bencede
New member
Kliniklerde BT güvenliği için iyi değildir. Sıklıkla kullanılan iki hastane bilgi sistemi (KI) için bir penetrasyon testi, “verilerin belirsiz iletimi, belirsiz bellek ve yönetim ve şifre yönetimi ve yazılım güncellemelerinin belirsiz dağılımı gibi önemli zayıflıklar” olduğunu göstermiştir. Bu patlayıcıdır, çünkü hasta sağlığı verileri gibi özellikle hassas kişisel bilgiler toplanır, detaylandırılır ve daha fazla teşhis için kullanılır. Laboratuar araçları ile BT sistemleri arasında haber alışverişi için bir protokol olan HL7 (sağlık seviye 7) veya LIS01-A gibi spesifik veri formatları.
Sağlıkta ve özellikle hastanelerde bilgisayar güvenliğinin dişini hissetmek için Federal Bilgi Teknolojisi Ofisi (BSI), Fraunhofer Güvenli Bilgi Teknolojileri Enstitüsü (SIT) elektronik sağlık ekibini sınavla görevlendirdi. Etkinliğin bir kısmı, yüksek kurulum numaraları nedeniyle seçilen iki AI temsilcisinin kesin bir güvenlik analiziydi. Şimdi yayınlanan son rapora göre, araştırmacılar istemci ve sunucu ile üçüncü taraf sistemleri arasındaki KIS bileşikleri arasında şifreleme eksikliği karşıladı. Bu, iletim sırasında verileri görüntülemenizi veya değiştirmenizi sağlar. Bunlar aynı zamanda idari müdahaleler ve güncellemeler olduğundan, ilgili sistemler yetkisiz değiştirilebilir.
Uzmanlar ayrıca yetersiz bir sertifika testi fark ettiler. TRLOS TLS'nin kullanımı, ağ düzeyinde pasif saldırganlar tarafından okumadan önce bile korur. Bununla birlikte, iletişim ve okuma ve tüm bağlantının manipülasyonu, test olmadan mümkün kalmıştır. Araştırmacılar ayrıca, eski bir algoritmaya (RC4) sahip iki KI erişim verisinden birinin şifrelendiğinden ve veritabanında arşivlendiğinden şikayet ediyorlar. Şifreler için kullanılan ESH algoritmaları da artık en son teknolojiye karşılık gelmemektedir. KIS katkı maddeleri, veritabanında okuma ve yazmaya tam olarak erişime izin veren kısmen önemsiz şifrelerle de fark edildi.
Gizliliğin mevcudiyeti
Buna ek olarak, test uzmanları yazılımın bütünlüğünün korunmasının eksikliği ve veritabanının sorgu hakkının yetersiz yönetiminden şikayetçidir. Saldırganlar da kolaylıklı bir erişime sahip olabilir. Bir KIS'te, hasarlı JavaScript kodunun (komut dosyası) yeterince test edilmiş girişleri eklenebilir ve gerçekleştirilebilir. Araştırmacılar, yayınlanan problemler “bunlar ve diğer KI'daki çeşitli potansiyel zayıflıklar için örnektir” diye uyarıyor. Üreticinin şirketleri kendilerini çok işbirlikçi olduklarını göstereceklerdi ve çalışmanın yayınlanmasına kadar kalemlerin limanlarının çoğunu mühürlemişlerdi. Bununla birlikte, genellikle “sağlık hizmetlerinde, verilerin gizliliğine kıyasla sistemlerin mevcudiyetinin genellikle öncelikleri olduğu” gösterilmiştir. Bu, hastanelerin genel güvenliği pahasına.
Yazarlar acilen eylemi öneriyor: Romanya'da mevcut bir fidye yazılımı saldırısı vakası, merkezi yapay zeka ile veya üzerine bir saldırı için ilk ipuçlarını göstermektedir. Bu 26 hastaneye kurban düştü. Daha önce, saldırganlar bir kliniğin Citrix erişiminde zayıf bir nokta kullandılar. Araştırmacılar, örneğin, FHIR (hızlı sağlık birlikte çalışabilirlik kaynakları) için HL7'nin daha da geliştirilmesi gibi yeni modern standart değişim formatlarını kullanmanızı önerir. Sonuçlara dayanarak, BSI, bilgi uygulama önerileri için genişletilmiş bir taslak yayınladı. İlgilenen taraflar Haziran ayının sonuna kadar yorum yapabilirler.
