aby zgłębić istotę zabezpieczeń urządzeń medycznych przed cyberatakami warto oprzeć się o doświadczenie zdobyte na gruncie jednej z najbardziej rozwiniętych gospodarek na świecie – USA.

W tym celu przytoczę komentarz Richarda Stayningsa specjalizującego się w cyberbezpieczeństwie urządzeń medycznych:

Niedawno spotkałem się z CIO i CISO wielkiego amerykańskiego systemu opieki zdrowotnej, którzy w tym okresie zajmowali się oceną i profilowaniem różnych urządzeń medycznych, pochodzących od wielu dostawców, zakupionych przez placówki medyczne w ciągu ostatnich dwudziestu lat. Celem spotkania była rozmowa o tym, jak system zdrowia zmierza do zapewnienia ochrony jego 350 000 podłączonych do sieci urządzeń medycznych. W tym czasie system zdrowia posiadał wiele zespołów sprzedawców zewnętrznych stworzonych z dużych nazwisk z dziedziny inżynierii biologicznej, współpracujących z wewnętrznym zespołem IT, aby przeglądać konfiguracje, wersje oprogramowania układowego i systemów operacyjnych/aplikacji, a także, w razie konieczności, aktualizować w celu poprawy bezpieczeństwa urządzeń.
CIO był bardzo zaniepokojony ilością i zamieszaniem w tych urządzeniach – biorąc pod uwagę jednostki zastępcze gwarancji i nowe urządzenia docierające do szpitali. Zastanawiał się, czy kiedykolwiek będą mogli stawić czoła ich specyfice oraz czy rekonfiguracja (reconfiguration) i blokada (lock-down) będą w stanie na bieżąco zabezpieczać systemy sieciowe.
Po dokładnym zapoznaniu się z jego planem i wszystkimi działaniami, które on i jego CISO kontrolowali, zaproponowałem ostrożnie, że może system opieki zdrowotnej obrał niewłaściwą taktykę. Za argument podałem, że nigdy nie byliby w stanie nadążyć za stale rosnącą liczbą urządzeń medycznych (20% rocznie) i zarządzać 350 000 różnymi urządzeniami specjalistycznymi, używając strategii zasadniczo zaprojektowanej do zarządzania komputerami osobistymi i stacjami roboczymi.
Sugerowałem, aby zrezygnował całkowicie ze wszystkich myśli o zabezpieczeniu indywidualnych punktów końcowych przez lokalnie utwardzające urządzenia i aby wyłączyć usługi takie jak TFTP, FTP, TelNet i SSH, co umożliwiłoby znacznie wyższy poziom automatyzacji i zmniejszyłoby margines błędu ludzkiego, który prowadziłby nieuchronnie do ręcznego procesu.
Sugerowałem, aby używał swojej sieci jako punktu kontrolnego, a nie próbował zarządzać wieloma pojedynczymi punktami końcowymi. Dzięki włączeniu TrustSec – wbudowanego systemu dostępu w nowszych przełącznikach Cisco i routerach, mógłby zablokować każde urządzenie końcowe, niezależnie od tego, czy jest podłączony przewodowo, czy bezprzewodowo do sieci, a także kontrolować w sposób jednolity, które porty i protokoły mogą komunikować się z każdym urządzeniem, które użytkownicy mogą administrować i z którymi mogą się porozumiewać urządzenia medyczne.
Dzięki zastosowaniu ISE (Cisco Identity Services Engine) do ustawiania polityki dostępu, która następnie byłaby egzekwowana przez TrustSec system opieki zdrowotnej mógłby stworzyć jednolitą implementację polityki przedsiębiorstwa we wszystkich witrynach lokalizacjach, a także uniknąć potrzeby setek inżynierów do pisania i aktualizacji list kontroli dostępu w przełącznikach, routerach i zaporach. Co więcej, reguły napisane w języku ISE można przedstawić w łatwym do zrozumienia języku biznesowym, a nie w skomplikowanym skrypcie kontroli dostępu do bezpośredniego wejścia do urządzeń infrastruktury przez firewall i inżynierów sieci.
Ponadto, ISE mógłby być wykorzystany do profilowania każdego modelu urządzenia medycznego, dzięki czemu profil mógłby zostać opracowany i przyporządkowany pojedynczo dla każdego modelu oraz stosowany w skali globalnej w całym przedsiębiorstwie do 350 000 + urządzeń medycznych, a tym samym automatyzując bezpieczeństwo.
Wskazałem, że ten sam profil, który przypisuje się do urządzenia medycznego w jednym szpitalu, jest używany do podobnego urządzenia w innym szpitalu, o ile cała jego część jest w tej samej domenie ISE. Dzięki temu można skuteczniej zarządzać zasobami urządzeń medycznych w szpitalach, przydzielając sprzęt medyczny w razie potrzeby, co pozwoli zlikwidować problem niewykorzystanych aktywów.
Zasadniczo zostanie stworzony cały dynamiczny, zautomatyzowany system dostępu dla użytkowników i urządzeń, czyli polityka przedsiębiorstwa oparta na łatwym do zrozumienia języku (w porównaniu z firewall i switch syntax), która faktycznie oszczędzi czas i pieniądze, ponieważ proponowane rozwiązania mogą działać w całym systemie opieki zdrowotnej rozwiązując problem inwentaryzacji. Co więcej, zabezpiecza urządzenia medyczne a także główną sieć firm szpitalnych przed atakami.
Duża liczba wiodących amerykańskich organizacji świadczących usługi w zakresie opieki zdrowotnej korzysta już z technologii ISE i TrustSec w celu zabezpieczenia ich urządzeń medycznych, badań, własności intelektualnej, PHI, PII i innych poufnych informacji poprzez segmentację zabezpieczeń ich sieci i systemów informatycznych. źródło: https://blogs.cisco.com/security/securing-medical-devices-the-need-for-a-different-approach-part-2

Firma Mazaj korzystając z produktów naszych partnerów jest w stanie zapewnić, za pośrednictwem wyżej opisanych technologii, najwyższej jakości zabezpieczenia urządzeń medycznych przed atakami hakerskimi, które w niedalekiej przyszłości mogą stać się codziennością.