ProHoster > Blog > Stjórnsýsla > Stórar algengar spurningar um netöryggi læknisfræðilegra upplýsingakerfa

Stórar algengar spurningar um netöryggi læknisfræðilegra upplýsingakerfa

Greiningarskoðun á netöryggisógnum við læknisfræðileg upplýsingakerfi sem skipta máli á tímabilinu 2007 til 2017.

– Hversu algeng eru læknisfræðileg upplýsingakerfi í Rússlandi?
– Geturðu sagt mér meira um Sameinað heilbrigðisupplýsingakerfi (USSIZ)?
– Geturðu sagt okkur meira um tæknilega eiginleika innlendra lækningaupplýsingakerfa?
– Hvernig er staðan með netöryggi innanlands EMIAS kerfisins?
– Hvernig er staðan með netöryggi læknaupplýsingakerfa – í tölum?
– Geta tölvuvírusar smitað lækningatæki?
– Hversu hættulegir eru lausnarhugbúnaðarvírusar fyrir læknageirann?
– Ef netatvik eru svona hættuleg, hvers vegna tölvuvæða framleiðendur lækningatækja tækin sín?
– Hvers vegna skiptu netglæpamenn úr fjármálageiranum og smásöluverslunum yfir í læknastöðvar?
– Hvers vegna hafa tilfelli lausnarhugbúnaðarsýkinga orðið tíðari í lækningageiranum og haldið áfram að fjölga?
– Læknar, hjúkrunarfræðingar og sjúklingar sem urðu fyrir áhrifum af WannaCry – hvernig reyndist þeim?
– Hvernig geta netglæpamenn skaðað lýtalæknastofu?
– Netglæpamaður stal sjúkrakorti – hvað þýðir þetta fyrir réttan eiganda þess?
– Hvers vegna er þjófnaður á sjúkrakortum í aukinni eftirspurn?
– Hver er tengslin á milli þjófnaðar á kennitölum og skjalafölsunariðnaðarins?
– Í dag er mikið rætt um horfur og öryggi gervigreindarkerfa. Hvernig gengur þetta í læknageiranum?
– Hefur læknageirinn dregið einhvern lærdóm af WannaCry ástandinu?
– Hvernig geta læknastöðvar tryggt netöryggi?

Stórar algengar spurningar um netöryggi læknisfræðilegra upplýsingakerfa


Þessi umsögn var merkt með þakklætisbréfi frá heilbrigðisráðuneyti Rússlands (sjá skjáskot undir spoiler).

Stórar algengar spurningar um netöryggi læknisfræðilegra upplýsingakerfa

Hversu algeng eru læknisfræðileg upplýsingakerfi í Rússlandi?

  • Árið 2006, Informatics of Siberia (upplýsingatæknifyrirtæki sem sérhæfir sig í þróun læknisfræðilegra upplýsingakerfa) greindi frá [38]: „MIT Technology Review gefur reglulega út hefðbundinn lista yfir tíu efnilega upplýsinga- og samskiptatækni sem mun hafa mest áhrif á mannlífið í nánustu framtíð.“ samfélaginu. Árið 2006 voru 6 af hverjum 10 stöðum á þessum lista uppteknir af tækni sem tengdist læknisfræðilegum vandamálum á einhvern hátt. Árið 2007 var lýst yfir „ár upplýsingavæðingar heilbrigðisþjónustu“ í Rússlandi. Frá 2007 til 2017 eykst stöðugt gangverki háð heilbrigðisþjónustu á upplýsinga- og samskiptatækni.“
  • Þann 10. september 2012 tilkynnti Opna kerfisupplýsinga- og greiningarmiðstöðin [41] að árið 2012 hafi 350 heilsugæslustöðvar í Moskvu verið tengdar EMIAS (sameinað læknisfræðileg upplýsinga- og greiningarkerfi). Nokkru síðar, 24. október 2012, greindi sama heimild [42] frá því að í augnablikinu hafi 3,8 þúsund læknar sjálfvirkar vinnustöðvar og 1,8 milljónir borgara hafa þegar prófað EMIAS þjónustuna. Þann 12. maí 2015, sama heimild greindi frá [40] að EMIAS starfar á öllum 660 opinberum heilsugæslustöðvum í Moskvu og inniheldur gögn frá meira en 7 milljón sjúklingum.
  • Þann 25. júní 2016 birti tímaritið Profile [43] sérfræðiálit frá alþjóðlegu greiningarmiðstöðinni PwC: „Moskva er eina stórborgin þar sem sameinað kerfi til að stjórna heilsugæslustöðvum borgarinnar hefur verið innleitt að fullu, á meðan sambærileg lausn er fáanleg í öðrum borgir heimsins, þar á meðal New York og London, eru aðeins á umræðustigi.“ „Profile“ greindi einnig frá því að frá og með 25. júlí 2016 voru 75% Muscovites (um 9 milljónir manna) skráðir í EMIAS, meira en 20 þúsund læknar starfa í kerfinu; frá því kerfið var sett á laggirnar hafa meira en 240 milljónir pantaðra tíma hjá læknum; Meira en 500 þúsund mismunandi aðgerðir eru gerðar daglega í kerfinu. Þann 10. febrúar 2017 greindi Ekho Moskvy [39] frá því að í augnablikinu í Moskvu séu meira en 97% af læknisheimsóknum framkvæmdar samkvæmt samkomulagi, gerðar í gegnum EMIAS.
  • Þann 19. júlí 2016 lýsti Veronika Skvortsova, heilbrigðisráðherra Rússlands, því yfir [11] að í lok árs 2018 verði 95% læknastöðva landsins tengd við sameinaða heilbrigðisupplýsingakerfið (USHIS) - í gegnum innleiðing á samræmdri rafrænni sjúkraskrá (EMR). Samsvarandi lög sem skylda rússnesk svæði til að tengjast kerfinu hafa farið í almenna umræðu, samþykkt með öllum áhugasömum alríkisstofnunum og verða brátt lögð fyrir ríkisstjórnina. Veronika Skvortsova greindi frá því að á 83 svæðum skipulögðu þeir rafrænan tíma hjá lækni; sameinað svæðisbundið sjúkraflutningakerfi var tekið upp á 66 svæðum; á 81 landshluta eru sjúkraupplýsingakerfi sem 57% lækna hafa tengt sjálfvirkar vinnustöðvar við. [ellefu]

Geturðu sagt okkur meira um Sameinað heilbrigðisupplýsingakerfi (USSIZ)?

  • EGSIZ er rót allra innlendra MIS (læknisfræðilegra upplýsingakerfa). Það samanstendur af svæðisbundnum brotum - RISUZ (svæðisbundið heilbrigðisstjórnunarupplýsingakerfi). EMIAS, sem þegar var nefnt hér að ofan, er eitt af eintökum RISUZ (frægasta og efnilegasta). [51] Eins og útskýrt [56] af ritstjórum tímaritsins „Director of Information Service“ er USSIZ skýjanet upplýsingatækniinnviði, stofnun svæðisbundinna hluta sem er framkvæmd af rannsóknarmiðstöðvum í Kaliningrad, Kostroma, Novosibirsk, Orel, Saratov, Tomsk og aðrar borgir í Rússlandi.
  • Verkefni USSIZ er að uppræta „upplýsingavæðingu bútasaums“ í heilbrigðisþjónustu; í gegnum samtengingu MIS ýmissa deilda, sem hver um sig, fyrir innleiðingu Sameinaðs ríkisfélagsstofnunar, notaði sinn sérsniðna hugbúnað, án nokkurra samræmdra miðlægra staðla. [54] Síðan 2008 hefur sameinað upplýsingasvæði fyrir heilbrigðisþjónustu í Rússlandi verið byggt á 26 upplýsingatæknistöðlum iðnaðarins [50]. 20 þeirra eru alþjóðleg.
  • Starf læknamiðstöðva fer að miklu leyti eftir MIS, svo sem OpenEMR eða EMIAS. MIS veitir geymslu upplýsinga um sjúklinginn: greiningarniðurstöður, gögn um ávísað lyf, sjúkrasögu o.fl. Algengustu þættir MIS (frá og með 30. mars 2017): EHR (Rafræn sjúkraskrá) – rafrænt sjúkraskrárkerfi sem geymir gögn sjúklinga á skipulögðu formi og heldur sjúkrasögu hans. NAS (Network Attached Storage) – netgagnageymsla. DICOM (Digital Imaging and Communications in Medicine) er staðall til að búa til og skiptast á stafrænum myndum í læknisfræði. PACS (Picture Archiving and Communication System) er myndgeymslu- og skiptikerfi sem starfar í samræmi við DICOM staðalinn. Býr til, geymir og sýnir læknisfræðilegar myndir og skjöl rannsakaðra sjúklinga. Algengasta af DICOM kerfunum. [3] Öll þessi MIS eru viðkvæm fyrir háþróuðum netárásum, upplýsingar um þær eru aðgengilegar almenningi.
  • Árið 2015, Zhilyaev P.S., Goryunova T.I. og Volodin K.I., tæknisérfræðingar við Penza State Technological University, sögðu [57] í grein sinni um netöryggi í lækningageiranum að EMIAS feli í sér: 1) CPMM (samþætt rafræn sjúkraskrá); 2) sjúklingaskrá yfir borgina; 3) flæðisstjórnunarkerfi sjúklinga; 4) samþætt læknisfræðileg upplýsingakerfi; 5) samstæðustjórnunarbókhaldskerfi; 6) kerfi persónulegrar skráningar á læknishjálp; 7) sjúkraskrárstjórnunarkerfi. Eins og fyrir CPMM, samkvæmt skýrslu [39] Ekho Moskvy útvarpsins (10. febrúar 2017), er þetta undirkerfi byggt á bestu starfsvenjum OpenEHR staðalsins, sem er framsæknasta tæknin sem tæknilega þróuð lönd hafa smám saman. flytja.
  • Ritstjórar Computerworld Russia tímaritsins útskýrðu einnig [41] að auk þess að samþætta allar þessar þjónustur innbyrðis og við MIS sjúkrastofnana, er EMIAS einnig samþætt hugbúnaði sambandsbrotsins "EGIS-Zdrav" (USIS er sameinað ríkisupplýsingakerfi) og rafræn kerfi, stjórnvöld, þar með talið þjónustugáttir ríkisins. Nokkru síðar, þann 25. júlí 2016, skýrðu ritstjórar Profile tímaritsins [43] að EMIAS sameinar nú nokkra þjónustu: ástandsmiðstöð, rafræna skráningu, EHR, rafræn lyfseðil, veikindavottorð, rannsóknarstofuþjónustu og persónulegt bókhald.
  • Þann 7. apríl 2016 greindu ritstjórar tímaritsins „Director of Information Service“ [59] frá því að EMIAS væri komið í apótek. Öll apótek í Moskvu sem afgreiða lyf á ívilnandi lyfseðlum hafa hleypt af stokkunum „sjálfvirku kerfi til að stjórna lyfjaframboði til íbúa“ - M-Apteka.
  • Þann 19. janúar 2017 greindi sömu heimild frá [58] að árið 2015 hófst innleiðing sameinaðrar geislaupplýsingaþjónustu (ERIS), samþætt EMIAS, í Moskvu. Fyrir lækna sem gefa út tilvísanir til sjúklinga vegna greiningar hafa verið þróuð tæknikort fyrir röntgenrannsóknir, ómskoðun, tölvusneiðmynd og segulómun sem eru samþætt EMIAS. Eftir því sem verkefnið stækkar er fyrirhugað að tengja sjúkrahús með fjölmörgum tækjum sínum við þjónustuna. Mörg sjúkrahús hafa sitt eigið MIS og þau þurfa líka að vera samþætt þeim. Ritstjórar Profile segja einnig að með því að sjá jákvæða reynslu af höfuðborginni hafi svæðin einnig fengið áhuga á innleiðingu EMIAS.

