۶ شهریور ۱۳۹۷

فروش اطلاعات بیماران فوت شده از طریق وب تاریک

جای تعجب نیست که مدارک پزشکی از اهداف اساسی جرایم فضای مجازی می‌باشد. در طی سال‌های اخیر گزارش تعداد حملات هک و ورود غیر مجاز به رکورد‌های پزشکی بیماران روندی افزایشی داشته است. پلیس اف بی آی تخمین زده است که ۸۰ میلیون دلار از رقم هزینه ۲٫۲ تریلیون دلاری که سالانه صرف مراقبت‌های درمانی(medical ID) در ایالات متحده می‌گردد با جعل مرتبط است که نیمی‌از این جعل ها به دزدی شناسه پزشکی ارتباط دارند.

طبق یافته‌های ITRC، رخنه‌های صورت گرفته به سیستم‌های مراقبت درمانی در سال ۲۰۱۳ به ۲۸ مورد رسیده است که ۱٫۱ میلیون رکورد تحت تاثیر این رخنه ها قرار گرفته اند. این میزان نسبت به سال ۲۰۱۲ که طی وقوع ۲۳ مورد رخنه ۸۷۹،۱۷۹ رکورد تحت تاثیر قرار گرفته بودند، روند صعودی داشته است. این اعداد نسبت به سال ۲۰۱۱، با ۸ رخنه در سیستم‌های مراقبت درمانی که بر ۴۰۰،۰۰۰ رکورد تاثیر گذاشت، رشد معناداری دارند.

براساس گزارش یک سازمان امنیتی در حوزه مراقبت درمانی که حدود ۲۰۰ مورد از درخواست دهندگان سازمان‌های مراقبت درمانی را مورد بررسی قرار داده است، در سال ۲۰۱۳ قریب به ۱۱ درصد از درخواست ها به هدف رخنه به سیستم صورت گرفته است.

عوامل متعددی می‌تواند این رشد مستمر را توضیح دهد.

  1. هک کردن سیستم‌های مراقبت درمانی آسانتر هستند: سیستم‌های مراقبت درمانی به سرعت در فضای مجازی رو به جلو پیش می‌رود، اما امنیت آنها در مسیر پیشرفت عقب مانده است. سیستم‌های بیمارستانی معمولا شامل دستگاه‌های قدیمی‌ و وصله نشده ای هستند که به اینترنت نیز متصل می‌باشند، احتمال آلوده شدن این سیستم ها به بدافزار ها بسیار بالاست. ابزار‌های پزشکی آلوده، اجازه سوء استفاده از آسیب پذیری ها و امکان دسترسی به سیستم‌های بیمارستانی را به هکرها می‌دهند. زمانی که هکر ها بتوانند جا پای مستحکمی ‌در سیستم بیابند، می‌توانند «هک به عنوان سرویس» را به کلاهبردارانی که علاقمند به استفاده از سیستم‌های مراقبت‌های درمانی هستند اما توانایی هک تکنیکی را ندارند، ارائه دهند.
  2. حملات سایبری پیشرفته: سازمان‌های جرایم سایبری مانند سایر شرکت‌های تکنولوژی عمل می‌کنند و به طور پیوسته ابزار‌های هک پیشرفته تری را تولید می‌نمایند. طبق تحقیقات به عمل آمده، دستگاه‌های پزشکی در بیمارستانها که در جریان حمله پیشرفته ای موسوم به مدجک (MEDJACK) آلوده شده اند، نقطه ای محوری برای هکر ها برای دسترسی به سیستم‌های بیمارستانی به حساب می‌آیند. طبق این گزارش، مهاجمان از تکنیک‌های پیشرفته ای در حملات خود بهره می‌گیرند که می‌توانند بدون شناسایی شدن فرد مهاجم، اطلاعات حساس بیماران را استخراج نمایند.
  3. مدارک پزشکی برای کلاهبرداران با ارزش ترند: اطلاعات پزشکی دزدیده شده، در بازار سیاه از ارزش بالاتری نسبت به اطلاعات کارت‌های اعتباری برخوردارند. با تحقیقی در وب تاریک می‌توان دریافت، یکی از مرسوم ترین روش‌های کلاهبرداری، جعل کارت‌های اعتباری و حساب‌های بانکی است. اطلاعات پزشکی در ترکیب با دیگر اطلاعات شخصی به منظور ایجاد تراکنش‌های جعلی استفاده می‌شوند. اما کلاهبرداری‌های جالبتر مربوط به بیمه درمان و مالیات می‌باشند. در اینجا است که اطلاعات خاصی در مدارک پزشکی افراد می‌تواند کاربردی باشد. در این حالت، کلاهبرداران نیازمند بیشترین میزان اطلاعات ممکن در مورد پیشینه قربانیان هستند که مدارک پزشکی شامل منبعی غنی از پیشینه افراد می‌باشد.

کلاهبرداران از اطلاعات پزشکی ربوده شده چه استفاده ای می‌کنند؟

در کلاهبرداری‌های مالی، مجرمین از اطلاعات پزشکی دزدیده شده برای دستیابی غیر قانونی به امکانات و دریافت بیمه درمانی استفاده می‌کنند. در برخی آگهی ها در وب تاریک، چگونگی استفاده از هویت پزشکی برای تحویل دارو‌های تجویز شده، سفارش دارو و حتی نوبت گرفتن در مطب پزشکی برای انجام آزمایشات کلی، برای متقاضیان بالقوه این اطلاعات توضیح داده شده است.

