Quiero compartir con la comunidad algunos aspectos que he venido investigando acerca de sistemas médicos PACS/DICOM y EMR/EHR. Estos términos son muy conocidos dentro de la industria del eHeatlh (Salud), que básicamente representan protocolos para gestión de datos médicos y registros médicos electrónicos; pero hay mucho mas detrás de esto.
Esta problemática considero que debería preocuparle a todos porque como bien hemos evidenciado en diversos medios que comienzan a resultar muy comunes los famosos "leaks" de datos médicos y ahora los atacantes apuestan mucho por este tipo de datos.
Muchos de estos datos podrían ser información tuya, mía o de algún familiar, la tecnología avanza y las empresas implementan más tecnología (muchas veces de manera insegura) para poder brindar mayores beneficios a sus clientes "pacientes" cosa que no está mal, porque tiene muchos beneficios; pero, lo que no estaría correcto es desconocer el riesgo que representaría en caso de gestionar las mismas de manera insegura.
A continuación la serie de post y el pequeño aporte a la comunidad/industria para mejorar en varios aspectos de la seguridad de este tipo de infraestructuras.
https://blog.elevenpaths.com/2018/10/son-seguras-las-aplicaciones-de-registros-medicos.html
https://blog.elevenpaths.com/2017/11/seguridad-aplicaciones-dicom-elevenpaths.html
https://blog.elevenpaths.com/2018/03/inseguridad-aplicaciones-PACS-DICOM.html
https://blog.elevenpaths.com/2017/05/pacs-y-dicom-una-radiografia-las.html
http://www.elladodelmal.com/2017/10/pacsone-server-all-bugs-in-one-en-la.html
Pueden buscar las vulnerabilidades/exploits con términos como "pacs", "emr"; que vienen siendo reportadas a fabricantes y proyectos para esta industria, algunos de ellos muy usados por cierto.
https://www.exploit-db.com/search/?action=search&q=pacs
https://www.exploit-db.com/search/?action=search&q=emr
Con todo esto comentado vemos con preocupación los controles aplicados en este tipo de industrias, llámese Hospitales/Clínicas, Gobiernos, Fabricantes de sw/hw, entre otros; que deberían poner mayor enfoque en poder generar productos de mejor calidad y seguridad a partir de la basta información que existe dentro de la industria.
Es importante resaltar que, si bien los grandes players de esta industria generar un buen ecosistema de seguridad en sus productos, que pasa aun con los proyectos opensource que son embebidos luego en producto comercial, con las aplicaciones móviles para estos propósitos, el hospital/clínica local que desarrollo su portal in-house para que revises tus diagnósticos; cada uno de estos vectores aún faltan de analizar y estarian expuestos con vulnerabilidades.
Saludos,
CA
Esta problemática considero que debería preocuparle a todos porque como bien hemos evidenciado en diversos medios que comienzan a resultar muy comunes los famosos "leaks" de datos médicos y ahora los atacantes apuestan mucho por este tipo de datos.
Muchos de estos datos podrían ser información tuya, mía o de algún familiar, la tecnología avanza y las empresas implementan más tecnología (muchas veces de manera insegura) para poder brindar mayores beneficios a sus clientes "pacientes" cosa que no está mal, porque tiene muchos beneficios; pero, lo que no estaría correcto es desconocer el riesgo que representaría en caso de gestionar las mismas de manera insegura.
A continuación la serie de post y el pequeño aporte a la comunidad/industria para mejorar en varios aspectos de la seguridad de este tipo de infraestructuras.
https://blog.elevenpaths.com/2018/10/son-seguras-las-aplicaciones-de-registros-medicos.html
https://blog.elevenpaths.com/2017/11/seguridad-aplicaciones-dicom-elevenpaths.html
https://blog.elevenpaths.com/2018/03/inseguridad-aplicaciones-PACS-DICOM.html
https://blog.elevenpaths.com/2017/05/pacs-y-dicom-una-radiografia-las.html
http://www.elladodelmal.com/2017/10/pacsone-server-all-bugs-in-one-en-la.html
Pueden buscar las vulnerabilidades/exploits con términos como "pacs", "emr"; que vienen siendo reportadas a fabricantes y proyectos para esta industria, algunos de ellos muy usados por cierto.
https://www.exploit-db.com/search/?action=search&q=pacs
https://www.exploit-db.com/search/?action=search&q=emr
Con todo esto comentado vemos con preocupación los controles aplicados en este tipo de industrias, llámese Hospitales/Clínicas, Gobiernos, Fabricantes de sw/hw, entre otros; que deberían poner mayor enfoque en poder generar productos de mejor calidad y seguridad a partir de la basta información que existe dentro de la industria.
Es importante resaltar que, si bien los grandes players de esta industria generar un buen ecosistema de seguridad en sus productos, que pasa aun con los proyectos opensource que son embebidos luego en producto comercial, con las aplicaciones móviles para estos propósitos, el hospital/clínica local que desarrollo su portal in-house para que revises tus diagnósticos; cada uno de estos vectores aún faltan de analizar y estarian expuestos con vulnerabilidades.
Saludos,
CA