Getur þú sagt okkur meira um tæknilega eiginleika innlendra lækningaupplýsingakerfa?

  • Upplýsingarnar fyrir þessa málsgrein voru teknar úr greiningarrýni [49] á „Informatics of Siberia“. Um 70% læknisfræðilegra upplýsingakerfa eru byggð á venslagagnagrunnum. Árið 1999 notuðu 47% heilbrigðisupplýsingakerfa staðbundna (skrifborðs) gagnagrunna, langflestir þeirra voru dBase töflur. Þessi nálgun er dæmigerð fyrir upphafstímabil hugbúnaðarþróunar fyrir læknisfræði og sköpun mjög sérhæfðra vara.
  • Á hverju ári fækkar innlendum kerfum sem byggja á tölvugagnagrunnum. Árið 2003 var þessi tala aðeins 4%. Í dag nota nánast engir verktaki dBase töflur. Sumar hugbúnaðarvörur nota sitt eigið gagnagrunnssnið; Þau eru oft notuð í rafrænum lyfjaformum. Eins og er, er heimamarkaðurinn með læknisfræðilegt upplýsingakerfi sem er byggt jafnvel á eigin DBMS af „viðskiptavinur-miðlara“ arkitektúrnum: e-Hospital. Erfitt er að ímynda sér málefnalegar ástæður fyrir slíkum ákvörðunum.
  • Við þróun innlendra læknisfræðilegra upplýsingakerfa eru eftirfarandi DBMS aðallega notaðar: Microsoft SQL Server (52.18%), Cache (17.4%), Oracle (13%), Borland Interbase Server (13%), Lotus Notes/Domino (13%) . Til samanburðar: ef við greinum allan lækningahugbúnað með því að nota biðlara-miðlara arkitektúr, mun hlutur Microsoft SQL Server DBMS vera 64%. Margir forritarar (17.4%) leyfa notkun nokkurra DBMS, oftast blöndu af Microsoft SQL Server og Oracle. Tvö kerfi (IS Kondopoga [44] og Paracels-A [45]) nota nokkur DBMS samtímis. Öllum notuðum DBMS er skipt í tvær grundvallar mismunandi gerðir: vensla og eftirtengsl (hlutbundin). Í dag eru 70% innlendra læknisfræðilegra upplýsingakerfa byggð á DBMS-tengslum og 30% á eftirtengslakerfi.
  • Við þróun læknisfræðilegra upplýsingakerfa eru notuð margvísleg forritunartæki. Til dæmis er DOKA+ [47] skrifað í PHP og JavaScript. „E-Hospital“ [48] var þróað í Microsoft Visual C++ umhverfinu. Verndargripir - í Microsoft Visual.NET umhverfinu." Infomed [46], sem keyrir undir Windows (98/Me/NT/2000/XP), er með tveggja þrepa biðlara-miðlara arkitektúr; biðlarahlutinn er útfærður á Delphi forritunarmálinu; Miðlarahlutanum er stjórnað af Oracle DBMS.
  • Um það bil 40% þróunaraðila nota verkfæri sem eru innbyggð í DBMS. 42% nota eigin þróun sem skýrsluritstjóri; 23% - verkfæri innbyggð í DBMS. Til að gera sjálfvirkan hönnun og prófun forritskóða nota 50% þróunaraðila Visual Source Safe. Sem hugbúnaður til að búa til skjöl nota 85% þróunaraðila Microsoft vörur - Word textaritlinum eða, eins og til dæmis, höfundar e-Hospital, Microsoft Help Workshop.
  • Árið 2015, Ageenko T.Yu. og Andrianov A.V., tæknisérfræðingar við Tækniháskólann í Moskvu, birtu grein [55], þar sem þeir lýstu í smáatriðum tæknilegum upplýsingum sjálfvirks upplýsingakerfis sjúkrahúsa (GAIS), þar á meðal dæmigerðum netuppbyggingu sjúkrastofnunar og þrýstibúnaði. vandamál við að tryggja netöryggi þess. GAIS er öruggt net sem EMIAS, efnilegasta rússneska MIS, starfar í gegnum.
  • „Informatics of Siberia“ heldur því fram [53] að tvær opinberustu rannsóknarmiðstöðvarnar sem taka þátt í þróun MIS séu Institute of Software Systems of the Russian Academy of Sciences (staðsett í hinni fornu rússnesku borg Pereslavl-Zalessky) og ekki- gróðasamtökin „Sjóður fyrir þróun og útvegun sérhæfðrar lækningadeildar“ 168" (staðsett í Akademgorodok, Novosibirsk). „Upplýsingafræði Síberíu“ sjálft, sem einnig er hægt að vera með á þessum lista, er staðsett í borginni Omsk.

Hvernig er staðan með netöryggi innanlands EMIAS kerfisins?

  • Þann 10. febrúar 2017 deildi Vladimir Makarov, sýningarstjóri EMIAS verkefnisins, í viðtali sínu fyrir Ekho Moskvy útvarpið, hugmynd sinni [39] um að ekkert sé til sem heitir algert netöryggi: „Það er alltaf hætta á gagnaleka. Þú verður að venjast því að afleiðing þess að nota hvaða nútímatækni sem er er að allt um þig getur orðið þekkt. Jafnvel æðstu embættismenn ríkja eru að opna rafræn pósthólf. Í þessu sambandi má nefna nýlegt atvik þar sem tölvupóstum um 90 þingmanna á breska þinginu var ógnað.
  • Þann 12. maí 2015 talaði upplýsingatæknideild Moskvu [40] um fjögur lykilatriði ISIS (samþætt upplýsingaöryggiskerfi) fyrir EMIAS: 1) líkamleg vernd - gögn eru geymd á nútíma netþjónum sem staðsettir eru í neðanjarðar húsnæði, aðgangur að þeim. er strangt eftirlit; 2) hugbúnaðarvernd - gögn eru send á dulkóðuðu formi um öruggar samskiptaleiðir; að auki er aðeins hægt að afla upplýsinga um einn sjúkling í einu; 3) leyfilegur aðgangur að gögnum - læknirinn er auðkenndur með persónulegu snjallkorti; Fyrir sjúklinginn er tvíþætt auðkenning veitt út frá skyldutryggingu sjúkratrygginga og fæðingardag.
  • 4) Læknis- og persónuupplýsingar eru geymdar sérstaklega, í tveimur mismunandi gagnagrunnum, sem tryggir öryggi þeirra enn frekar; EMIAS netþjónar safna læknisfræðilegum upplýsingum á nafnlausu formi: heimsóknir til læknis, tímapantanir, vottorð um óvinnufærni, leiðbeiningar, lyfseðla og aðrar upplýsingar; og persónuupplýsingar - lögboðið sjúkratrygginganúmer, eftirnafn, fornafn, föðurnafn, kyn og fæðingardagur - eru að finna í gagnagrunnum Moskvuborgar skyldutryggingasjóðs; gögn úr þessum tveimur gagnagrunnum eru aðeins sameinuð sjónrænt á skjá læknisins, eftir auðkenningu hans.
  • Hins vegar, þrátt fyrir að slík EMIAS-vörn virðist ómótstæðileg, gerir nútíma netárásartækni, þar sem smáatriðin eru á almenningi, mögulegt að hakka jafnvel slíka vernd. Sjá, til dæmis, lýsingu á árás á nýja Microsoft Edge vafrann - þar sem hugbúnaðarvillur eru ekki fyrir hendi og með allar tiltækar varnir virkar. [62] Þar að auki er skortur á villum í forritskóðanum útópía í sjálfu sér. Lestu meira um þetta í kynningunni „The Dirty Secrets of Cyber ​​​​Defenders. [63]
  • Þann 27. júní 2017, vegna umfangsmikillar netárásar, stöðvaði Invitro heilsugæslustöðin söfnun lífefna og útgáfu prófaniðurstaðna í Rússlandi, Hvíta-Rússlandi og Kasakstan. [64]
  • Þann 12. maí 2017 skráði Kaspesky Lab [60] 45 þúsund vel heppnaðar netárásir á WannaCry lausnarhugbúnaðarvírusinn í 74 löndum; Þar að auki áttu flestar þessar árásir sér stað á rússneskt yfirráðasvæði. Þremur dögum síðar (15. maí 2017) skráði vírusvarnarfyrirtækið Avast [61] þegar 200 þúsund netárásir af WannaCry lausnarhugbúnaðarvírusnum og greindi frá því að meira en helmingur þessara árása hafi átt sér stað í Rússlandi. BBC fréttastofan greindi frá því (13. maí 2017) að í Rússlandi hafi heilbrigðisráðuneytið, innanríkisráðuneytið, Seðlabankinn og rannsóknarnefndin, meðal annarra, orðið fórnarlömb vírussins. [61]
  • Hins vegar fullyrða fjölmiðlamiðstöðvar þessara og annarra rússnesku deilda einróma að netárásir WannaCry vírussins hafi ekki borið árangur, þótt þær hafi átt sér stað. Flestar útgáfur á rússnesku um óheppileg atvik með WannaCry, þar sem einn eða annar rússneskur stofnun er minnst á, bæta í skyndi við eitthvað eins og: „En samkvæmt opinberum gögnum varð ekkert tjón af. Á hinn bóginn er vestræn blöð fullviss um að afleiðingar netárásar WannaCry-veirunnar séu áþreifanlegri en fram kemur í rússnesku blöðunum. Vestrænar pressur eru svo fullvissar um þetta að þær fjarlægðu jafnvel grunsemdir frá Rússum um aðild að þessari netárás. Hverjum á að treysta betur - vestrænum eða innlendum fjölmiðlum - er persónulegt mál hvers og eins. Það er þess virði að íhuga að báðir aðilar hafa sínar ástæður til að ýkja og gera lítið úr áreiðanlegum staðreyndum.

Hvernig er staðan með netöryggi læknisfræðilegra upplýsingakerfa – í tölum?

