Ransomware and medical devices: How behavior analytics can protect patients
Gesundheit der Familie

Ransomware en medische apparaten: hoe gedragsanalyse patiënten kan beschermen

Vanuit cybersecurityperspectief geloof ik dat de zorgsector in een groeiende crisis met medische hulpmiddelen verkeert. De opkomende trend van ransomware-aanvallen op medische apparaten heeft ernstige kwetsbaarheden veroorzaakt in de beveiliging van de gezondheidszorg.

Ransomware-bedreigingen en hun implicaties voor medische apparaten, concentreren zich op de brede acceptatie van gemakkelijk gecompromitteerde besturingssystemen op deze apparaten, waardoor een groeiende kwetsbaarheid ontstaat met mogelijk levensbedreigende gevolgen. En wat veel mensen misschien niet weten, is dat er al ransomware-aanvallen op medische apparaten hebben plaatsgevonden.

Medische hulpmiddelen en gemakkelijk gecompromitteerde besturingssystemen

Voorheen was er in de gezondheidszorg een zekere mate van isolatie doordat medische hulpmiddelen zeer specifiek waren. Ze werden traditioneel gebouwd met een versie van eigen firmware of andere exclusieve functies. Dat betekende dat de ROI voor het compromitteren van medische hulpmiddelen van de eerste generatie niet lucratief was. Het ontwikkelen van specifieke ransomware of malware voor deze gespecialiseerde apparaten, op een aanvalsoppervlak dat relatief klein is, is eenvoudigweg niet geschaald.

Maar nu is het een ander verhaal. De trend in de productie van medische hulpmiddelen is aan het veranderen. Fabrikanten bouwen goedkopere en schaalbaardere medische apparaten met Windows (en dergelijke). Het voordeel van het gebruik van een standaardbesturingssysteem is dat het voor de IT-groep over het algemeen gemakkelijk is om de nieuwste patches toe te passen, terwijl ze dat voorheen niet echt konden doen. Dit was niet alleen omdat de besturingssystemen van medische apparaten van eerdere generaties vaak bedrijfseigen waren. Er waren ook risico's dat het installeren van antivirussoftware of een productagent op een medisch apparaat het apparaat zou breken en / of de garantie ongeldig zou maken.

Hoewel de mogelijkheid om patches aan te brengen een duidelijk voordeel is bij het gebruik van veelgebruikte besturingssystemen voor medische apparaten, zijn er ook nadelen. Met de verspreiding van standaardbesturingssystemen is de zorgsector begonnen met het detecteren van ransomware-aanvallen op medische apparaten die eerder alleen op servers en desktops werden gezien.

In 2017 werd een van de eerste gevallen van ransomware op medische apparaten gemeld. Het gebeurde op een precisie-apparaat dat de kwaliteit van afbeeldingen voor een MRI verbetert. In dit geval verscheen het WannaCry-ransomware-scherm op de LCD-waarden en eiste een losgeld om het apparaat te ontgrendelen.

Patiënten beschermen door medische hulpmiddelen te beveiligen

De ransomware-situatie verergert de uitdagingen van IT-professionals voor het beheer van medische apparaten. Behandelen we ze nu als desktop-apparaten? Zo ja, hoe beperken we de risico's? Dit is vooral van cruciaal belang, want met de beveiliging van medische apparaten is de inzet veel hoger. Bij ransomware-aanvallen kan een organisatie het risico lopen waardevolle gegevens te verliezen. Maar medische hulpmiddelen zijn verbonden met patiënten, waardoor mensenlevens op het spel staan.

Om deze apparaten te beveiligen, is het noodzakelijk om het gedrag van medische apparaten te profileren en hun standaard gedragspatronen te begrijpen. Medische apparaten hebben bijvoorbeeld in het algemeen een specifiek doel. Hoewel ze op sommige manieren multifunctioneel kunnen zijn, zijn ze meestal om één reden ontworpen, zoals een infusiepomp of een beeldapparaat. Hun gebruikspatronen veranderen niet veel.

