מחקר: רשתות במוסדות בריאות עדיין חשופות לסיכון משמעותי של התקפות ושיבוש פעילות
מאת: מערכת Telecom News, 28.10.20, 12:49
 
הדו"ח מנתח את רמת האבטחה של מוסדות בריאות ב-2020, מספק, בין היתר, השוואה למחקר דומה, שנעשה ב-2019, ומגלה בעיות משמעותיות הנובעות משימוש במערכות ותיקות וסגמנטציה לא מספקת.
 
מעבדת המחקר של פורסקאוט פרסמה היום דו"ח המנתח את רמת האבטחה של מוסדות בריאות ב-2020. הדו"ח, שמספק בין היתר השוואה למחקר דומה, שנעשה ב-2019, מגלה בעיות משמעותיות הנובעות משימוש במערכות ותיקות וסגמנטציה לא מספקת.
 
מתוך התבוננות אל אופק האיומים הנוכחי, החברה לקחה על עצמה לנתח את מצב אבטחת הרשתות של שירותי הבריאות. בשיתוף פעולה עם מספר ספקי שירותי בריאות גדולים, נאספו נתוני התעבורה ברשת, ובוצע ניתוח של יותר מ-3 מליון מכשירים ב-Device Cloud של החברה. הממצאים מתפרסמים בדו"ח "אבטחת מכשור רפואי מרושת: מבט עמוק אל רשתות שירותי הבריאות" (Connected Medical Device Security: A Deep Dive into Healthcare Networks).
 
ממצאים מרכזיים:

1. נמצאה ירידה באחוז המכשירים המריצים מערכות הפעלה מסוג Windows, שאינן נתמכות - ירידה מ-71% ב-2019 ל-32% ב-2020. עם זאת, אחוז המכשירים המריצים גרסאות Windows, שיצאו לחלוטין משירות נותר על 0.4%. למרות שמדובר באחוז קטן מהמכשירים, הנתונים מצביעים על כך, שבעיית המערכות המיושנות צפויה להיות נוכחת גם בעתיד.
    
2. נמצא, שמתוך כל אזורי הרשת (segments) המכילים לפחות מכשיר רפואי אחד, ב-60% מהם פועל מכשור IoT נוסף, שאינו רפואי. בנוסף, אצל 90% מאזורי הרשת של שירותי הבריאות יש שילוב של מכשור רפואי ומכשירי IT. המכשירים האלה עלולים להכיל חולשות בתוכנה העלולות להוביל לפגיעה במכשירים האחרים ברשת.
    
3. זוהה ציוד רפואי (במיוחד מוניטורים וסורקי CT) המוגדר עם הרשאות הגישה של ברירת המחדל, שממוקם לצד ציוד IT ו-IoT נוסף. בתרחיש זה, המכשור הרפואי פועל כחוליה החלשה ברשת.
    
4. אצל רוב ספקי שירותי הבריאות, שהשתתפו במחקר, הובחנה תקשורת העוברת בין כתובות IP פרטיות וציבוריות באמצעות פרוטוקול תקשורת רפואי (HL7), שמשמש להחלפת מידע רפואי בטקסט פתוח (clear-text). הדבר יכול להביא בקלות לדליפה של מידע רגיש של מטופלים, כגון שמות, כתובות, נתוני משפחה, אלרגיות ותוצאות בדיקות.
    
5. נמצאו מקרים של פרוטוקולי רשת, שאינם מאובטחים בשימוש אצל כל אחד מספקי הבריאות שנבדקו. לדוגמא, כולם השתמשו בגסאות ישנות ולא מאובטחות של Transport Layer Security (TLS) ובפרוטוקלים נוספים. מדאיג מכך, נמצאו מקרים של שימוש ב-Telnet אצל יותר מחצי משירותי הבריאות. Telnet הוא פרוטוקול בטקסט גלוי, שאינו מוצפן, תוכנן ב-1969 והוחלף ע"י פרוטוקול SSH.

ממצאים אלה חושפים, שבעוד שספקי שירותי הבריאות נקטו מספר צעדים כדי לאבטח טוב יותר את המכשירים המרושתים והרשתות שלהם, עדיין יש מספר פערים וסיכונים באבטחת הסייבר, שיש לטפל בהם.
 