  • Þann 1. júní 2017 sögðu Rebecca Weintrab (PhD yfirlæknir á Brigham and Women's Hospital) og Joram Borenstein (netöryggisverkfræðingur), í sameiginlegri grein sinni sem birt var á síðum Harvard Business Review [18] að stafræna tíminn hafi mjög einfaldað söfnun sjúkraupplýsinga, gögn og skipti á sjúkraskrám milli mismunandi læknamiðstöðva: í dag eru sjúkraskrár sjúklinga orðnar hreyfanlegar og færanlegar. Hins vegar eru þessi stafrænu þægindi á kostnað alvarlegrar netöryggisáhættu fyrir heilsugæslustöðvar.
  • Þann 3. mars 2017 greindi SmartBrief fréttastofan [24] frá því að á fyrstu tveimur mánuðum ársins 2017 hafi verið um 250 netöryggisatvik sem leiddu til þjófnaðar á meira en milljón trúnaðargögnum. 50% þessara atvika áttu sér stað í litlum og meðalstórum fyrirtækjum (ekki meðtalið heilbrigðisgeirann). Um 30% voru í heilbrigðisgeiranum. Nokkru síðar, 16. mars, tilkynnti sama stofnun [22] að leiðtogi netöryggisatvika um þessar mundir árið 2017 væri læknageirinn.
  • Þann 17. janúar 2013 tilkynnti Michael Greg, skólastjóri netöryggisráðgjafarfyrirtækisins Smart Solutions, [21] að árið 2012 hafi 94% læknamiðstöðva verið fórnarlömb trúnaðarupplýsingaleka. Þetta er 65% meira en árin 2010-2011. Jafnvel verra, 45% læknamiðstöðva greindu frá því að brot á trúnaðarupplýsingum yrðu alvarlegri með tímanum; og viðurkenndu að hafa verið með fleiri en fimm slíka alvarlega leka á tímabilinu 2012-2013. Og innan við helmingur læknastöðva er viss um að hægt sé að koma í veg fyrir slíkan leka, eða að minnsta kosti hægt að komast að því að hann hafi átt sér stað.
  • Michael Greg greindi einnig frá [21] að á tímabilinu 2010-2012, á aðeins þremur árum, urðu meira en 20 milljónir sjúklinga fórnarlömb þjófnaðar á EHR, sem innihalda viðkvæmar trúnaðarupplýsingar: sjúkdómsgreiningar, meðferðaraðferðir, greiðsluupplýsingar, tryggingarupplýsingar, félagslegar upplýsingar. öryggisnúmeratryggingu og margt fleira. Netglæpamaður sem stelur EHR getur notað upplýsingarnar sem aflað er úr honum á margvíslegan hátt (sjá málsgreinina „Hvernig tengist þjófnaður á almannatrygginganúmerum glæpaiðnaðinum skjalafölsun?“). Hins vegar, þrátt fyrir allt þetta, er öryggi EHR á læknastöðvum oft mun veikara en öryggi persónulegra tölvupósta.
  • Þann 2. september 2014 sagði Mike Orkut, tæknifræðingur við MIT, [10] að tilvik um lausnarhugbúnaðarsýkingu verða tíðari með hverju ári. Árið 2014 voru 600% fleiri atvik en árið 2013. Að auki greindi bandaríska FBI [26] frá því að meira en 2016 tilvik stafrænnar fjárkúgunar hafi átt sér stað daglega árið 4000 - fjórfalt fleiri en árið 2015. Á sama tíma er það ekki aðeins þróun vaxtar í sýkingartilvikum með lausnarhugbúnaðarvírusum sem er ógnvekjandi; Smám saman fjölgun markvissra árása er einnig skelfileg. Algengustu skotmörk slíkra árása eru fjármálastofnanir, smásalar og læknastöðvar.
  • Þann 19. maí 2017 birti BBC fréttastofan [23] Verizon skýrslu fyrir árið 2017, en samkvæmt henni áttu 72% af lausnarhugbúnaðartilvikum sér stað í lækningageiranum. Þar að auki hefur fjöldi slíkra atvika aukist um 12% á síðustu 50 mánuðum.
  • Þann 1. júní 2017 birti Harvard Business Review [18] skýrslu frá bandaríska heilbrigðis- og mannþjónusturáðuneytinu, sem greindi frá því að meira en 2015 milljónum EHR var stolið árið 113. Árið 2016 - meira en 16 milljónir. Á sama tíma, þrátt fyrir að miðað við árið 2016 sé mikill samdráttur í fjölda atvika, fer heildarþróunin enn vaxandi. Í byrjun árs 2017 lýsti Expirian-hugsjóninni því yfir [27] að heilsugæsla væri langvinsælasta skotmark netglæpamanna.
  • Leki á gögnum sjúklinga í sjúkrakerfum er smám saman að verða [37] eitt brýnasta vandamálið í heilbrigðisgeiranum. Þannig hefur, samkvæmt InfoWatch, undanfarin tvö ár (2005-2006) hver önnur læknastofnun lekið upplýsingum um sjúklinga. Þar að auki eiga 60% gagnaleka sér stað ekki í gegnum samskiptaleiðir, heldur í gegnum tiltekið fólk sem tekur trúnaðarupplýsingar út fyrir stofnunina. Aðeins 40% upplýsingaleka eiga sér stað af tæknilegum ástæðum. Veikasti hlekkurinn [36] í netöryggi læknisfræðilegra upplýsingakerfa er fólk. Þú getur eytt gífurlegum fjárhæðum í að búa til öryggiskerfi og láglaunamaður mun selja upplýsingar fyrir þúsundasta af þessum kostnaði.

Geta tölvuvírusar smitað lækningatæki?

  • Þann 17. október 2012, David Talbot, tæknifræðingur við MIT, greindi frá því [1] að lækningabúnaður sem notaður er inni á læknastöðvum sé að verða sífellt tölvuvæddari, sífellt gáfaðri og sífellt sveigjanlegri til að endurforrita hann; og hefur einnig í auknum mæli netstuðningsaðgerð. Fyrir vikið er lækningabúnaður að verða sífellt næmari fyrir netárásum og veirusýkingum. Vandamálið bætist við þá staðreynd að framleiðendur leyfa almennt ekki að breyta búnaði sínum, jafnvel til að tryggja netöryggi hans.
  • Til dæmis, árið 2009, lak Conficker netormurinn inn í Beth Israel Medical Center og sýkti hluta lækningatækjanna þar, þar á meðal vinnustöð fyrir fæðingarhjálp (frá Philips) og vinnustöð fyrir flúrspegla (frá General Electric). Til að koma í veg fyrir að svipuð atvik ættu sér stað í framtíðinni, ákvað John Halmack, upplýsingatæknistjóri læknamiðstöðvarinnar - og doktorsprófessor við Harvard Medical School - að slökkva á netvirkni búnaðarins. Hann stóð hins vegar frammi fyrir því að búnaðurinn „gæti ekki verið uppfærður vegna takmarkana á eftirliti“. Það tók hann töluverða fyrirhöfn að semja við framleiðendur um að slökkva á netgetu. Hins vegar er langt frá því að vera ótengd lausn. Sérstaklega í umhverfi aukinnar samþættingar og innbyrðis háðar lækningatækja. [1]
  • Þetta á við um „snjall“ búnað sem er notaður inni á læknastöðvum. En það eru líka til lækningatæki sem hægt er að nota, sem innihalda insúlíndælur og ígrædda gangráða. Þeir verða í auknum mæli fyrir netárásum og tölvuvírusum. [1] Til athugasemdar má líka benda á að þann 12. maí 2017 (dagurinn þegar WannaCry ransomware vírusinn sigraði), sagði einn hjartaskurðlæknirinn [28] að í miðri hjartaaðgerð hafi hann verið framkvæma, nokkrar tölvur urðu fyrir alvarlegri bilun - þó, sem betur fer, tókst honum samt að klára aðgerðina.

Hversu hættulegir eru lausnarhugbúnaðarvírusar fyrir læknageirann?

  • Þann 3. október 2016 útskýrði Mohammed Ali, forstjóri netöryggisfyrirtækisins Carbonite,[19] í Harvard Business Review að lausnarhugbúnaður væri tegund tölvuvíruss sem læsir notanda út úr kerfinu sínu; þar til lausnargjaldið er greitt. Lausnarhugbúnaðarvírusinn dulkóðar harða diskinn með þeim afleiðingum að notandinn missir aðgang að upplýsingum í tölvunni sinni og lausnarvírusinn krefst lausnargjalds fyrir að útvega afkóðunarlykilinn. Til að forðast kynni við löggæslu nota glæpamenn nafnlausar greiðslumáta eins og Bitcoin. [19]
  • Mohammed Ali greindi einnig frá [19] að dreifingaraðilar lausnarhugbúnaðarvírusa hafi komist að því að ákjósanlegasta lausnargjaldið þegar ráðist er á almenna borgara og eigendur smáfyrirtækja er frá $300 til $500. Þetta er upphæð sem margir eru tilbúnir að skilja við - þegar þeir standa frammi fyrir því að tapa öllum stafrænum sparnaði sínum. [19]
  • Þann 16. febrúar 2016 greindi Guardian fréttastofan [13] frá því að vegna lausnarhugbúnaðarsýkingar missti læknastarfsfólk í Hollywood Presbyterian Medical Center aðgang að tölvukerfum sínum. Þess vegna neyddust læknar til að hafa samband með símbréfi, hjúkrunarfræðingar voru neyddir til að skrá sjúkrasögu á gamaldags sjúkraskrár á pappír og sjúklingar neyddust til að fara á sjúkrahús til að sækja niðurstöður úr prófunum í eigin persónu.
  • Þann 17. febrúar 2016 birtu stjórnendur Hollywood Presbyterian Medical Center [30] eftirfarandi yfirlýsingu: „Að kvöldi 5. febrúar misstu starfsmenn okkar aðgang að sjúkrahúsnetinu. Spilliforritið læsti tölvum okkar og dulkóðaði allar skrár okkar. Lögregluyfirvöldum var strax gert viðvart. Sérfræðingar í netöryggi hjálpuðu til við að endurheimta aðgang að tölvum okkar. Upphæð umbeðna lausnargjaldsins var 40 bitcoins ($17000). Fljótlegasta og áhrifaríkasta leiðin til að endurheimta kerfi okkar og stjórnunaraðgerðir var að greiða lausnargjaldið o.s.frv. fáðu afkóðunarlykilinn. Til þess að endurheimta virkni sjúkrahúskerfa neyddumst við til að gera þetta.“
  • Þann 12. maí 2017 greindi New York Times [28] frá því að vegna WannaCry atviksins hafi sum sjúkrahús verið svo lömuð að þau gætu ekki einu sinni prentað nafnmerki fyrir nýbura. Á sjúkrahúsum var sjúklingum sagt: „Við getum ekki þjónað þér vegna þess að tölvurnar okkar eru bilaðar. Þetta er frekar óvenjulegt að heyra í stórborgum eins og London.