Zodra u dit standaardgedrag kent, is het mogelijk om ongebruikelijke trends te identificeren die erop kunnen wijzen dat het apparaat is gecompromitteerd en de IT-groep moet ingrijpen om schade te voorkomen.

Bij Allina Health gebruiken we technologie van Gurucul om basisgedragsprofielen op te stellen. Met deze basislijnen kunnen we activiteiten detecteren die buiten de normale patronen vallen. Wanneer een medisch apparaat onregelmatig begint te werken, zijn er slechts een paar mogelijke oorzaken: het apparaat functioneert niet goed en moet worden gerepareerd of het is op een of andere manier gecompromitteerd.

Vanuit een bedreigingsperspectief activeert dit afwijkende gedrag op risico gebaseerde waarschuwingen van onze gebruikers- en entiteitsanalyses, of UEBA, wat bijvoorbeeld kan betekenen dat iemand toegang heeft gehad tot het apparaat en de configuratie heeft gewijzigd.

Met andere woorden, het is gehackt. Het identificeren van defecte apparaten en detectie van bedreigingen, of subsets van deze twee fundamentele oorzaken, zijn van cruciaal belang in de gezondheidszorg. De belangrijkste prestatie-indicatoren die onze analyses leveren, vertegenwoordigen bottom-line informatie voor elke klinische groep en de IT-groep die hen ondersteunt.

Voorbij veiligheid – de operationele voordelen van gedragsanalyses voor medische apparaten

Het is niet ongewoon dat er op het ziekenhuisnetwerk medische apparaten verschijnen die onvoorziene toevoegingen zijn aan de geplande inventaris. In deze situaties wordt het apparaat meestal gekocht door een arts of een ziekenhuisorganisatie die hun eigen budgetten voor discretionaire aankopen heeft.

Deze niet-geplande medische hulpmiddelen moeten worden beheerd, zeker vanuit een beveiligingsperspectief, maar ook vanuit een operationeel perspectief. Het gebruik van UEBA om gedragslijnen met medische hulpmiddelen vast te stellen, ondersteunt niet alleen risicobeoordelingen, maar biedt ook de mogelijkheid om storingen in het onderhoud van medische hulpmiddelen te bepalen, wat het klinische risico helpt voorkomen en de productiviteit van medisch personeel (artsen, verpleegkundigen, technici, enz.) Verbetert.

In veel opzichten lijkt de situatie op medische hulpmiddelen op de algemene IoT-use case waarmee elke onderneming te maken kan hebben. Het gebruik van medische hulpmiddelen heeft echter extra complexiteit. Medische apparaten worden over het algemeen beheerd door het externe bedrijf dat ze installeert. Er is meestal een servicecontract waarbij een apparaat via het ziekenhuisnetwerk digitaal meldt dat het defect is en mogelijk moet worden vervangen voor een nieuwe eenheid.

Vanuit IT-perspectief is dat een apparaat dat vertrekt en een nieuw apparaat het netwerk binnenkomt. Met UEBA, hoewel dat apparaat hetzelfde gedragspatroon kan vertonen als een ander apparaat van hetzelfde model, kennen we nu zijn unieke identiteit.

Vanwege deze mogelijkheid om de individuele identiteit van de entiteit te bepalen, kunnen we deze technologie bijna gebruiken als een netwerktoegangscontroller en leren wanneer een vervangend apparaat een functie uitvoert met een ander profiel. We kunnen deze technologie mogelijk ook gebruiken om te identificeren wat de verschillende soorten apparaten zijn en om gedragspatronen te gebruiken om te begrijpen waar ze moeten wonen en hoe ze op het netwerk moeten werken.

