चार में से एक चिकित्सा उपकरण (23%) में अमेरिकी साइबर सुरक्षा एजेंसी सीआईएसए की ज्ञात शोषित कमजोरियां (केईवी) कैटलॉग की भेद्यता है। इसके अलावा, लगभग दो तिहाई (63%) केईवी चिकित्सा नेटवर्क में पाए जाते हैं।
स्टेट ऑफ सीपीएस सिक्योरिटी रिपोर्ट के पहले स्वास्थ्य देखभाल-केंद्रित संस्करण में, टीम82, क्लारोटी की अनुसंधान शाखा, चिकित्सा उपकरणों में बढ़ती कनेक्टिविटी के प्रभाव की जांच करती है। रिपोर्ट का उद्देश्य महत्वपूर्ण चिकित्सा उपकरणों की व्यापक कनेक्टिविटी को प्रदर्शित करना है - इमेजिंग सिस्टम से लेकर इन्फ्यूजन पंप तक - और संबंधित जोखिमों पर प्रकाश डालना। जांच के दौरान अक्सर कमजोरियां और कार्यान्वयन संबंधी त्रुटियां सामने आती हैं। स्वास्थ्य सेवा क्षेत्र में, प्रत्येक मामले में उपचार पर संभावित नकारात्मक प्रभावों से सीधा संबंध निकाला जा सकता है।
सबसे महत्वपूर्ण परिणाम
- अतिथि नेटवर्क से खतरा: 22 प्रतिशत अस्पतालों में कनेक्टेड डिवाइस हैं जो अतिथि नेटवर्क को जोड़ते हैं जो मरीजों और आगंतुकों को आंतरिक नेटवर्क तक वाईफाई पहुंच प्रदान करते हैं। यह एक खतरनाक हमला वेक्टर बनाता है: हमलावर सार्वजनिक वाईफाई पर संपत्ति को तुरंत ढूंढ सकते हैं और लक्षित कर सकते हैं और इस पहुंच का उपयोग आंतरिक नेटवर्क के लिए एक पुल के रूप में कर सकते हैं जहां रोगी देखभाल उपकरण स्थित हैं। टीम82 के शोध से पता चलता है कि 4 प्रतिशत सर्जिकल उपकरण, महत्वपूर्ण उपकरण जिनकी विफलता रोगी की देखभाल को महत्वपूर्ण रूप से प्रभावित कर सकती है, अतिथि नेटवर्क पर संचार करते हैं।
- पुराने ऑपरेटिंग सिस्टम: 14 प्रतिशत कनेक्टेड चिकित्सा उपकरण असमर्थित या जीवन समाप्ति वाले ऑपरेटिंग सिस्टम पर चलते हैं। बत्तीस प्रतिशत असमर्थित उपकरण एक्स-रे और एमआरआई सिस्टम सहित इमेजिंग उपकरण हैं, जो निदान और निर्धारित उपचार के लिए आवश्यक हैं, और 32 प्रतिशत सर्जिकल उपकरण हैं।
- शोषण की उच्च संभावना: रिपोर्ट में उच्च एक्सप्लॉइट प्रेडिक्शन स्कोरिंग सिस्टम (ईपीएसएस) स्कोर वाले उपकरणों की जांच की गई, जो 0 से 100 के पैमाने पर संकेत देते हैं कि संभावना है कि सॉफ्टवेयर भेद्यता का वास्तव में जंगली में शोषण किया जाएगा। विश्लेषण से पता चला कि 11 प्रतिशत रोगी उपकरण, उदा. बी. इन्फ्यूजन पंप और 10 प्रतिशत सर्जिकल उपकरणों में उच्च ईपीएसएस मूल्यों के साथ सुरक्षा कमजोरियां हैं। असमर्थित ऑपरेटिंग सिस्टम वाले उपकरणों पर अधिक बारीकी से देखने पर पता चलता है कि इस श्रेणी के 85 प्रतिशत सर्जिकल उपकरणों में उच्च ईपीएसएस स्कोर है।
- दूर से पहुंच योग्य उपकरण: अध्ययन में यह भी जांचा गया कि किन चिकित्सा उपकरणों तक दूर से पहुंचा जा सकता है। तदनुसार, 66 प्रतिशत इमेजिंग उपकरणों, 54 प्रतिशत सर्जिकल उपकरणों और 40 प्रतिशत रोगी उपकरणों तक दूर से पहुंचा जा सकता है। यह भी पाया गया कि जिन उपकरणों की विफलता के गंभीर परिणाम हो सकते हैं, जैसे डिफाइब्रिलेटर, रोबोट-सहायता सर्जरी सिस्टम और डिफाइब्रिलेटर गेटवे, उनकी भी रिमोट एक्सेस होती है।
Claroty के बारे में क्लारोटी, औद्योगिक साइबर सुरक्षा कंपनी, अपने वैश्विक ग्राहकों को उनकी ओटी, आईओटी और आईआईओटी संपत्तियों की खोज, सुरक्षा और प्रबंधन में मदद करती है। कंपनी का व्यापक प्लेटफॉर्म ग्राहकों के मौजूदा बुनियादी ढांचे और प्रक्रियाओं के साथ निर्बाध रूप से एकीकृत होता है और स्वामित्व की कुल लागत में काफी कमी के साथ पारदर्शिता, खतरे का पता लगाने, जोखिम और भेद्यता प्रबंधन और सुरक्षित रिमोट एक्सेस के लिए औद्योगिक साइबर सुरक्षा नियंत्रण की एक विस्तृत श्रृंखला प्रदान करता है।
विषय से संबंधित लेख
Sophos.com पर अधिक