Ef netatvik eru svona hættuleg, hvers vegna tölvuvæða framleiðendur lækningatækja tækin sín?

  • Þann 9. júlí 2008, sagði Christina Grifantini, tæknisérfræðingur MIT, í grein sinni „Medical Centers: The Age of Plug and Play“ [2]: Hið skelfilega úrval nýrra snjalllækningatækja á sjúkrahúsum lofar betri umönnun sjúklinga. Hins vegar er vandamálið að þessi tæki eru yfirleitt ósamrýmanleg hvert við annað, jafnvel þótt þau séu framleidd af sama framleiðanda. Því hafa læknar brýna þörf á að samþætta allan lækningabúnað í eitt tölvutækt net.
  • Þann 9. júlí 2009 lýsti Douglas Roseindale, upplýsingatæknisérfræðingur í heilbrigðisstjórnun og doktorsprófessor við Harvard Medical School, fram [2] brýnni þörf fyrir tölvuvædda samþættingu lækningatækja með eftirfarandi orðum: „Það eru mörg sérkerfi tiltæk í dag með a. lokaðan arkitektúr, frá mismunandi birgjum - en vandamálið er að þeir geta ekki haft samskipti sín á milli. Og þetta skapar erfiðleika við að sinna sjúklingum.“
  • Þegar lækningatæki gera sjálfstæðar mælingar og skiptast ekki á þeim, geta þau ekki metið ástand sjúklings í heild sinni og því gefa þau viðvörun við minnstu frávik vísbendinga frá venju, með eða án ástæðu. Þetta skapar veruleg óþægindi fyrir hjúkrunarfræðinga, sérstaklega á gjörgæsludeild, þar sem mikið er af slíkum sjálfstæðum tækjum. Án samþættingar og stuðnings neta verður gjörgæslan geðveiki. Samþætting og stuðningur staðarnets gerir það mögulegt að samræma rekstur lækningatækja og lækningaupplýsingakerfa (sérstaklega samspil þessara tækja við EHR sjúklinga), sem leiðir til verulegrar fækkunar á fölskum viðvörunum. [2]
  • Sjúkrahús eru með mikið af úreltum, dýrum búnaði sem styður ekki netið. Með brýnni þörf fyrir samþættingu eru sjúkrahús ýmist smám saman að skipta út þessum búnaði fyrir nýjan eða breyta honum þannig að hægt sé að samþætta hann inn í heildarnetið. Á sama tíma, jafnvel með nýjum búnaði sem var þróaður með hliðsjón af möguleikanum á samþættingu, hefur þetta vandamál ekki verið leyst að fullu. Vegna þess að sérhver framleiðandi lækningatækja, knúinn áfram af eilífri samkeppni, leitast við að tryggja að tæki hans geti aðeins samþætt hvert annað. Hins vegar þurfa margar bráðamóttökur sérstaka blöndu af tækjum sem enginn einn framleiðandi getur útvegað. Þess vegna mun það ekki leysa samhæfisvandamálið að velja einn framleiðanda. Þetta er annað vandamál sem stendur í vegi fyrir alhliða samþættingu. Og sjúkrahús eru að fjárfesta mikið í að leysa það. Vegna þess að annars mun búnaður sem er ósamrýmanlegur hver öðrum breyta spítalanum, með fölskum viðvörunum, í geðveiki. [2]
  • Þann 13. júní 2017 deildi Peter Pronovost, læknir með doktorsgráðu og aðstoðarforstjóri sjúklingaöryggis við Johns Hopkins Medicine, [17] hugsunum sínum um þörfina fyrir tölvuvæðingu lækningatækja í Harvard Business Review: „Tökum t.d. , Öndunarhjálparvél. Ákjósanlegur loftræstihamur fyrir lungu sjúklings er beint háður hæð sjúklingsins. Hæð sjúklings er geymd í EHR. Að jafnaði hefur öndunartækið ekki samskipti við EHR, svo læknar verða að fá þessar upplýsingar handvirkt, gera nokkra útreikninga á pappír og stilla færibreytur öndunarbúnaðarins handvirkt. Ef öndunartækið og EHR væru tengd í gegnum tölvutækt net gæti þessi aðgerð verið sjálfvirk. Svipuð viðhaldsvenja fyrir lækningatæki er einnig til meðal tugum annarra lækningatækja. Þess vegna þurfa læknar að framkvæma hundruð hefðbundinna aðgerða á hverjum degi; sem fylgja villum – þó sjaldgæft, en óumflýjanlegt.“
  • Ný tölvustýrð sjúkrarúm eru búin sett af hátækniskynjurum sem geta fylgst með margs konar breytum sjúklings sem liggur á þeim. Til dæmis geta þessi rúm, með því að fylgjast með gangverki hreyfinga sjúklings á rúminu, ákvarðað hvort sjúklingurinn eigi á hættu að fá legusár. Þessir hátækniskynjarar standa undir 30% af kostnaði alls rúmsins. Hins vegar, án tölvuvæddrar samþættingar, mun þetta „snjallrúm“ vera lítið gagn - vegna þess að það mun ekki geta fundið sameiginlegt tungumál með öðrum lækningatækjum. Svipað ástand sést með „snjöllum þráðlausum skjáum“ sem mæla hjartsláttartíðni, MOC, blóðþrýsting osfrv. Án þess að samþætta allan þennan búnað í eitt tölvustýrt net, og umfram allt að tryggja bein samskipti við EHR sjúklinga, mun hann vera til lítils. [17]

Hvers vegna hafa netglæpamenn skipt úr fjármálageiranum og smásöluverslunum yfir í læknastöðvar?

  • Þann 16. febrúar 2016, deildi Julia Cherry, sérstakur fréttaritari Guardian, athugasemdum sínum um að læknamiðstöðvar séu sérstaklega aðlaðandi fyrir netglæpamenn vegna þess að upplýsingakerfi þeirra - þökk sé landsvísu sókn læknamiðstöðva til að stafræna sjúkraskrár - innihalda mikið af fjölbreyttum upplýsingar. Inniheldur kreditkortanúmer, persónulegar sjúklingaupplýsingar og viðkvæmar heilsufarsupplýsingar. [13]
  • Þann 23. apríl 2014 útskýrði Jim Finkle, netöryggissérfræðingur frá Reuters fréttastofunni, [12] að netglæpamenn reyndu að fylgja línunni um minnstu viðnám. Netöryggiskerfi læknamiðstöðva eru mun veikari miðað við aðrar greinar sem hafa þegar viðurkennt þetta vandamál og gripið til árangursríkra mótvægisaðgerða. Þess vegna laðast netglæpamenn að þeim.
  • Þann 18. febrúar 2016 greindi Mike Orkut, tæknifræðingur hjá MIT, frá því að áhugi netglæpamanna í lækningageiranum stafar af eftirfarandi fimm ástæðum: 1) Flestar læknastöðvar hafa þegar flutt öll skjöl sín og kort yfir á stafrænt form; hinir eru í slíkum flutningi. Þessi kort innihalda persónulegar upplýsingar sem eru mjög verðmætar á Darknet svörtum markaði. 2) Netöryggi er ekki forgangsverkefni á læknastöðvum; þeir nota oft úrelt kerfi og viðhalda þeim ekki sem skyldi. 3) Þörfin fyrir skjótan aðgang að gögnum í neyðartilvikum vegur oft þyngra en þörfin fyrir öryggi, sem veldur því að sjúkrahús hafa tilhneigingu til að vanrækja netöryggi, jafnvel þótt þau séu meðvituð um hugsanlegar afleiðingar. 4) Sjúkrahús eru að tengja fleiri tæki við netið sitt, sem gefur vondum krökkum fleiri möguleika til að síast inn á sjúkrahúsnetið. 5) Þróunin í átt að sérsniðnari læknisfræði - sérstaklega þörfin fyrir að sjúklingar hafi alhliða aðgang að EHR - gerir MIS að enn aðgengilegra skotmarki. [14]
  • Smásölu- og fjármálageirinn hefur lengi verið vinsæl skotmörk fyrir netglæpamenn. Þegar upplýsingar sem stolið er frá þessum stofnunum flæða yfir svarta markaðinn á Dark Web verða þær ódýrari, sem gerir það að verkum að það er minna arðbært fyrir vondu kallana að stela þeim og selja. Þess vegna eru vondu kallarnir nú að kanna nýjan, arðbærari geira. [12]
  • Á Darknet svörtum markaði eru sjúkrakort mun verðmætari en kreditkortanúmer. Í fyrsta lagi vegna þess að þeir geta verið notaðir til að komast inn á bankareikninga og fá lyfseðla fyrir lyfjum sem eru undir eftirliti. Í öðru lagi vegna þess að mun erfiðara er að greina staðreyndina um þjófnað á sjúkrakorti og ólögmæta notkun þess og mun meiri tími líður frá því augnabliki sem misnotkun er á sér stað þar til það uppgötvast en þegar um misnotkun kreditkorta er að ræða. [12]
  • Að sögn Dell eru sumir sérstaklega framtakssamir netglæpamenn að sameina heilsufarsupplýsingar sem unnar eru úr stolnum sjúkraskrám við önnur viðkvæm gögn o.s.frv. Þeir safna pakka af fölsuðum skjölum. Þessir pakkar eru kallaðir „fullz“ og „kitz“ á svartamarkaðshrognum á svörtum markaði. Verðið á hverjum slíkum pakka fer yfir $1000. [12]
  • Þann 1. apríl 2016 sagði Tom Simont, tæknifræðingur við MIT, [4] að verulegur munur á netógnum í læknisgeiranum sé alvarleiki afleiðinganna sem þær lofa. Til dæmis, ef þú missir aðgang að vinnupóstinum þínum, verður þú náttúrulega í uppnámi; Hins vegar er allt annað mál að missa aðgang að sjúkraskrám sem innihalda upplýsingar sem þarf til að meðhöndla sjúklinga.
  • Þess vegna, fyrir netglæpamenn - sem skilja að þessar upplýsingar eru mjög dýrmætar fyrir lækna - er læknageirinn mjög aðlaðandi skotmark. Svo aðlaðandi að þeir fjárfesta stöðugt umtalsverða fjármuni - í að gera lausnarhugbúnaðarvírusana sína enn fullkomnari; að vera skrefi á undan í eilífri baráttu sinni við vírusvarnarkerfi. Hinar glæsilegu fjárhæðir sem þeir safna með lausnarhugbúnaði gefa þeim tækifæri til að eyða svo miklum peningum í þessa fjárfestingu og það skilar sér vel. [4]

Hvers vegna hefur lausnarhugbúnaðarsýkingum fjölgað og haldið áfram að aukast í læknisgeiranum?

