Elektroniska journaler är en otrolig välsignelse att ta hand om.
Vid behov kan läkare få viktig information som dina allergier, sjukdomshistoria och kända tillstånd, vilket kan göra skillnad i en nödsituation.
På samma sätt kan det vara ett allvarligt problem att låta den informationen komma i fel händer.
Förordningar som HIPAA syftar till att främja en superhög säkerhetsstandard för personlig medicinsk information, med massiva böter för misslyckande.
Men böter för säkerhetsfel skapar inte nödvändigtvis säkerhetsframgång.
Läkare och medicinska organisationer är beroende av programvaruleverantörer för säkra system, och som vi har sett kan programvara vara buggy.
Värre är att medicinska organisationer inte har kunskapen att korrekt använda de säkra systemen och hålla dem frånkopplade från osäkra system.
Seth Fogie, informationssäkerhetschef för Penn Medicine, utförde det han kallade en biopsi på sjukvården i USA för deltagare i Black Hat.
Det var inte vackert.
Kända problem
Fogie presenterade sig och noterade att han presenterade på Black Hat för 16 år sedan om ämnet Pocket PC-säkerhetsmissbruk.
Det verkar vara daterat idag, men som han påpekade används fortfarande Windows CE och andra föråldrade, osäkra system i vården.
Systemets sårbarheter utnyttjas och används.
”Patientjournaler utnyttjas och säljs,” förklarade Fogie.
"Det finns monetärt värde."
I säkerhetsbranschen hör du ofta om nolldagars sårbarheter, säkerhetshål som är så nya att ingen har sett dem tidigare.
Fogie karakteriserade hälsoindustrins problem som en dags sårbarhet.
De är kända, men inte fixade.
"H-ISAC (Health Information Sharing and Analysis Center) är medveten, leverantörerna är medvetna, men det finns ingen garanti för sanering", säger Fogie.
Han noterade att inga leverantörsnamn kommer att visas i hans föredrag.
"Mitt mål är att öka medvetenheten för allmänheten, vägleda till leverantörerna och insikt för säkerhetsfolk."
Black Hat Clinic
Fogie kastade sin engagerande presentation som en berättelse om ett besök av Alice och Bob på Black Hat Clinic.
Säkerhetsvinnar kommer ihåg Alice och Bob från det ursprungliga kryptografiska papperet där Rivest, Shamir och Adelman lade grunden för kryptering av offentlig nyckel.
Nu är de mycket äldre och Bob behöver uppmärksamhet på kliniken.
På grundval av sin faktiska erfarenhet av att testa säkerhet undersökte Fogie sju olika typer av medicinska system som skulle kunna äventyras, några med katastrofala resultat.
Historien börjar med att ett okänt ansikte dyker upp på TV: n i Bobs rum och gör ett vagt hot.
Hur kunde det hända? Visar sig att det inte är en TV; det är ett patientunderhållningssystem.
Som sådan kan den hantera måltidsbeställningar, acceptera screencasts från läkare och mer.
Och det är inte säkert.
Medicinsk personal använder idag klinisk produktivitetsprogramvara.
Läkarens anteckningar går in i det, liksom försäkringskodningsdata, patientinstruktioner och mer.
Fogie hittade en bakdörr som gav tillgång till mer än 100 000 patientjournaler.
Dosutdelning och övervakning måste säkert vara det säkraste, eller hur? Tja, nej.
Fogie hittade ett enkelt sätt in.
”Vi kunde dumpa användarnamn och lösenord,” förklarade han, ”och få tillgång till läkemedelsdistributionssystemet.
Vi kan lägga till oss som användare på alla nivåer.
Vilken huvudvärk! Vi kan till och med stjäla paracetamol.
”
Fogie konstaterade att säljaren fixade den här direkt och att de inte stjäl några huvudvärkpiller.
Litanien fortsatte.
Fogie hittade brister i temperaturövervakningssystemet som kunde låta en skadlig faktor ta kontroll, vilket resulterade i ineffektiva läkemedel eller till och med förgiftning.
Det sjuksköterskesamtalssystemet? Det är inte bara en summer, det är en app i full skala och den har ett hårdkodat bakdörrlösenord.
När det gäller avbildningssystemet fick de lätt åtkomst genom att justera koden för att bara acceptera fel lösenord.
Slutligen fick Fogie och hans team full tillgång till "Downtime Device" som tillhandahåller lokal information till en klinik när dess datacenter inte är tillgängligt.
"Det är 225 000 patientjournaler äventyrade, med liten ansträngning", avslutade Fogie.
”Det kan vara värd 2 250 000 $ eller till och med 225 000 000 $.
Om vi ??extrapolerar detta kunde jag förmodligen ha kallat detta en biljon dollaremission.
”
Titta på de röda flaggorna
Du kanske tror att hitta säkerhetshål i medicinska apparater och appar skulle ta månader av noggrant arbete, men det är inte så.
Fogie och hans team spenderar två till fyra timmar på att leta efter specifika säkerhetsröda flaggor, och alltför ofta hittar de dem.
Bland de saker de letar efter är hårdkodade bakdörrslösenord, som alltför ofta innehåller ordet "bakdörr".
Allvarligt! Autentisering som bara äger rum på den lokala enheten är ett annat problem, eftersom det enkelt hackas.
Med enkla verktyg kan ett testteam se källkoden för appar och till och med ändra dem på plats.
Fogie uppmuntrade hälsovårdens säkerhetslag att använda Penn Meds röda flaggtekniker.
"Om du har en möjlighet när du är ute och gör ett penna-test, titta på ansökningarna," sa han.
"Du kanske hittar något intressant." Han avslutade med en vädjan till leverantörer av vårdapplikationer.
”Vi pratar om patientvård här”, sa han, “så det här är ett problem för personuppgifter och sekretess.
Gör inte vårt jobb svårare! ”
