Video: Dahsyatnya Serangan Siber Virus Malware Wannacry (Desember 2024)
Walaupun para dokter telah bersumpah untuk tidak melukai, hal yang sama tampaknya tidak berlaku untuk peralatan atau jaringan yang mereka gunakan untuk mengelola perawatan. Menurut sebuah laporan baru dari organisasi penelitian SANS dan Norse, penyedia medis sudah menyerah pada serangan siber secara berbondong-bondong. Studi ini menemukan 49.917 peristiwa berbahaya unik dari penyedia layanan kesehatan yang mereka profil, dan jangan khawatir: itu semakin buruk.
Life Savers Turned Evil
Laporan itu menemukan bahwa banyak perangkat medis jaringan mudah diambil alih oleh peretas. Ini termasuk perangkat lunak pencitraan radiologi, sistem konferensi video, sistem video digital, perangkat lunak panggilan kontak, dan sistem keamanan. Bahkan perangkat yang dimaksudkan untuk membantu organisasi perisai, seperti VPN, firewall, dan router, dibajak.
Laporan tersebut menemukan bahwa perangkat medis dan perangkat lunak menjadi sasaran favorit peretas untuk meluncurkan serangan lain - baik di jaringan yang sama atau pada target lain. Dari laporan: "Setelah dikompromikan, jaringan ini tidak hanya rentan terhadap pelanggaran, tetapi juga tersedia untuk digunakan untuk serangan seperti phishing, DDoS dan kegiatan penipuan yang diluncurkan terhadap jaringan dan korban lainnya."
"Salah satu alasan terbesar kita melihat infrastruktur rumah sakit digunakan sebagai platform peluncuran kejahatan cyber dan peretasan lainnya adalah karena banyak dari perangkat ini adalah perangkat bodoh, " kata Norse CTO dan co-founder Tommy Stiansen. "Mereka bukan desktop atau server, tetapi mereka semua menjalankan Linux." Kita telah melihat bagaimana beberapa perangkat, khususnya kamera video jaringan dapat digunakan untuk mendapatkan pijakan pada jaringan korban dan menyebabkan semua jenis kekacauan.
Terlepas dari kemampuan mereka, peralatan medis dan kamera pengintai tidak dianggap sebagai bagian dari arsitektur keamanan, jelas CEO dan co-founder Sam Glines. "Dokumen yang ditemukan oleh perayap kami untuk rumah sakit besar memiliki nama pengguna dan kata sandi yang sama untuk semuanya, " katanya. Ini termasuk perangkat yang menyelamatkan jiwa seperti peralatan dialisis. Ingatlah bahwa Internet masih berada di jalur untuk membunuh Anda pada tahun 2014.
Seolah ingin menunjukkan ruang lingkup masalah, Stiansen menyebutkan bahwa mereka pertama kali tertarik pada proyek ini ketika mereka mengamati informasi kartu kredit yang dikirimkan oleh perangkat medis. "Jika seseorang membiarkan pintu terbuka, peretas akan datang, " kata Stiansen.
Data Lebih Berharga
Selain itu, perangkat dan perangkat lunak yang tidak aman yang digunakan oleh rumah sakit adalah masalah yang lebih besar: data medis curian. Penyedia layanan kesehatan di semua tingkatan memiliki data pribadi yang sangat berharga yang tersedia untuk mereka, dan informasi itulah yang sangat dibutuhkan oleh para penyerang.
Alasannya, jelas Stiansen, sederhana: "Anda dapat melakukan lebih banyak penipuan dengan itu maka Anda bisa dengan data kartu kredit." Seorang penyerang dapat dengan cepat memonetisasi data medis, ia menjelaskan, melalui jalan-jalan seperti Medicare atau penipuan resep. Selain informasi medis, properti intelektual dan informasi tagihan yang disimpan oleh penyedia layanan kesehatan juga berisiko.
Selain dampak yang jelas pada individu yang disebabkan oleh data Anda dicuri, laporan itu juga menunjukkan bahwa penipuan ini membuat harga layanan kesehatan semakin tinggi. Laporan itu mengutip perbaikan Ponemon dari tahun lalu yang memperkirakan biaya insruance dan penipuan medis sekitar $ 12 miliar.
Bagaimana memperbaikinya
Jelas, organisasi perawatan kesehatan harus serius mengamankan jaringan dan perangkat mereka, bahkan pada tingkat dasar. "Anggap semuanya dengan alamat IP sebagai titik akhir yang kritis, " kata Glines, yang kemudian mengatakan bahwa protokol kata sandi yang lebih kuat untuk segala hal mulai dari perangkat medis hingga firewall akan memperbaiki situasi.
Undang-undang baru mungkin juga mendorong perilaku yang lebih baik. Glines menunjuk pada undang-undang Uni Eropa bahwa perusahaan baik-baik saja persentase dari pendapatan mereka ketika pelanggaran terjadi atau hilangnya data terjadi. Meskipun HIPAA dimaksudkan untuk memberikan perlindungan, Norse menyatakan bahwa kepatuhan sama sekali tidak menyamakan keamanan.
Tapi ada peran untuk orang biasa juga. Stiansen mendorong pasien untuk mempertanyakan penyedia layanan kesehatan mereka tentang keamanan siber. Glines setuju mengatakan, "konsumen adalah orang yang paling kehilangan. Mereka memiliki hak untuk bertanya bagaimana catatan mereka dipelihara dan prosedur keamanan seperti apa yang ada."