한국어
English
Français
Deutsch
Español
Italiano
Português
日本語
Русский
폐기 의료기기에 의료시설 정보가 담긴 것으로 밝혀져
연구자들은 eBay와 같은 2차 시장에서 판매되는 주입 펌프가 한때 이를 소유했던 병원에 대한 민감한 정보를 여전히 담고 있는 것으로 밝혀졌습니다.
Rapid7의 수석 보안 연구원인 Deral Heiland와 다른 몇몇 연구원은 Alaris, Baxter, Hospira와 같은 13개 주입 펌프 장치 브랜드를 조사하여 이전 소유자에 대한 액세스 자격 증명 및 인증 데이터를 찾았습니다. 이 기계는 병원 침대 옆에 설치되어 환자의 순환계에 수액, 약물 또는 영양분을 전달하는 중요한 장치입니다.
이번 조사는 의료기기 분야 내에서 지속되는 문제, 즉 인수 취소 전에 적절하게 제거되지 않은 주입 펌프 장치에 남아 있는 중요한 저장 데이터를 조명합니다. 이 장치는 병원에서 장치를 업그레이드하거나 최신 모델로 교체할 때 2차 시장에서 판매되는 경우가 많습니다.
검사된 장치 13개 중 8개에는 민감한 정보가 포함되어 있었습니다. Heiland는 이 정보가 일부 장치가 eBay와 같은 사이트에서 판매되기 전에 실제로 데이터가 적절하게 삭제되었다는 증거라고 말했습니다.
대부분의 기기에 남겨진 정보는 누군가에게 미국의 의료 기관에서 유효할 확률이 높은 WiFi 비밀번호를 제공합니다.
“온라인으로 판매할 수 있는 것과 없는 것에 대한 제한을 정의하는 것은 어려워집니다. 예를 들어 이베이(Ebay)와 같은 시장에서는 장치가 제거되었는지 여부를 식별하기 위해 어떻게 감시할 수 있을까요?” Heiland는 Recorded Future News에 말했습니다.
“이번 사건의 책임은 양측 모두에게 있다고 생각합니다. 첫째, 임베디드 의료 기술 공급업체는 장치를 폐기하고 이전하기 전에 장치를 제거하는 간단하고 잘 문서화된 방법을 제공해야 합니다. 둘째, 이러한 기술을 활용하는 의료 기관은 장치를 폐기하고 판매하거나 다른 사람에게 양도하기 전에 장치의 데이터가 적절하게 제거되도록 하는 프로세스 및 절차(요람에서 무덤까지)를 구현해야 합니다."
주입 펌프는 보안을 개선하기 위해 10년 이상 노력해 온 사이버 보안 전문가와 공급업체의 오랜 우려 대상이었습니다. FBI는 지난 9월 장치의 취약점으로 인해 사이버 공격의 가능성이 열려 있다고 경고했습니다.
사이버 보안 회사인 Tanium의 수석 이사이자 의료 전략가인 Shawn Surber는 의료 기관이 "생물학적 재료를 폐기하는 경우와 마찬가지로 장치를 폐기해야 한다"고 말했습니다.
그는 "의료용 펌프 및 기타 주변 장치가 공격 벡터로 간과되는 경우가 많기 때문에 이와 같은 시나리오는 너무 일반적입니다"라고 말했습니다. “내부 무선 네트워크 자격 증명 및 키가 노출되면 공격자가 쉽게 네트워크에 대한 내부 액세스 권한을 얻고 해당 네트워크의 다른 취약한 장치를 악용할 수 있습니다. 여기에서 공격자는 악성 코드나 랜섬웨어를 쉽게 배포하거나 개인 건강 정보(PHI)를 자동으로 수집하고 유출할 수 있습니다.”
이러한 종류의 공격을 위해서는 대상과 물리적으로 가까운 근접이 필요하지만 공격자가 포착될 가능성이 높은 다른 메커니즘을 통해 전송하는 대신 자신의 장치에서 PHI를 유출할 수 있기 때문에 특히 해로울 수 있다고 Surber는 말했습니다. 네트워크 보안 솔루션으로.”
Rapid7의 보고서에 언급된 몇몇 주입 펌프 제조업체는 논평 요청에 응답하지 않았습니다.
Alaris 브랜드 주입 펌프 회사인 Becton, Dickinson and Company의 대변인은 BD Alaris Systems에 있는 데이터는 "시스템 내에 있는 제어 장치와 액세스 제어, 식별 및 승인과 관련된 업계 보안 모범 사례를 준수함으로써 보호됩니다"라고 말했습니다. , 인사 보안 및 자산의 물리적 보호입니다.”
보고서에 기록된 문제는 "이전에 BD 고객과 공유되었으며 최신 BD Alaris 주입 시스템의 보상 제어를 통해 수정되거나 완화되었습니다"라고 대변인은 말했습니다.
“적절하게 폐기되지 않은 레거시 의료 기기에 대한 잠재 데이터는 업계 전반에 걸쳐 알려진 문제입니다. BD는 이 문제에 대한 주의를 환기시키고 고객에게 환자 데이터 보호에 대한 권장 사항을 제공하기 위해 2016년 BD Alaris 시스템 잔여 데이터에 대한 제품 보안 공지를 발행했습니다."