(Asla)
Sağlıkta ve özellikle hastanelerde bilgisayar güvenliğinin dişini hissetmek için Federal Bilgi Teknolojisi Ofisi (BSI), Fraunhofer Güvenli Bilgi Teknolojileri Enstitüsü (SIT) elektronik sağlık ekibini sınavla görevlendirdi. Etkinliğin bir kısmı, yüksek kurulum numaraları nedeniyle seçilen iki AI temsilcisinin kesin bir güvenlik analiziydi. Şimdi yayınlanan son rapora göre, araştırmacılar istemci ve sunucu ile üçüncü taraf sistemleri arasındaki KIS bileşikleri arasında şifreleme eksikliği karşıladı. Bu, iletim sırasında verileri görüntülemenizi veya değiştirmenizi sağlar. Bunlar aynı zamanda idari müdahaleler ve güncellemeler olduğundan, ilgili sistemler yetkisiz değiştirilebilir.
Uzmanlar ayrıca yetersiz bir sertifika testi fark ettiler. TRLOS TLS'nin kullanımı, ağ düzeyinde pasif saldırganlar tarafından okumadan önce bile korur. Bununla birlikte, iletişim ve okuma ve tüm bağlantının manipülasyonu, test olmadan mümkün kalmıştır. Araştırmacılar ayrıca, eski bir algoritmaya (RC4) sahip iki KI erişim verisinden birinin şifrelendiğinden ve veritabanında arşivlendiğinden şikayet ediyorlar. Şifreler için kullanılan ESH algoritmaları da artık en son teknolojiye karşılık gelmemektedir. KIS katkı maddeleri, veritabanında okuma ve yazmaya tam olarak erişime izin veren kısmen önemsiz şifrelerle de fark edildi.
Gizliliğin mevcudiyeti
Buna ek olarak, test uzmanları yazılımın bütünlüğünün korunmasının eksikliği ve veritabanının sorgu hakkının yetersiz yönetiminden şikayetçidir. Saldırganlar da kolaylıklı bir erişime sahip olabilir. Bir KIS'te, hasarlı JavaScript kodunun (komut dosyası) yeterince test edilmiş girişleri eklenebilir ve gerçekleştirilebilir. Araştırmacılar, yayınlanan problemler “bunlar ve diğer KI'daki çeşitli potansiyel zayıflıklar için örnektir” diye uyarıyor. Üreticinin şirketleri kendilerini çok işbirlikçi olduklarını göstereceklerdi ve çalışmanın yayınlanmasına kadar kalemlerin limanlarının çoğunu mühürlemişlerdi. Bununla birlikte, genellikle “sağlık hizmetlerinde, verilerin gizliliğine kıyasla sistemlerin mevcudiyetinin genellikle öncelikleri olduğu” gösterilmiştir. Bu, hastanelerin genel güvenliği pahasına.
Yazarlar acilen eylemi öneriyor: Romanya'da mevcut bir fidye yazılımı saldırısı vakası, merkezi yapay zeka ile veya üzerine bir saldırı için ilk ipuçlarını göstermektedir. Bu 26 hastaneye kurban düştü. Daha önce, saldırganlar bir kliniğin Citrix erişiminde zayıf bir nokta kullandılar. Araştırmacılar, örneğin, FHIR (hızlı sağlık birlikte çalışabilirlik kaynakları) için HL7'nin daha da geliştirilmesi gibi yeni modern standart değişim formatlarını kullanmanızı önerir. Sonuçlara dayanarak, BSI, bilgi uygulama önerileri için genişletilmiş bir taslak yayınladı. İlgilenen taraflar Haziran ayının sonuna kadar yorum yapabilirler.
(Asla)