  • Þann 1. júní 2017 birtu Rebecca Weintrab (PhD yfirlæknir hjá Brigham and Women's Hospital) og Joram Borenstein (netöryggisverkfræðingur) [18] í Harvard Business Review niðurstöður sameiginlegrar rannsóknar þeirra varðandi netöryggi í læknisgeiranum. Helstu skilaboð úr rannsóknum þeirra eru kynnt hér að neðan.
  • Engin stofnun er ónæm fyrir tölvusnápur. Þetta er raunveruleikinn sem við búum við og þessi veruleiki varð sérstaklega áberandi þegar WannaCry lausnarhugbúnaðarvírusinn sprakk um miðjan maí 2017 og sýkti læknastöðvar og aðrar stofnanir um allan heim. [18]
  • Árið 2016 uppgötvuðu stjórnendur á stórri heilsugæslustöð, Hollywood Presbyterian Medical Center, óvænt að þeir höfðu misst aðgang að upplýsingum á tölvum sínum. Læknar gátu ekki nálgast EHR sjúklinga sinna; og jafnvel til eigin skýrslna. Allar upplýsingar á tölvum þeirra voru dulkóðaðar með lausnarhugbúnaðarvírus. Á meðan allar upplýsingar heilsugæslustöðvarinnar voru í gíslingu af árásarmönnunum neyddust læknar til að beina skjólstæðingum á önnur sjúkrahús. Þeir skrifuðu allt á pappír í tvær vikur þar til þeir ákváðu að greiða lausnargjaldið sem árásarmennirnir kröfðust - $17000 (40 bitcoins). Ekki var hægt að rekja greiðsluna þar sem lausnargjaldið var greitt í gegnum nafnlausa Bitcoin greiðslukerfið. Ef netöryggissérfræðingar hefðu heyrt fyrir nokkrum árum síðan að ákvarðanatökumenn myndu furða sig á því að breyta peningum í dulritunargjaldmiðil til að greiða lausnargjald til þróunaraðila vírussins, hefðu þeir ekki trúað því. Hins vegar er þetta nákvæmlega það sem gerðist í dag. Daglegt fólk, eigendur lítilla fyrirtækja og stór fyrirtæki eru öll undir ógn af lausnarhugbúnaði. [19]
  • Varðandi félagslega verkfræði, vefveiðapóstar sem innihalda skaðlega tengla og viðhengi eru ekki lengur sendir fyrir hönd erlendra ættingja sem vilja láta þig eftir hluta af auði sínum í skiptum fyrir trúnaðarupplýsingar. Í dag eru phishing tölvupóstar vel undirbúin skilaboð, án innsláttarvillna; oft dulbúin sem opinber skjöl með lógóum og undirskriftum. Sum þeirra eru ekki aðgreind frá venjulegum viðskiptabréfaskiptum eða frá lögmætum tilkynningum um uppfærslur á forritum. Stundum fá þeir sem taka þátt í starfsmannavali bréf frá efnilegum umsækjanda með ferilskrá sem fylgir bréfinu, sem inniheldur lausnarhugbúnaðarvírus. [19]
  • Hins vegar er háþróuð félagsverkfræði ekki svo slæm. Jafnvel verra er sú staðreynd að lausn lausnarhugbúnaðarveiru getur átt sér stað án beinnar þátttöku notandans. Ransomware vírusar geta breiðst út í gegnum öryggisholur; eða í gegnum óvarðar eldri umsóknir. Að minnsta kosti í hverri viku birtist í grundvallaratriðum ný tegund af lausnarhugbúnaðarvírus; og fjöldi leiða sem lausnarhugbúnaðarvírusar komast inn í tölvukerfi eykst stöðugt. [19]
  • Til dæmis varðandi WannaCry ransomware vírusinn... Upphaflega (15. maí 2017) komust öryggissérfræðingar að þeirri niðurstöðu [25] að aðalástæðan fyrir því að smita breska heilbrigðiskerfið sé sú að sjúkrahús nota úrelta útgáfu af Windows stýrikerfinu. kerfi - XP (sjúkrahús nota þetta kerfi vegna þess að mörg dýr sjúkrahúsbúnaður er ekki samhæfður nýrri útgáfum af Windows). Nokkru síðar (22. maí 2017) kom hins vegar í ljós [29] að tilraun til að keyra WannaCry á Windows XP leiddi oft til tölvuhruni, án sýkingar; og meginhluti sýktu vélanna var með Windows 7. Auk þess var upphaflega talið að WannaCry vírusinn breiddist út með vefveiðum, en síðar kom í ljós að þessi vírus dreifðist sjálfan sig, eins og netormur, án aðstoðar notenda.
  • Að auki eru sérhæfðar leitarvélar sem leita ekki að vefsvæðum heldur að líkamlegum búnaði. Í gegnum þá er hægt að finna út á hvaða stað, á hvaða sjúkrahúsi, hvaða búnaður er tengdur við netið. [3]
  • Annar mikilvægur þáttur í útbreiðslu lausnarhugbúnaðar vírusa er aðgangur að Bitcoin dulritunargjaldmiðlinum. Auðveldin við að innheimta greiðslur á nafnlausan hátt víðsvegar að úr heiminum ýtir undir aukningu netglæpa. Þar að auki, með því að millifæra peninga til fjárkúgara, hvetur þú þar með til endurtekinnar fjárkúgunar gegn þér. [19]
  • Á sama tíma hafa netglæpamenn lært að taka yfir jafnvel þau kerfi sem eru með nýjustu vörninni og nýjustu hugbúnaðaruppfærslunum; og uppgötvunar- og afkóðunaraðferðir (sem öryggiskerfin grípa til) virka ekki alltaf; sérstaklega ef árásin er markviss og einstök. [19]
  • Hins vegar er enn áhrifarík mótvægisaðgerð gegn lausnarhugbúnaðarvírusum: afrit af mikilvægum gögnum. Svo að ef upp koma vandræði er auðvelt að endurheimta gögnin. [19]

Læknar, hjúkrunarfræðingar og sjúklingar sem urðu fyrir áhrifum af WannaCry - hvernig reyndist þeim?

  • Þann 13. maí 2017 tók Sarah Marsh, blaðamaður Guardian, viðtal við nokkra einstaklinga sem voru fórnarlömb WannaCry lausnarhugbúnaðar vírussins til að skilja hvernig þetta atvik reyndist [5] fyrir fórnarlömbin (nöfnum hefur verið breytt af persónuverndarástæðum):
  • Sergey Petrovich, læknir: Ég gat ekki veitt sjúklingum viðeigandi umönnun. Sama hversu mikið leiðtogar reyna að sannfæra almenning um að netatvik hafi ekki áhrif á öryggi lokasjúklinga, þá er þetta ekki satt. Við gátum ekki einu sinni tekið röntgenmyndir þegar tölvukerfin okkar biluðu. Og nánast engin læknisaðgerð er lokið án þessara mynda. Þetta örlagaríka kvöld var til dæmis að hitta sjúkling og ég þurfti að senda hann í röntgenmyndatöku, en þar sem tölvukerfin okkar voru lamuð gat ég það ekki. [5]
  • Vera Mikhailovna, sjúklingur með brjóstakrabbamein: Eftir að hafa farið í krabbameinslyfjameðferð var ég hálfnuð frá spítalanum en á því augnabliki varð netárás. Og þó að lotunni væri þegar lokið þurfti ég að eyða nokkrum klukkutímum í viðbót á sjúkrahúsinu og bíða eftir að mér yrði loksins gefið lyfið. Áfallið kom upp vegna þess að áður en lyf eru afgreidd athugar heilbrigðisstarfsmenn hvort lyfseðla sé fylgt og fara þær athuganir fram með tölvukerfum. Sjúklingarnir næstir í röðinni á eftir mér voru þegar komnir í krabbameinslyfjameðferð; lyf þeirra hafa einnig þegar verið afhent. En þar sem ómögulegt var að sannreyna samræmi þeirra við uppskriftirnar var málsmeðferðinni frestað. Meðferð þeirra sjúklinga sem eftir voru var almennt frestað til næsta dags. [5]
  • Tatyana Ivanovna, hjúkrunarfræðingur: Á mánudaginn gátum við ekki skoðað EHR sjúklinga og lista yfir tíma sem áætlaðir voru í dag. Ég var á vakt við móttöku umsókna um helgina, svo á mánudaginn, þegar spítalinn okkar varð fórnarlamb netárásar, þurfti ég að muna nákvæmlega hver ætti að mæta á fundinn. Upplýsingakerfi spítalans okkar hafa verið læst. Við gátum ekki skoðað sjúkraskrár, við gátum ekki skoðað lyfjaávísanir; gat ekki skoðað heimilisföng sjúklings og tengiliðaupplýsingar; fylla út skjöl; athuga niðurstöður úr prófunum. [5]
  • Evgeniy Sergeevich, kerfisstjóri: Venjulega eru föstudagseftirmiðdagar okkar annasamastir. Svo var þetta á föstudaginn. Spítalinn var fullur af fólki og 5 starfsmenn sjúkrahússins stóðu vaktina til að taka á móti símbeiðnum og síminn þeirra hætti ekki að hringja. Öll tölvukerfi okkar gengu snurðulaust fyrir sig, en um klukkan 15:00 urðu allir tölvuskjáir svartir. Læknar okkar og hjúkrunarfræðingar misstu aðgang að EHR sjúklinga og starfsmenn á vakt sem svöruðu símtölum gátu ekki slegið beiðnir inn í tölvuna. [5]

Hvernig geta netglæpamenn skaðað lýtalæknastofu?

  • Eins og greint var frá af Guardian [6], 30. maí 2017, birti glæpahópurinn „Vörður keisarans“ trúnaðargögn um 25 þúsund sjúklinga á litháísku lýtalæknastofunni „Grozio Chirurgija“. Þar á meðal persónulegar myndir sem teknar eru fyrir, á meðan og eftir aðgerðir (geymsla þeirra er nauðsynleg vegna sérstakra starfa heilsugæslustöðvarinnar); auk skanna af vegabréfum og kennitölum. Þar sem heilsugæslustöðin hefur gott orðspor og sanngjarnt verð er þjónusta hennar notuð af íbúum 60 landa, þar á meðal heimsfrægum stjörnum [7]. Öll voru þau fórnarlömb þessa netatviks.
  • Nokkrum mánuðum áður, eftir að hafa brotist inn á netþjóna heilsugæslustöðvarinnar og stolið gögnum frá þeim, kröfðust „verðirnir“ lausnargjalds upp á 300 bitcoins (um $800 þúsund). Stjórnendur heilsugæslustöðvarinnar neituðu að vinna með „vörðunum“ og voru staðfastir jafnvel þegar „verðirnir“ lækkuðu lausnargjaldið í 50 bitcoins (um $120 þúsund). [6]
  • Eftir að hafa misst vonina um að fá lausnargjald frá heilsugæslustöðinni ákváðu „verðirnir“ að skipta yfir til viðskiptavina sinna. Í mars birtu þeir ljósmyndir af 150 sjúklingum á heilsugæslustöðinni [8] á Darknet til að hræða aðra til að punga með peningum. „Varðmennirnir“ fóru fram á lausnargjald frá 50 til 2000 evrur, með greiðslu í Bitcoin, allt eftir frægð fórnarlambsins og nándinni um stolnu upplýsingarnar. Ekki liggur fyrir nákvæmur fjöldi sjúklinga sem fjárkúgun var, en nokkrir tugir fórnarlamba höfðu samband við lögreglu. Nú, þremur mánuðum síðar, hafa Gæslan birt trúnaðargögn um aðra 25 þúsund skjólstæðinga. [6]

Netglæpamaður stal sjúkrakorti - hvað þýðir þetta fyrir réttan eiganda þess?

