Kaspersky uzmanları geçen yıl uzaktan hasta izleme için kullanılan mobil sağlık cihazlarının iletimi için en sık kullanılan protokolde 33 güvenlik açığı buldu [1]. Qualcomm Snapdragon da etkilendi.
18 güvenlik açığı kritik güvenlik açıklarıdır. Bu, 10'dekinden 2020 daha fazla, çoğu hala çözülmedi. Bu güvenlik açıklarından bazıları, saldırganların cihazdan çevrimiçi olarak gönderilen verilere müdahale etmesine olanak tanır.
2021'de güvenlik açıklarında artış
Devam eden pandemi, sağlık sektörünün hızla dijitalleşmesine yol açtı. Hastaneler ve bakıcılar bunalmış durumdayken ve birçok insan evde karantinaya alındığında, kuruluşlar hastaların bakım şeklini yeniden düşünmeye zorlanıyor. Yakın tarihli bir Kaspersky çalışmasına [2] göre, Avrupa'daki sağlık hizmeti sağlayıcılarının yüzde 92,7'si teletıp işlevlerini uygulamıştır. Ancak bu hızlı dijitalleşme, özellikle hasta verileri söz konusu olduğunda yeni güvenlik risklerini de beraberinde getirdi.
Teletıp, taşınabilir cihazlar ve monitörler kullanılarak gerçekleştirilen hastaların uzaktan izlenmesini de içerir. Bunlar, hastaların kalp aktivitesi gibi sağlık göstergelerini sürekli veya aralıklarla izler.
MQTT protokolü güvenli veri iletimi sağlamaz
MQTT protokolü, kullanım kolaylığı nedeniyle giyilebilir cihazlardan ve sensörlerden veri aktarımı için en yaygın kullanılan protokoldür. Bu yüzden sadece giyilebilir cihazlarda değil diğer hemen hemen tüm akıllı cihazlarda bulunmaktadır. Ancak, MQTT kullanılırken kimlik doğrulama tamamen isteğe bağlıdır ve nadiren şifreleme içerir. Bu, MQTT'yi, saldırganların iki taraf arasındaki iletişim sırasında kendilerini enjekte edebildiği ortadaki adam saldırılarına karşı çok savunmasız hale getirir. Sonuç olarak, İnternet üzerinden iletilen tüm veriler potansiyel olarak çalınabilir. Bununla birlikte, giyilebilir cihazlarda işlenen ve gönderilen bilgiler son derece hassas tıbbi verileri, kişisel bilgileri ve hatta bir kişinin hareketlerini içerebilir.
2014'ten bu yana MQTT'de kritik olanlar da dahil olmak üzere çoğu bugüne kadar düzeltilmemiş 90 güvenlik açığı keşfedildi. 2021'de 33'i kritik olmak üzere 18 yeni güvenlik açığı keşfedildi - 10'den 2020 daha fazla.
Güvenlik açıklarına sahip Qualcomm Snapdragon giyilebilir platformu
Kaspersky uzmanları, yalnızca MQTT protokolünde değil, aynı zamanda giyilebilir cihazlar için en popüler platformlardan biri olan Qualcomm Snapdragon giyilebilir platformunda da güvenlik açıkları buldu. Başlangıcından bu yana, bazıları 400'ye dayananlar da dahil olmak üzere tamamı yamalanmamış 2020'den fazla güvenlik açığı tespit edildi.
Çoğu giyilebilir cihaz, konum ve hareketlerin yanı sıra kullanıcı sağlık verilerini de kaydeder. Bu sadece veri hırsızlığına değil, aynı zamanda takip etmeye de izin verir. doktor Alman teletıp şirketi arztkonsultation ak GmbH'nin kurucusu ve genel müdürü Peter Zeggel şu yorumu yapıyor: “Veri güvenliği, teletıp sisteminin daha da gelişmesi için temel bir gerekliliktir. Bu ortak bir sorumluluktur. Yasa koyucular, sağlayıcılar ve teletıp kullanıcılarının tümü daha fazla güvenlik için çalışmalıdır. Katılan herkes katkıda bulunabilir!”
“Pandemi, teletıp pazarında güçlü bir büyümeye yol açtı ve bu sadece doktorla video yazılımı aracılığıyla iletişim kurmakla ilgili değil. Kaspersky Rusya Küresel Araştırma ve Analiz Ekibi (GReAT) başkanı Maria Namestnikova, "Özel uygulamalar, giyilebilir cihazlar, implante edilebilir sensörler ve bulut tabanlı veritabanları dahil olmak üzere çok çeşitli karmaşık ve hızla gelişen teknolojileri ve ürünleri etkiliyor" diyor. "Ancak birçok hastane, hasta verilerini depolamak için hala doğrulanmamış üçüncü taraf hizmetleri kullanıyor ve giyilebilir sağlık cihazları ve sensörlerdeki güvenlik açıkları açık olmaya devam ediyor. Ancak şirketlerin kendi verilerini ve hastaların verilerini korumak için bu tür cihazlar kullanılmadan önce güvenlik seviyeleri hakkında mümkün olduğunca çok şey öğrenmesi gerekiyor.”
Sağlık hizmeti sağlayıcılarına hasta verilerini korumaya yönelik Kaspersky ipuçları
Hastanede veya tıbbi tesiste kullanılan tüm uygulamaları ve cihazları güvenlik açısından kontrol edin. Teletıp uygulamaları tarafından iletilen verileri minimumda tutun. Örneğin, konum aktarımı gerekli değilse devre dışı bırakılmalıdır.
Her zaman tüm varsayılan parolaları değiştirin ve söz konusu cihaz destekliyorsa şifreleme kullanın.
Kaspersky Hakkında Kaspersky, 1997 yılında kurulmuş uluslararası bir siber güvenlik şirketidir. Kaspersky'nin derin tehdit istihbaratı ve güvenlik uzmanlığı, dünya çapında işletmeleri, kritik altyapıları, hükümetleri ve tüketicileri korumaya yönelik yenilikçi güvenlik çözümlerinin ve hizmetlerinin temelini oluşturur. Şirketin kapsamlı güvenlik portföyü, karmaşık ve gelişen siber tehditlere karşı savunma için lider uç nokta koruması ve bir dizi özel güvenlik çözümü ve hizmeti içerir. 400 milyondan fazla kullanıcı ve 250.000 kurumsal müşteri, Kaspersky teknolojileri tarafından korunmaktadır. www.kaspersky.com/ adresinde Kaspersky hakkında daha fazla bilgi
[1] https://securelist.com/telehealth-report-2020-2021/105642/
[2] https://media.kasperskycontenthub.com/wp-content/uploads/sites/43/2021/11/22125239/Kaspersky_Healthcare-report-2021_eng.pdf