A pulzusszám mellett a fizetési adatokat is nyomon követik? olvasható a bdpst24.hu weboldalán.
33 sérülékenységet találtak a viselhető eszközök adatátviteli protokolljábanű A Kaspersky szakemberei…
A teljes cikk itt olvasható:
A pulzusszám mellett a fizetési adatokat is nyomon követik?
Ahogy a bdpst24.hu beszámolt ma róla:
- 33 sérülékenységet találtak a viselhető eszközök adatátviteli protokolljábanű
A Kaspersky szakemberei felfedezték, hogy a betegek távfelügyeletében alkalmazott viselhető eszközök adatátviteléhez legáltalánosabban használt protokoll csak 2021-ben 33 sérülékenységet, ezen belül 18 „kritikus sérülékenységet” tartalmazott. Ez 10-zel több kritikus sérülékenység, mint amennyit 2020-ban találtak, és sok közülük még mindig nem lett kijavítva. A sérülékenységek között vannak olyanok, amelyek lehetőséget teremtenek a támadók számára az eszközről online küldött adatok elfogására.
A még mindig zajló világjárvány az egészségügyi szektor gyors digitalizációját eredményezte. A túlterhelt kórházak és egészségügyi dolgozók, valamint az otthonában karanténban lévő rengeteg ember a beteggondozási módszerek újragondolására késztette a szervezeteket. Sőt, a Kaspersky egy közelmúltban végzett kutatásából az derült ki, hogy már a globális egészségügyi szolgáltatók 91%-a alkalmaz távgyógyászati szolgáltatások nyújtását biztosító eszközöket. Ez a gyors digitalizáció azonban új biztonsági kockázatokat teremtett, különösen a betegadatok tekintetében.
A távgyógyászat körébe tartozik a betegtávfelügyelet, amelyet úgynevezett viselhető eszközökkel és monitorokkal végeznek. Ezek olyan szerkentyűk, amelyek folyamatosan vagy bizonyos időközönként nyomon követik a beteg egészségi állapotának indikátorait, például a szívműködést.
A viselhető eszközök és érzékelők adatainak átviteléhez a legáltalánosabban az MQTT protokollt alkalmazzák annak egyszerűsége és kényelmes használhatósága okán. Ezért aztán nem csak a viselhető eszközökben található meg, hanem szinte bármelyik okoseszközben is. Az MQTT használatakor azonban a hitelesítés sajnos teljességgel opcionális és csak ritkán tartalmaz titkosítást. Emiatt az MQTT erősen fogékony az úgynevezett közbeékelődéses támadásokra (amikor a támadók a „két fél” közé tudják helyezni magukat, miközben ők kommunikálnak egymással), ami azt jelenti, hogy bármely interneten keresztül továbbított adat potenciálisan ellopható. A viselhető eszközök esetében ezek között az információk között lehetnek rendkívül érzékeny egészségügyi adatok, személyes adatok, de akár még egy személy mozgásai is.
2014 óta már 90 sérülékenységet fedeztek fel az MQTT protokollban, köztük kritikus sebezhetőségeket is, amelyek közül sok a mai napig nem lett kijavítva. 2021-ben 33 volt az újonnan felfedezett sérülékenységek száma, ebből 18 volt kritikus – 10-zel több, mint 2020-ban. Ezek a sérülékenységek mind a betegadatok ellopásának veszélyét rejtik magukban.
Az MQTT protokollban 2014 és 2021 között talált sérülékenységek száma
A Kaspersky kutatói nem csak az MQTT protokollban találtak sérülékenységeket, hanem a viselhető eszközök egyik legnépszerűbb platformján, a Qualcomm Snapdragon Wearable platformon is. A platform indulása óta több mint 400 sérülékenységre bukkantak, és ezek nem mindegyike lett kijavítva, még néhány 2020-ban talált sebezhetőség sem.
Érdemes megjegyezni, hogy a legtöbb viselhető eszköz nem csak az egészségi állapot adatait, hanem a tartózkodási helyet és a mozgásokat is nyomon követi. Ez pedig az adatlopás mellett az érintettek követésére (esetleg zaklatására) is lehetőséget teremt.
„A pandémia a távgyógyászati piac ugrásszerű növekedését eredményezte, és itt most nem csak az orvossal történő videós konzultációra kell gondolni. Komplex, gyorsan fejlődő technológiák és termékek teljes skálájáról beszélünk, így többek között speciális alkalmazásokról, viselhető eszközökről, beültethető érzékelőkről és felhőalapú adatbázisokról. Számos kórház azonban még mindig teszteletlen harmadik feles szolgáltatásokat használ a betegadatok tárolására, és továbbra is vannak ki nem javított sérülékenységek az egészségügyi viselhető eszközökben és érzékelőkben. Az ilyen jellegű eszközök alkalmazása előtt a lehető legtöbbet meg kell tudni a biztonsági szintjükről, vagyis hogy milyen mértékben képesek a vállalat és a páciensek adatait biztonságban tartani” – fejtette ki Miroslav Koren, a Kaspersky Kelet-Európáért felelős igazgatója.
A távgyógyászat biztonsági kérdéseivel foglalkozó teljes jelentés a Securelist oldalon olvasható.
A távgyógyászati szolgáltatások globális alkalmazásával kapcsolatos bővebb betekintésért olvassa el a Kaspersky globális felmérését.
A Kaspersky a következőket javasolja az egészségügyi szolgáltatóknak a betegadatok biztonságban tartásához:
- Ellenőrizzék a kórház vagy az egészségügyi szervezet által javasolt alkalmazás vagy eszköz biztonságosságát.
- Ha lehet, csökkentsék minimálisra a távgyógyászati alkalmazásokon keresztül küldött adatok körét (pl. ne engedjék, hogy az eszköz a tartózkodási hely adatait is elküldje, ha nincs rá szükség).
- Változtassák meg az alapértelmezett jelszavakat, és használjanak titkosítást, ha az eszköz felkínálja ezt a lehetőséget.
Tovább az eredeti cikkre: A pulzusszám mellett a fizetési adatokat is nyomon követik?