  • Þann 19. október 2016 tók Adam Levine, netöryggissérfræðingur sem stýrir CyberScout rannsóknarmiðstöðinni, fram [9] að við lifum á tímum þegar sjúkraskrár eru farnar að innihalda skelfilegt magn af of nánum upplýsingum: um sjúkdóma, greiningar, meðferðir. og heilsufarsvandamál. Ef þær eru í röngum höndum er hægt að nota þessar upplýsingar til að hagnast á Darknet svarta markaðnum, sem er ástæðan fyrir því að netglæpamenn miða oft við læknastöðvar.
  • Þann 2. september 2014 sagði Mike Orkut, tæknifræðingur við MIT, [10]: „Á meðan stolin kreditkortanúmer og kennitölur sjálf eru að verða sífellt minna eftirsótt á svarta markaðnum á myrka vefnum — sjúkraskrár, með mikið af persónuupplýsingum, þar á góðu verði. Þetta er meðal annars vegna þess að það gefur ótryggðum einstaklingum tækifæri til að fá heilbrigðisþjónustu sem þeir annars hefðu ekki efni á.“
  • Hægt er að nota stolið sjúkrakort til að afla læknishjálpar fyrir hönd rétthafa kortsins. Þar af leiðandi mun sjúkrakortið innihalda sjúkragögn réttmæts eiganda þess og sjúkragögn þjófsins. Að auki, ef þjófur selur stolin sjúkrakort til þriðja aðila, gæti kortið mengast enn meira. Við komuna á sjúkrahúsið á löglegur eigandi kortsins því á hættu að fá læknishjálp sem byggist á blóðflokki einhvers annars, sjúkrasögu einhvers annars, lista einhvers annars yfir ofnæmisviðbrögð o.s.frv. [9]
  • Að auki getur þjófurinn tæmt tryggingamörk rétthafa sjúkrakortsins sem kemur í veg fyrir að sá síðarnefndi fái nauðsynlega læknishjálp þegar á þarf að halda. Á versta mögulega tíma. Þegar öllu er á botninn hvolft hafa margar tryggingaráætlanir árlegar takmarkanir á ákveðnum tegundum aðgerða og meðferða. Og vissulega mun ekkert tryggingafélag borga þér fyrir tvær botnlangabólguaðgerðir. [9]
  • Með því að nota stolið sjúkrakort getur þjófur misnotað lyfseðla. Samhliða því að svipta réttmætan eiganda möguleika á að fá nauðsynleg lyf þegar hann þarf á því að halda. Þegar öllu er á botninn hvolft eru ávísanir á lyf yfirleitt takmarkaðar. [9]
  • Það er ekki svo erfitt að draga úr stórfelldum netárásum á kredit- og debetkort. Að vernda gegn markvissum vefveiðaárásum er aðeins erfiðara. Hins vegar, þegar kemur að EHR þjófnaði og misnotkun, getur glæpurinn verið næstum ósýnilegur. Ef staðreyndin um glæp uppgötvast er það venjulega aðeins í neyðartilvikum, þegar afleiðingarnar geta verið bókstaflega lífshættulegar. [9]

Hvers vegna er þjófnaður sjúkrakorta svo vaxandi þróun?

  • Í mars 2017 greindi Center for Combating Identity Theft frá því að meira en 25% trúnaðargagnaleka eigi sér stað á læknastöðvum. Þessi brot kosta læknastöðvar 5,6 milljarða dollara í árlegu tapi. Hér eru nokkrar ástæður fyrir því að þjófnaður sjúkrakorta er svo vaxandi þróun. [18]
  • Læknakort eru heitasti hluturinn á Darknet svarta markaðnum. Læknakort eru seld þar á $50 stykkið. Til samanburðar seljast kreditkortanúmer fyrir $1 stykkið á Dark Web—50 sinnum ódýrara en sjúkrakort. Eftirspurn eftir sjúkrakortum er einnig knúin áfram af því að þau eru neysluvara í flókinni skjalafölsunarþjónustu. [18]
  • Ef kaupandi að sjúkrakortunum finnst ekki getur árásarmaðurinn notað sjúkrakortið sjálfur og framkvæmt hefðbundinn þjófnað: sjúkrakort innihalda nægar upplýsingar til að opna kreditkort, opna bankareikning eða taka lán fyrir hönd bankans. fórnarlamb. [18]
  • Með stolið sjúkrakort í höndunum getur netglæpamaður, til dæmis, framkvæmt flókna markvissa vefveiðarárás (í óeiginlegri merkingu, brýnt veiðispjót), gefið sig út fyrir að vera banki: „Góðan dag, við vitum að þú ert að fara í aðgerð . Ekki gleyma að borga fyrir tengda þjónustu með því að fylgja þessum hlekk." Og þá hugsarðu: "Allt í lagi, þar sem þeir vita að ég fer í aðgerð á morgun, þá er þetta líklega í raun bréf frá bankanum." Ef árásarmaðurinn gerir sér ekki grein fyrir möguleikunum á stolnu sjúkrakortunum getur hann notað lausnarhugbúnaðarvírus til að kúga peninga frá læknastöðinni - til að endurheimta aðgang að lokuðum kerfum og gögnum. [18]
  • Læknamiðstöðvar hafa verið seinar við að taka upp netöryggisaðferðir sem þegar hafa verið komnar á í öðrum atvinnugreinum, sem er kaldhæðnislegt þar sem læknamiðstöðvar þurfa að gæta læknisfræðilegs trúnaðar. Að auki hafa læknamiðstöðvar að jafnaði umtalsvert minni fjárveitingar til netöryggis og umtalsvert minna hæfa netöryggissérfræðinga en til dæmis fjármálastofnanir. [18]
  • Læknistæknikerfi eru nátengd fjármálaþjónustu. Til dæmis geta læknastöðvar haft sveigjanlegar neyðarsparnaðaráætlanir, með eigin greiðslukortum eða sparnaðarreikningum - með sex stafa upphæðum. [18]
  • Margar stofnanir eru í samstarfi við læknamiðstöðvar og sjá starfsmönnum sínum fyrir einstaklingsbundnu heilbrigðiskerfi. Þetta gefur árásarmanni tækifæri, með því að hakka læknastöðvar, til að fá aðgang að trúnaðarupplýsingum um fyrirtækjaviðskiptavini læknamiðstöðvarinnar. Svo ekki sé minnst á þá staðreynd að vinnuveitandinn sjálfur getur virkað sem árásarmaður - selt læknisfræðileg gögn starfsmanna sinna í hljóði til þriðja aðila. [18]
  • Læknastöðvar eru með umfangsmiklar aðfangakeðjur og gríðarlega lista yfir birgja sem þær eru tengdar við stafrænt. Með því að brjótast inn í upplýsingatæknikerfi læknastöðvar getur árásarmaður einnig tekið yfir kerfi birgja. Auk þess eru birgjar sem tengjast læknastöð með stafrænum samskiptum í sjálfu sér freistandi aðgangsstaður fyrir árásarmann inn í upplýsingatæknikerfi læknastöðvarinnar. [18]
  • Á öðrum sviðum er öryggi orðið mjög háþróað og því hafa árásarmenn þurft að kanna nýjan geira - þar sem viðskipti fara fram í gegnum viðkvæman vélbúnað og viðkvæman hugbúnað. [18]

Hvernig tengist þjófnaður kennitölu við skjalafölsunariðnaðinn?

  • Þann 30. janúar 2015 útskýrði Tom's Guide fréttastofan [31] hvernig venjuleg skjalafölsun er frábrugðin samsettri skjalafölsun. Í sinni einföldustu mynd felur skjalafölsun í sér að svikari líkir einfaldlega eftir einhverjum öðrum með því að nota nafn hans, kennitölu (SSN) og aðrar persónulegar upplýsingar. Slík staðreynd um svik er uppgötvað nokkuð fljótt og auðveldlega. Í samsettri nálgun skapa vondu kallarnir alveg nýjan persónuleika. Með því að falsa skjal taka þeir hið raunverulega SSN og bæta persónuupplýsingum frá nokkrum mismunandi fólki við það. Þetta Frankenstein-skrímsli, saumað saman úr persónulegum upplýsingum mismunandi fólks, er mun erfiðara að greina en einfaldasta skjalafölsun. Þar sem svindlarinn notar aðeins hluta af upplýsingum hvers fórnarlambs mun svindlið hans ekki hafa samband við réttmæta eigendur þessara persónuupplýsinga. Til dæmis, þegar þú skoðar starfsemi SSN hans, mun löglegur eigandi þess ekki finna neitt grunsamlegt þar.
  • Vondir krakkar geta notað Frankenstein-skrímslið sitt til að fá vinnu eða taka lán [31], eða til að opna skeljafyrirtæki [32]; til að gera innkaup, fá ökuskírteini og vegabréf [34]. Á sama tíma, jafnvel þegar um er að ræða lántöku, er mjög erfitt að fylgjast með staðreyndum um fölsun skjala, og því ef bankamenn byrja að framkvæma rannsókn, þá er löglegur handhafi þessarar eða hinnar persónuupplýsinga. verður að öllum líkindum kallaður til ábyrgðar, en ekki skapari skrímslis Frankensteins.
  • Óprúttnir athafnamenn geta notað skjalafölsun til að blekkja kröfuhafa - með því að búa til svokallaða. samlokufyrirtæki. Kjarninn í viðskiptasamlokunni er sá að óprúttnir frumkvöðlar geta búið til nokkur fölsk auðkenni og komið þeim fram sem viðskiptavinum fyrirtækis síns - og þannig skapað yfirbragð farsæls fyrirtækis. Þetta gerir þá meira aðlaðandi fyrir lánveitendur sína og gerir þeim kleift að njóta hagstæðari lánakjöra. [33]
  • Þjófnaður og misnotkun persónuupplýsinga fer oft framhjá réttum eiganda þeirra í langan tíma en getur valdið honum verulegum óþægindum á óhentugasta tíma. Til dæmis gæti lögmætur SSN handhafi sótt um bætur almannatrygginga og verið synjað vegna umframtekna sem stafaði af tilbúinni viðskiptasamloku sem notaði SSN þeirra. [33]
  • Frá árinu 2007 til dagsins í dag hefur margmilljarða dollara glæpastarfsemi af SSN-undirstaða skjalafölsun orðið sífellt vinsælli [34]. Á sama tíma kjósa svikarar þessi SSN-númer sem eru ekki notuð af réttum eigendum þeirra - þar á meðal eru SSN-númer barna og látins fólks. Samkvæmt CBC fréttastofunni skiptu mánaðarleg atvik 2014 þúsundum en árið 2009 voru þau ekki fleiri en 100 á mánuði. Vaxandi vöxtur þessarar tegundar svika - og sérstaklega áhrif þeirra á persónuupplýsingar barna - mun hafa skelfilegar afleiðingar fyrir ungt fólk í framtíðinni. [34]
  • SSN barnanúmer eru notuð 50 sinnum oftar en SSN fyrir fullorðna í þessu svindli. Þessi áhugi á SSN barna stafar af því að SSN barna eru almennt ekki virk fyrr en að minnsta kosti 18 ára aldur. Það. Ef foreldrar ólögráða barna eru ekki með puttann á púlsinum á SSN þeirra getur verið að barni þeirra verði synjað um ökuskírteini eða námslán í framtíðinni. Það getur líka flækt atvinnu ef upplýsingar um vafasama SSN-virkni verða aðgengilegar hugsanlegum vinnuveitanda. [34]

Í dag er mikið rætt um horfur og öryggi gervigreindarkerfa. Hvernig gengur þetta í læknageiranum?

