{In}Seguridad en HealthCare

  • 1
  • Problem
  • Updated 1 year ago
Quiero compartir con la comunidad algunos aspectos que he venido investigando acerca de sistemas médicos PACS/DICOM y EMR/EHR. Estos términos son muy conocidos dentro de la industria del eHeatlh (Salud), que básicamente representan protocolos para gestión de datos médicos y registros médicos electrónicos; pero hay mucho mas detrás de esto.

Esta problemática considero que debería preocuparle a todos porque como bien hemos evidenciado en diversos medios que comienzan a resultar muy comunes los famosos "leaks" de datos médicos y ahora los atacantes apuestan mucho por este tipo de datos.

Muchos de estos datos podrían ser información tuya, mía o de algún familiar, la tecnología avanza y las empresas implementan más tecnología (muchas veces de manera insegura) para poder brindar mayores beneficios a sus clientes "pacientes" cosa que no está mal, porque tiene muchos beneficios; pero, lo que no estaría correcto es desconocer el riesgo que representaría en caso de gestionar las mismas de manera insegura.

A continuación la serie de post y el pequeño aporte a la comunidad/industria para mejorar en varios aspectos de la seguridad de este tipo de infraestructuras.

https://blog.elevenpaths.com/2018/10/son-seguras-las-aplicaciones-de-registros-medicos.html
https://blog.elevenpaths.com/2017/11/seguridad-aplicaciones-dicom-elevenpaths.html
https://blog.elevenpaths.com/2018/03/inseguridad-aplicaciones-PACS-DICOM.html
https://blog.elevenpaths.com/2017/05/pacs-y-dicom-una-radiografia-las.html
http://www.elladodelmal.com/2017/10/pacsone-server-all-bugs-in-one-en-la.html


Pueden buscar las vulnerabilidades/exploits con términos como "pacs", "emr"; que vienen siendo reportadas a fabricantes y proyectos para esta industria, algunos de ellos muy usados por cierto.

https://www.exploit-db.com/search/?action=search&q=pacs
https://www.exploit-db.com/search/?action=search&q=emr


Con todo esto comentado vemos con preocupación los controles aplicados en este tipo de industrias, llámese Hospitales/Clínicas, Gobiernos, Fabricantes de sw/hw, entre otros; que deberían poner mayor enfoque en poder generar productos de mejor calidad y seguridad a partir de la basta información que existe dentro de la industria.

Es importante resaltar que, si bien los grandes players de esta industria generar un buen ecosistema de seguridad en sus productos, que pasa aun con los proyectos opensource que son embebidos luego en producto comercial, con las aplicaciones móviles para estos propósitos, el hospital/clínica local que desarrollo su portal in-house para que revises tus diagnósticos; cada uno de estos vectores aún faltan de analizar y estarian expuestos con vulnerabilidades.


Saludos,
CA

Photo of Carlos Avila

Carlos Avila

  • 49 Posts
  • 8 Reply Likes

Posted 2 years ago

  • 1
Photo of Carlos Avila

Carlos Avila

  • 49 Posts
  • 8 Reply Likes
Photo of Carlos Avila

Carlos Avila

  • 49 Posts
  • 8 Reply Likes
Por si les interesa aca otro paper interesantes sobre las comunicaciones HL7 como funciona en entornos medicos y algunas de sus debilidades.

https://www.sans.org/reading-room/whitepapers/vpns/hl7-data-interfaces-medical-environments-understa...

(Edited)
Photo of Carlos Avila

Carlos Avila

  • 49 Posts
  • 8 Reply Likes
Aqui una encuesta de Ciberseguridad de HIMSS (Healthcare Information and Management Systems Society) 2017 muy intersante que proporciona información sobre qué estan haciendo las organizaciones de salud para proteger tu información y activos, a la luz de los crecientes ataques cibernéticos y compromisos que afectan al sector sanitario.

https://www.himss.org/sites/himssorg/files/2017-HIMSS-Cybersecurity-Survey-Final-Report.pdf

Estan pronto a liberar la version 2018.

Photo of Carlos Avila

Carlos Avila

  • 49 Posts
  • 8 Reply Likes
Para los que estan trabajando en algun proyecto de analisis de riesgos en la industria de la salud "healthcare" aqui comparto una herramienta enfocada en HIPAA.

https://www.healthit.gov/topic/privacy-security-and-hipaa/security-risk-assessment

Segun la Office of the National Coordinator for Health Information Technology (ONC), una evaluación de riesgos ayuda a su organización a garantizar que cumple con las garantías administrativas, físicas y técnicas de HIPAA. Una evaluación de riesgos también ayuda a revelar áreas dond la informacion privada de los pacientes, de su organización podría estar en riesgo.

Photo of myrtlemcbride

myrtlemcbride

  • 4 Posts
  • 0 Reply Likes
The question related to Healthcare system is our priority. Follow http://smartessayrewriter.com/blog/edit-my-essay-tips-and-tricks to find a sample of any risk analysis project.