We zijn ook begonnen de UEBA-technologie te gebruiken als een vroeg waarschuwingssysteem om ons belangrijke indicatoren te geven dat een apparaat zich niet normaal gedraagt. Het is duidelijk dat als een apparaat defect is, het niet kan worden toegestaan ​​om verbinding te maken met een patiënt. Het is van essentieel belang dat u zich hiervan bewust bent en onmiddellijk actie kunt ondernemen. Het is ook handig om te begrijpen wanneer een apparaat mogelijk niet meer draait.

Een van de belangrijkste problemen die we in deze ruimte hebben, is het bepalen wanneer we medische apparaten veilig kunnen patchen. Er is altijd een klein risico wanneer we een medisch apparaat patchen dat het patchproces het apparaat kan uitschakelen of zelfs kan uitschakelen. Het kan ook een probleem met het apparaat veroorzaken. Er is een noodzaak om uiterst voorzichtig te zijn met het patchen van medische hulpmiddelen. Dat is over het algemeen de reden waarom we 's nachts of buiten kantooruren scannen, zodat we de normale patiëntenzorg of bedrijfsactiviteiten niet verstoren.

Bij medische hulpmiddelen moeten we ons altijd primair richten op patiëntenzorg. Het IT-team kan niet zomaar een apparaat gaan scannen, omdat het apparaat op dat moment een klinische service uitvoert en is verbonden met een patiënt. We kunnen UEBA gebruiken om te begrijpen wanneer een apparaat niet meer draait en wanneer het een veilige tijd is om onderhoud uit te voeren.

Met UEBA weten we bijvoorbeeld dat tussen de uren van 20:00 uur. en 06.00 uur wordt een bepaald apparaat niet gebruikt. Met deze kennis kunnen we regelmatige onderhoudsactiviteiten uitvoeren tijdens die bekende 'vrije uren' om de patiëntenzorg niet te verstoren. Dit in tegenstelling tot wat we normaal zouden doen met de rest van onze IT-omgeving, zoals servers en werkstations, onafhankelijk van de factor patiëntenzorg.

Dit stelt ons ook in staat om leden van ons klinisch engineeringteam bijvoorbeeld op de hoogte te stellen van een rapport over de resultaten van een apparaat dat de vorige avond is gescand. Deze rapporten kunnen erop wijzen dat de scan niet goed is verlopen, dat het apparaat zich abnormaal gedraagt. Die bepaling zou ertoe leiden dat het apparaat uit rotatie wordt getrokken en wordt vervangen door een ander apparaat totdat de oorzaak van de afwijking kan worden vastgesteld. Vergeet niet dat patiëntenzorg en veiligheid altijd voorop staan.

Het vooruitzicht dat een patiënt in gevaar wordt gebracht vanwege het foutieve gedrag van een medisch hulpmiddel, is niet zo vergezocht als het lijkt. De zekerheid die we krijgen met de mogelijkheid om basisgedragrisicoprofielen voor medische apparatuurtypen op te stellen, is van grote waarde voor organisaties in de gezondheidszorg, zoals de onze. Afhankelijk van hoe goed we hierin worden, is het niet onredelijk om dit soort technologie te beschouwen als een raamwerk voor het vergemakkelijken van het onderhoudsproces van het apparaat.

In de gezondheidszorg moeten de patiënten altijd op de eerste plaats komen. Als een patiënt is verbonden met een medisch apparaat dat is aangetast en dat apparaat uiteindelijk een dodelijke dosis van een medicijn aflevert, kunt u de getroffen partijen niet meer goedmaken. Je kunt die patiënt niet herstellen, of het verlies voor zijn familie. Een CISO in de gezondheidszorg moet de enorme verantwoordelijkheid die hij heeft begrijpen – ver buiten andere industrieën.

William Scandrett is de CISO van Allina Health, verantwoordelijk voor programma's op het gebied van beveiliging, governance, identiteit en cyberbeveiliging, evenals technologie-compliance en risicobeheer.

Leave a Reply

Your email address will not be published. Required fields are marked *