  • Í júní 2017 tölublaði MIT Technology Review birti aðalritstjóri tímaritsins, sem sérhæfir sig í gervigreindartækni, grein sína „The Dark Side of Artificial Intelligence“, sem svaraði þessari spurningu ítarlega. Lykilatriði greinar hans [35]:
  • Nútíma gervigreindarkerfi eru svo flókin að jafnvel verkfræðingarnir sem hanna þau geta ekki útskýrt hvernig gervigreindin tekur ákveðna ákvörðun. Í dag og í fyrirsjáanlegri framtíð er ekki hægt að þróa gervigreind kerfi sem getur alltaf útskýrt aðgerðir þess. „Deep learning“ tækni hefur reynst mjög áhrifarík við að leysa brýn vandamál undanfarinna ára: mynd- og raddgreiningu, tungumálaþýðingu, læknisfræðileg forrit. [35]
  • Verulegar vonir eru bundnar við gervigreind til að greina banvæna sjúkdóma og taka flóknar efnahagslegar ákvarðanir; og gervigreind er einnig gert ráð fyrir að verða miðlægur í mörgum öðrum atvinnugreinum. Hins vegar mun þetta ekki gerast - eða ætti að minnsta kosti ekki að gerast - fyrr en við finnum leið til að búa til djúpnámskerfi sem getur útskýrt þær ákvarðanir sem það tekur. Annars getum við ekki sagt fyrir nákvæmlega hvenær þetta kerfi mun bila - og fyrr eða síðar mun það örugglega bila. [35]
  • Þetta vandamál er orðið aðkallandi núna og í framtíðinni mun það bara versna. Hvort sem það eru efnahagslegar, hernaðarlegar eða læknisfræðilegar ákvarðanir. Tölvurnar sem samsvarandi gervigreind kerfi eru í gangi á hafa forritað sig sjálfar og þannig að við höfum enga leið til að skilja „hvað er í huga þeirra“. Hvað getum við sagt um endanotendur, þegar jafnvel verkfræðingarnir sem hanna þessi kerfi geta ekki skilið og útskýrt hegðun þeirra. Þegar gervigreindarkerfi þróast gætum við brátt farið yfir strikið - ef við höfum ekki gert það nú þegar - þar sem við þurfum að taka stökk af trú á að treysta á gervigreind. Þar sem við erum mannleg getum við sjálf ekki alltaf útskýrt ályktanir okkar og treystum oft á innsæi. En getum við leyft vélum að hugsa á sama hátt - óútreiknanlegt og óútskýranlegt? [35]
  • Árið 2015 fékk Mount Sinai Medical Center í New York borg innblástur til að beita hugmyndinni um djúpt nám í umfangsmikinn gagnagrunn sinn yfir sjúklingaskrár. Gagnauppbyggingin sem notuð var til að þjálfa gervigreindarkerfið innihélt hundruð breytur sem voru stilltar út frá niðurstöðum prófa, greiningar, prófana og læknisskýrslur. Forritið sem vann þessar skrár var kallað „Deep Patient“. Hún var þjálfuð með því að nota skrár yfir 700 þúsund sjúklinga. Þegar nýjar upptökur voru prófaðar reyndist það mjög gagnlegt til að spá fyrir um sjúkdóma. Án nokkurra samskipta við sérfræðing fann Deep Patient einkenni falin í sjúkraskrám - sem gervigreindin taldi benda til þess að sjúklingurinn væri á barmi víðtækra fylgikvilla, þar á meðal lifrarkrabbameins. Við höfum áður gert tilraunir með ýmsar spáaðferðir þar sem sjúkraskrár margra sjúklinga voru notaðar sem upphafsgögn, en ekki er hægt að bera niðurstöður „Djúpsjúklingsins“ saman við þær. Að auki eru algjörlega óvænt afrek: „Deep Patient“ er mjög góður í að spá fyrir um upphaf geðraskana eins og geðklofa. En þar sem nútíma læknisfræði hefur ekki tækin til að spá fyrir um það, vaknar spurningin hvernig gervigreind tókst að gera þetta. Hins vegar getur The Deep Patient ekki útskýrt hvernig hann gerir þetta. [35]
  • Helst ættu slík verkfæri að útskýra fyrir læknum hvernig þeir komust að tiltekinni niðurstöðu - til dæmis til að réttlæta notkun tiltekins lyfs. Hins vegar geta nútíma gervigreindarkerfi því miður ekki gert þetta. Við getum búið til svipuð forrit, en við vitum ekki hvernig þau virka. Djúpt nám hefur leitt gervigreindarkerfi til mikillar velgengni. Eins og er eru slík gervigreind kerfi notuð til að taka lykilákvarðanir í slíkum atvinnugreinum eins og læknisfræði, fjármálum, framleiðslu osfrv. Kannski er þetta eðli greindarinnar sjálfrar - að aðeins hluta hennar er hægt að útskýra á skynsamlegan hátt, á meðan hún tekur að mestu sjálfkrafa ákvarðanir. En til hvers mun þetta leiða þegar við leyfum slíkum kerfum að greina krabbamein og framkvæma hernaðaraðgerðir? [35]

Hefur læknageirinn dregið einhvern lærdóm af WannaCry?

  • Þann 25. maí 2017 greindi BBC fréttastofan [16] frá því að ein af mikilvægustu ástæðunum fyrir því að vanrækja netöryggi í lækningatækjum sem hægt er að nota sé lítill tölvumáttur þeirra, vegna strangra krafna um stærð þeirra. Tvær aðrar jafn mikilvægar ástæður: Skortur á þekkingu á því hvernig eigi að skrifa öruggan kóða og bráðum fresti fyrir útgáfu lokaafurðarinnar.
  • Í sömu skilaboðum benti BBC á [16] að vegna rannsókna á forritakóða eins gangráðanna hafi meira en 8000 veikleikar uppgötvast í honum; og að þrátt fyrir almenna umfjöllun um netöryggismálin sem þegar WannaCry atvikið afhjúpaði, hafa aðeins 17% framleiðenda lækningatækja gripið til sértækra ráðstafana til að tryggja netöryggi tækja sinna. Hvað varðar læknastöðvar sem tókst að forðast árekstur við WannaCry, höfðu aðeins 5% þeirra áhyggjur af því að greina netöryggi búnaðar síns. Skýrslurnar koma skömmu eftir að meira en 60 heilbrigðisstofnanir í Bretlandi urðu fórnarlömb netárásar.
  • Þann 13. júní 2017, mánuði eftir WannaCry atvikið, fjallaði Peter Pronovost, læknir með doktorsgráðu og aðstoðarforstjóri sjúklingaöryggis við Johns Hopkins Medicine, [17] í Harvard Business Review brýnustu áskoranir tölvutæks læknisfræðilegrar samþættingar. - minntist ekki einu orði á netöryggi.
  • Hinn 15. júní 2017, mánuði eftir WannaCry atvikið, fjallaði Robert Pearl, læknir með doktorsgráðu og forstöðumaður tveggja læknamiðstöðva, [15] á síðum Harvard Business Review um nútíma áskoranir sem þróunaraðilar og notendur á EHR stjórnunarkerfi, - Hann sagði ekki orð um netöryggi.
  • Þann 20. júní 2017, mánuði eftir WannaCry atvikið, birti hópur vísindamanna með doktorsgráður frá Harvard Medical School, sem eru einnig yfirmenn lykilsviða Brigham and Women's Hospital, niðurstöður sínar [20] á síðum Harvard Business Review hringborðsumræður um nauðsyn þess að nútímavæða lækningatæki til að bæta gæði umönnunar sjúklinga. Í hringborðinu var rætt um horfur á að minnka álag á lækna og lækka kostnað með hagræðingu tækniferla og alhliða sjálfvirkni. Fulltrúar 34 leiðandi bandarískra læknamiðstöðva tóku þátt í hringborðinu. Í umræðunni um nútímavæðingu lækningatækja bundu þátttakendur miklar vonir við forspártæki og snjalltæki. Ekki var minnst einu orði á netöryggi.

Hvernig geta læknastöðvar tryggt netöryggi?

