Patienters telesundhedsdata og kreditoplysninger kan opsnappes

Patienters telesundhedsdata og kreditoplysninger kan opsnappes

Kaspersky-eksperter har afdækket, at den mest almindeligt anvendte protokol til overførsel af data fra bærbare enheder, som bl.a. bruges til fjernovervågning af patienter, indeholdt 33 sårbarheder, herunder 18 kritiske sårbarheder, alene i 2021. Mange er stadig åbne, og det giver angribere mulighed for at opsnappe de data, der sendes fra enhederne

De foregående års pandemi har ført til en hurtig digitalisering af sundhedssektoren. Med overbebyrdede hospitaler og sundhedspersonale, og mange mennesker i karantæne i hjemmet, er organisationer blevet tvunget til at gentænke, hvordan patientpleje kan udføres.

En undersøgelse fra Kaspersky viser, at hele 91 % af verdens sundhedsudbydere har implementeret telesundhedsfunktioner for at imødekomme de nye behov for telesundhed. Denne hurtige digitalisering har dog skabt nye sikkerhedsrisici - især når det drejer sig om beskyttelse af patientdata.Telesundhed omfatter bl.a. fjernovervågning af patienter, som foregår ved hjælp af såkaldte wearable-enheder og monitorer. Det omfatter enheder, der løbende sporer patientens sundhedsindikatorer, som f.eks. hjerteaktivitet.

Den mest almindelige protokol til overførsel af data fra wearable-enheder og sensorer er MQTT-protokollen. Den er nem at arbejde med og findes derfor ikke kun i wearable-enheder, men også i næsten alle smarte enheder (IoT enheder). Desværre er autentificering helt valgfri, når man bruger MQTT, og den omfatter sjældent kryptering.

Dette gør MQTT meget modtagelig for ’man in the middle’-angreb (når angribere kan placere sig mellem "to parter", mens de kommunikerer), hvilket betyder, at alle data, der overføres via internettet, potentielt kan stjæles. Når det drejer sig om bærbare enheder kan disse oplysninger omfatte meget følsomme medicinske data, personlige oplysninger og endda data om en persons bevægelser.

Sårbarheder i protokollen

Siden 2014 er der opdaget 90 sårbarheder i MQTT, hvoraf mange stadig ikke er patchet. I 2021 blev der fundet 33 nyopdagede sårbarheder, herunder 18 kritiske sårbarheder – hvilket er 10 flere end i 2020. Alle disse sårbarheder udgør en risiko for, at patienterne risikerer at få stjålet deres data.

Kasperskys efterforskere fandt ikke kun sårbarheder i MQTT-protokollen, men også i en af de mest populære platforme for wearable-enheder: Qualcomm Snapdragon Wearable-platformen. Der er fundet mere end 400 sårbarheder siden platformen blev lanceret, og det er endnu ikke alle, der er blevet lappet. 

Det er værd at bemærke, at de fleste wearable-enheder sporer både dine sundhedsdata, din placering og dine bevægelser. Dette åbner ikke blot op for muligheden for at stjæle dine data, men også potentielt for stalking.

”Pandemien har ført til en kraftig vækst på markedet for telesundhed, og det drejer sig ikke længere kun om at kommunikere med din læge via video. Vi taler om en hel række komplekse, hurtigt udviklende teknologier og produkter, herunder specialiserede applikationer, bærbare enheder, sensorer og cloud-baserede databaser. Mange hospitaler bruger dog stadig uprøvede tjenester fra tredjeparter til at lagre patientdata, og sårbarheder i bærbare enheder og sensorer til sundhedssektoren er stadig fulde af sårbarheder. Før man implementerer sådanne enheder, bliver man altså nødt til at lære så meget som muligt om deres sikkerhedsniveau for at beskytte virksomheders og patienters data,” udtaler Maria Namestnikova, leder af det russiske Global Research and Analysis Team (GReAT) hos Kaspersky.

Læs hele rapporten om telesundhedssikkerheden på Securelist.

Om undersøgelsen

Kasperskys rapport ’Telehealth take-up: the risks and opportunities’ ser nærmere på brugen af telesundhedsservices verden over. Undersøgelsen er foretaget af Arlington Reserach, der har interviewet 389 beslutningstagere inden for sundhedssektoren, der gør brug af telesundhed. Beslutningstagerne var fra organisationer og institutter i 36 lande spredt over Nordamerika, Europa – herunder Danmark – Mellemøsten, Asien, Australien, Latinamerika, Rusland og CIS-landene. 170 af disse interviews var med organisationer med mere end 1000 medarbejdere, resten af organisationerne havde mellem 50-999 ansatte. 

- lb