מומלץ לספקי שירותי הבריאות לתעדף את המהלכים הבאים כדי להקטין הסיכונים ברשתות שלהם:

• מכשור ומערכות הפעלה ישנים. חיוני לזהות ולסווג באופן מדויק מכשור רפואי המריץ מערכות הפעלה מיושנות. מכשירים, שלא ניתן להוציא משימוש או לעדכן, צריכים להיכלל בטופולוגיית סגמנטציה מתאימה כדי להגביל את הגישה אך ורק למידע ולשירותים חיוניים למכשיר.
   
• תקשורת חיצונית וחשיפה. מיפוי של זרימת התקשורת הקיימת היא לא רק דרישה בסיסית כדי ליצור אזורי סגמנטציה אפקטיביים, היא גם מהווה את הבסיס להבנת אפיקי התקשורת החיצוניים ואל האינטרנט. הדבר מסייע לזהות תקשורת חיצונית בלתי רצויה ולמנוע מנתונים רפואיים מלהיחשף באופן ציבורי.
   
• פרוטוקולים שאינם מאובטחים ומוצפנים. יש להתחיל עם פרויקט למיפוי זרימת הרשת כדי לזהות פרוטוקולים הנמצאים בשימוש. כל אימת שמתאפשר, יש לעבור לגרסאות מוצפנות של פרוטוקולים ולחדול משימוש בפרוטוקולים, שאינם מאובטחים, שעובדים עם טקסט גלוי, כגון Telnet. כאשר הדבר אינו מתאפשר, יש להשתמש בסגמנטציה לצורך בניית אזורים ומזעור הסיכון.
   
• סיסמאות ברירת מחדל וססמאות חלשות. יש לזהות ולשנות סיסמאות ברירת מחדל וסיסמאות חלשות. נקודה חלשה אחת באזור של הרשת יכולה לסכן את כל האזור. אם לא ניתן לשנות סיסמאות, שמקודדות לתוך המערכת, יש למנף יכולות סגמנטציה כדי לבודד את המערכות.
   
• סגמנטציה אפקטיבית. ניתן להשתמש בסגמנטציה כבקרה מפצה וכטכניקה למזעור סיכונים עבור כל התרחישים שלעיל. זהו גם תהליך איכותי לסיוע בעמידה ברגולציה, כאשר הוא מגביל את יכולת התנועה הרוחבית של איומים ומצמצם את היקף הנזקים של התקפות. בעוד שגוברת המודעות ליתרונות הסגמנטציה, יש מצבים של עודף-סגמנטציה, תת-סגמנטציה וסגמנטציה, שלא תוכננה כראוי. יש להתחיל בזיהוי מדויק של מכשירים כדי לבצע סגמנטציה בהתאם להקשר העסקי שלהם, ולהבין את זרימת הרשת הקיימת בין קבוצות מכשירים. לאחר מכן יש לתכנן אזורים ומדיניות גישה מתאימים כדי להשיג את התוצאות הרצויות הנדרשות מיכולות הסגמנטציה.

דניאל דוס סנטוס, חוקר בכיר בפורסקאוט: "הגידול במספר המכשירים והגיוון שלהם במערכות בריאות תרם לגידול בסיכוני אבטחת סייבר במוסדות אלה. היכולת לפגוע במכשירים ורשתות, לצד האפשרות להרוויח מנתוני מטופלים, הביאו לגידול במספר התקפות הסייבר המתוחכמות על שירותי בריאות במהלך השנים האחרונות. רק בשבועות האחרונים דווח על המוות הראשון בעקבות מתקפת כופרה על בית חולים גרמני, בעוד שמתקפה אחרת פגעה בפעילות של יותר מ-400 בתי חולים ברחבי ארה"ב, פורטו ריקו ובריטניה.
 
בתי חולים רבים וארגוני בריאות מרחיבים בחודשים האחרונים את נוכחות המכשירים ברשת כדי להתמודד עם האתגרים של מגיפת COVID-19. במקביל, התפקיד החיוני שלהם במשבר הגלובלי הופך אותם גם למטרות נחשקות עבור תוקפים. התוצאה היא "סערה מושלמת" המציבה את אבטחת הסייבר של שירותי הבריאות  בחזית הפעילות, יותר מאי פעם".
 
הדו"ח המלא - כאן
 
אינפוגרפיקה - כאן