  • Árið 2006 sagði yfirmaður sérstaks samskiptaupplýsingakerfa FSO í Rússlandi, hershöfðingi Nikolai Ilyin, [52]: „Málið um upplýsingaöryggi er meira viðeigandi í dag en nokkru sinni fyrr. Tækni sem notuð er eykst mikið. Því miður er ekki alltaf tekið tillit til upplýsingaöryggisvandamála á hönnunarstigi. Það er ljóst að kostnaður við að leysa þetta vandamál er frá 10 til 20 prósent af kostnaði við kerfið sjálft og viðskiptavinurinn vill ekki alltaf borga aukapening. Á sama tíma þarftu að skilja að áreiðanlegri upplýsingavernd getur aðeins orðið að veruleika ef um samþætta nálgun er að ræða, þegar skipulagsráðstafanir eru sameinaðar með innleiðingu tæknilegra öryggisráðstafana.
  • Þann 3. október 2016 deildi Mohammed Ali, fyrrverandi lykilstarfsmaður IBM og Hewlett Packard, og nú yfirmaður fyrirtækisins Carbonite, sem sérhæfir sig í netöryggislausnum, [19] á síðum Harvard Business Review athugasemdum sínum varðandi ástandið. með netöryggi í lækningageiranum: „Af því að lausnarhugbúnaður er svo algengur og skaðinn getur verið svo dýr, verð ég alltaf hissa þegar ég tala við forstjóra og fæ að vita að þeir hugsa ekki mikið um það. Í besta falli framselur forstjóri netöryggismál til upplýsingatæknideildar. Þetta er þó ekki nóg til að tryggja skilvirka vernd. Þess vegna hvet ég forstjóra alltaf til að: 1) fela í sér að draga úr lausnargjaldi sem forgangsverkefni skipulagsþróunar; 2) endurskoða viðeigandi netöryggisstefnu að minnsta kosti einu sinni á ári; 3) taktu alla stofnunina þína í viðeigandi menntun.
  • Þú getur fengið að láni viðteknar lausnir frá fjármálageiranum. Meginniðurstaða [18] sem fjármálageirinn hefur dregið af netöryggisóróanum er: „Áhrifaríkasti þátturinn í netöryggi er þjálfun starfsmanna. Vegna þess að í dag er aðalorsök netöryggisatvika mannlegi þátturinn, sérstaklega næmi fólks fyrir vefveiðum. Þó að sterk dulkóðun, netáhættutrygging, fjölþátta auðkenning, auðkenning, kortaflögun, blokkakeðja og líffræðileg tölfræði séu hlutir sem, þótt gagnlegir séu, eru að miklu leyti aukaatriði.
  • Þann 19. maí 2017 greindi BBC fréttastofan [23] frá því að í Bretlandi, eftir WannaCry atvikið, hafi sala á öryggishugbúnaði aukist um 25%. Hins vegar, samkvæmt sérfræðingum Verizon, eru lætikaup á öryggishugbúnaði ekki það sem þarf til að tryggja netöryggi; Til að tryggja það þarftu að fylgja fyrirbyggjandi vörn, ekki viðbrögð.

PS Líkaði þér við greinina? Ef já, vinsamlegast líka við það. Ef miðað við fjölda likes (við skulum fá 70) sé ég að lesendur Habr hafa áhuga á þessu efni, eftir nokkurn tíma mun ég undirbúa framhald, með endurskoðun á enn nýlegri ógnum við læknisfræðileg upplýsingakerfi.

Heimildaskrá

  1. Davíð Talbot. Tölvuvírusar eru „óháir“ í lækningatækjum á sjúkrahúsum // MIT Technology Review (stafrænt). 2012.
  2. Kristína Grifantini. Plug and Play sjúkrahús // MIT Technology Review (stafrænt). 2008.
  3. Dens Makrushin. Mistök snjalllækninga // SecureList. 2017.
  4. Tom Simonite. Með Ransomware sýkingum á sjúkrahúsum eru sjúklingarnir í hættu // MIT Technology Review (stafrænt). 2016..
  5. Sarah Marsh. Starfsmenn og sjúklingar á NHS um hvernig netárásir hafa haft áhrif á þá // The Guardian. 2017.
  6. Alex Hern. Tölvuþrjótar birta einkamyndir frá snyrtistofu // The Guardian. 2017.
  7. Sarunas Cerniauskas. Litháen: Netglæpamenn fjárkúga lýtalæknastofu með stolnum myndum // OCCRP: Verkefni til að tilkynna um skipulagða glæpastarfsemi og spillingu. 2017.
  8. Ray Walsh. Myndir af nakinum lýtaaðgerðarsjúklingum lekið á internetið // BestVPN. 2017.
  9. Adam Levin. Læknir læknar sjálfan þig: Eru sjúkraskrár þínar öruggar? //HuffPost. 2016.
  10. Mike Orcutt. Tölvuþrjótar sækjast eftir sjúkrahúsum // MIT Technology Review (stafrænt). 2014.
  11. Pjotr ​​Sapozhnikov. Rafræn sjúkraskrá árið 2017 mun birtast á öllum heilsugæslustöðvum í Moskvu // AMI: Russian Agency for Medical and Social Information. 2016.
  12. Jim Finkle. Einkarétt: FBI varar heilbrigðisgeirann viðkvæman fyrir netárásum // Reuters. 2014.
  13. Julia Carrie Wong. Los Angeles sjúkrahúsið snýr aftur í fax og pappírskort eftir netárás // The Guardian. 2016.
  14. Mike Orcutt. Áhlaup Hollywood sjúkrahússins með lausnarhugbúnaði er hluti af ógnvekjandi þróun netglæpa // MIT Technology Review (stafrænt). 2016.
  15. Robert M. Pearl, læknir (Harvard). Það sem heilbrigðiskerfi, sjúkrahús og læknar þurfa að vita um innleiðingu rafrænna sjúkraskráa // Harvard Business Review (Digital). 2017.
  16. „Þúsundir“ þekktra galla fundust í gangráðskóða // BBC. 2017.
  17. Peter Pronovost, læknir. Sjúkrahús eru að borga verulega of mikið fyrir tækni sína // Harvard Business Review (Digital). 2017.
  18. Rebecca Weintraub, læknir (Harvard), Joram Borenstein. 11 hlutir sem heilbrigðisgeirinn verður að gera til að bæta netöryggi // Harvard Business Review (Digital). 2017.
  19. Mohamad Ali. Er fyrirtækið þitt tilbúið fyrir árás á Ransomware? // Harvard Business Review (Digital). 2016.
  20. Meetali Kakad, læknir, David Westfall Bates, læknir. Að fá innkaup fyrir forspárgreining í heilbrigðisþjónustu // Harvard Business Review (Digital). 2017.
  21. Michael Gregg. Af hverju sjúkraskrár þínar eru ekki lengur öruggar //HuffPost. 2013.
  22. Skýrsla: Heilbrigðisþjónusta leiðir í gagnabrotsatvikum árið 2017 // SmartBrief. 2017.
  23. Matthew Wall og Mark Ward. WannaCry: Hvað getur þú gert til að vernda fyrirtækið þitt? // BBC. 2017.
  24. Meira en 1 milljón skrár hafa verið afhjúpaðar hingað til í gagnabrotum árið 2017 // BBC. 2017.
  25. Alex Hern. Hverjum er um að kenna að hafa afhjúpað NHS fyrir netárásum? // The Guardian. 2017.
  26. Hvernig á að vernda netin þín gegn Ransomware //FBI. 2017.
  27. Gagnabrot iðnaðarspá //Rxperian. 2017.
  28. Steven Erlanger, Dan Bilefsky, Sewell Chan. Heilbrigðisþjónusta Bretlands hunsaði viðvaranir í marga mánuði // The New York Times. 2017.
  29. Windows 7 varð harðast fyrir barðinu á WannaCry ormnum // BBC. 2017.
  30. Allen Stefanek. Hollwood Pressbyterian Medica Center.
  31. Linda Rosencrance. Tilbúið auðkennisþjófnaður: Hvernig glæpamenn búa til nýjan þig // Leiðbeiningar Tomma. 2015.
  32. Hvað er tilbúinn persónuþjófnaður og hvernig á að koma í veg fyrir hann.
  33. Tilbúið auðkennisþjófnaður.
  34. Steven D'Alfonso. Tilbúinn auðkennisþjófnaður: Þrjár leiðir til að búa til tilbúin auðkenni // Öryggisgreind. 2014.
  35. Will Knight. Myrka leyndarmálið í hjarta gervigreindar // MIT Technology Review. 120(3), 2017.
  36. Kuznetsov G.G. Vandamálið við að velja upplýsingakerfi fyrir sjúkrastofnun // „Upplýsingafræði Síberíu“.
  37. Upplýsingakerfi og vandamál gagnaverndar // „Upplýsingafræði Síberíu“.
  38. Heilbrigðisupplýsingatækni í náinni framtíð // „Upplýsingafræði Síberíu“.
  39. Vladimir Makarov. Svör við spurningum um EMIAS kerfið // Útvarp „Echo of Moscow“.
  40. Hvernig læknagögn Muscovites eru vernduð // Opin kerfi. 2015.
  41. Irina Sheyan. Verið er að taka upp rafrænar sjúkraskrár í Moskvu // Computerworld Rússland. 2012.
  42. Irina Sheyan. Í sama báti // Computerworld Rússland. 2012.
  43. Olga Smirnova. Snjallasta borg jarðar // Prófíll. 2016.
  44. Tsepleva Anastasia. Læknisupplýsingakerfi Kondopoga // 2012.
  45. Læknaupplýsingakerfi "Paracelsus-A".
  46. Kuznetsov G.G. Upplýsingavæðing á heilsugæslu sveitarfélaga með því að nota sjúkraupplýsingakerfið „INFOMED“ // „Upplýsingafræði Síberíu“.
  47. Læknisupplýsingakerfi (MIS) DOKA+.
  48. E-sjúkrahús. Opinber síða.
  49. Tækni og horfur // „Upplýsingafræði Síberíu“.
  50. Eftir hvaða upplýsingatæknistöðlum býr læknisfræði í Rússlandi?
  51. Svæðisbundið undirkerfi (RISUZ) // „Upplýsingafræði Síberíu“.
  52. Upplýsingakerfi og vandamál gagnaverndar // „Upplýsingafræði Síberíu“.
  53. Geta læknisfræðilegra upplýsingakerfa // „Upplýsingafræði Síberíu“.
  54. Sameinað heilsuupplýsingarými // „Upplýsingafræði Síberíu“.
  55. Ageenko T.Yu., Andrianov A.V. Reynsla af að samþætta EMIAS og sjálfvirkt upplýsingakerfi sjúkrahúsa // upplýsingatæknistaðall. 3(4). 2015.
  56. Upplýsingatækni á svæðisstigi: jafna stöðuna og tryggja hreinskilni // Forstöðumaður upplýsingaþjónustu. 2013.
  57. Zhilyaev P.S., Goryunova T.I., Volodin K.I. Að tryggja vernd upplýsingaauðlinda og þjónustu í heilbrigðisgeiranum // Vísindatíðindi alþjóðlegra nemenda. 2015.
  58. Irina Sheyan. Myndir í skýjunum // Forstöðumaður upplýsingaþjónustu. 2017.
  59. Irina Sheyan. Skilvirkni upplýsingavæðingar í heilbrigðisþjónustu - á „síðustu mílu“ // Forstöðumaður upplýsingaþjónustu. 2016.
  60. Kaspersky Lab: Rússland þjáðist mest af tölvuþrjótaárásum WannaCry vírussins // 2017.
  61. Andrey Makhonin. Rússneskar járnbrautir og Seðlabankinn greindu frá vírusárásum // BBC. 2017.
  62. Erik Bosman, Kaveh Razavi. Dedup Est Machina: Aftvíföldun minni sem háþróaður hagnýtingarvektor // Málþing IEEE um öryggi og friðhelgi einkalífsins. 2016. bls. 987-1004.
  63. Bruce Potter. Smá leyndarmál upplýsingaöryggis // DEFCON 15. 2007.
  64. Ekaterina Kostina. Invitro tilkynnti um frestun á að samþykkja prófanir vegna netárásar.

Heimild: www.habr.com

Bæta við athugasemd