در یک آگهی فروش در وب تاریک، فروشنده بسته ای شامل شماره امنیت اجتماعی کودکان (چیزی شبیه کد ملی)  و تاریخ تولد آنها (که در وب تاریک به Fullz معروف است) ارائه داده است که از پایگاه‌های داده متخصصین اطفال استخراج شده است. همان فروشنده اخیرا بسته جدیدی از فالز کودکان را منتشر کرده است. شباهت این بسته با بسته قبلی می‌تواند نشان دهنده درخواست‌های زیاد، برای اطلاعات ربوده شده جدید از پایگاه‌های پزشکی باشد.

یکی از دلایلی که کلاهبرداران به شماره امنیتی اجتماعی کودکان و نوجوانان علاقه مندند آن است که استفاده از شناسه‌های جعلی این افراد برای دریافت اعتبار یا وام شانس بیشتری برای موفقیت دارد. دلیل دیگری که آنها را به اطلاعات کودکان علاقه مند می‌کند می‌تواند کلاهبرداری‌های مالیاتی باشد.

اخیرا، بدعت جالب و جدیدی در فروش داده‌های پزشکی در وب تاریک را می‌توان مشاهده کرد. در پستی در وب تاریک، فروشنده ای پیشنهاد فروش اطلاعات پزشکی اشخاص فوت شده را ارائه داده است. در آن آگهی فروشنده اذعان می‌دارد که ۶۰،۰۰۰ مورد از داده‌های پزشکی دزدیده شده که برای فروش ارائه شده است، تاریخ فوت افراد را نیز شامل می‌شود.

شاید تعجب آور باشد که چرا کلاهبرداران به خرید داده‌های پزشکی بیماران فوت شده علاقمند هستند، اما دلیلی برای آن وجود دارد. برای جعل هویت یا اجرای اقدامات جعلی، هیچ چیز بهتر از یک قربانی که نمی‌تواند شکایتی تنظیم کند، نیست. اگر شخصی که از هویتش برای کلاهبرداری استفاده می‌شود، در قید حیات نباشد، جرم صورت گرفته ممکن است تا مدت ها کشف نگردد.

مطابق گزارش اخیر AARP، کلاهبرداران در تلاش برای سرقت هویت ۲٫۵ میلیون امریکایی فوت شده در طی سال هستند تا با ایجاد حساب‌های کارت اعتباری، از آنها برای دریافت وام، تعهد مالیاتی و دریافت تلفن‌های همراه گران قیمت از طریق قراداد‌های اپراتورها استفاده نمایند.

با این حال هرچه ورود اطلاعات پزشکی به بازار سیاه بیشتر شود، ارزش داده‌های دزدیده شده کاهش می‌یابد که دلیل آن بسیار ساده است: عرضه و تقاضا. در مقایسه می‌توان گفت، اطلاعات پزشکی معمولا به شکل قابل ملاحظه ای ارزش بالاتری نسبت به داده‌های کارت‌های اعتباری افراد دارند. اگرچه یک شماره امنیتی اجتماعی در بازار زیرزمینی ۲۵ سنت فروخته می‌شود و یک شماره کارت اعتباری می‌تواند به قیمت ۱ دلار عرضه شود، یک رکورد پزشکی جامع می‌تواند امکان انجام یک عمل جراحی مجانی به قیمت ۱۰۰۰ دلار را به همراه داشته باشد که در اینترنت (بازار) سیاه یک کالای داغ است.

ردیابی هک ها

بخش مراقبت درمانی، در کنار سیستم‌های بخش دولتی که داده‌های مرتبط با حوزه بهداشت را مدیریت می‌کنند، به سبب داده‌هایی که شامل می‌شوند، بیشتر از گذشته هدف جرایم سایبری قرارمی‌گیرند این داده ها بازه شماره‌های امنیت اجتماعی تا شماره شناسه خدمات بیمه ای را در بر می‌گیرد.

علاقه مندی مجرمان سایبری به داده‌های سلامت همچنین نشان دهنده افزایش خطر در بخش‌های مختلف دولتی- همانند سیستم‌های بهداشت عمومی ‌که شامل داده‌های مرتبط با سلامت هستند- می‌باشد.

سیستم‌های دولتی به دو دلیل مشخص، جالب توجه می‌باشند. اول، به این دلیل که آسیب پذیر ترند چرا که سیستم‌های قدیمی‌تری هستند و نرم افزار‌های قدیمی‌تر، با سطح امنیت پایین تری را اجرا می‌کنند. دوم، به سبب اطلاعات ارزشمندی که در خود دارند از جمله شماره امنیت اجتماعی، اطلاعات هویتی فرد، مراقبت‌های درمانی، اطلاعات مالی و دیگر داده‌هایی که برای دزدان هویت قابل استفاده اند.

قدم‌هایی که باید برای پیشگیری برداشته شود

عده ای از فعالان حوزه امنیت معتقدند که میزان حملات به سیستم‌های اطلاعاتی در حوزه مراقبت درمانی به نرخ هشدار دهنده ای رسیده است. این درحالی است که سازمان‌های مرتبط تلاشی برای بهبود امنیت در پاسخ به این خطرات در حال رشد نمی‌کنند. حقیقت این است که در بخش مراقبت‌های درمانی منابع ناکافی به امنیت سیستم‌های اطلاعاتی اختصاص داده شده است. بیش از نیمی ‌از سازمان ها کمتر از ۳ درصد از بودجه IT خود را به حفاظت اطلاعات اختصاص داده اند و تقریبا نیمی ‌از آنها مسئول یا مدیری تمام وقت در حوزه امنیت اطلاعات ندارند.

 

سازمان‌های مراقبت درمانی چگونه برای مقابله در برابر این خطرات در حال رشد و جدید آماده می‌شوند؟

متخصصین و خبرگان گام‌هایی حیاتی را برای بهبود دفاع و تشخیص حملات بیرونی پیشنهاد داده اند.

بازدارندگی، پیشگیری، ردیابی و واکنش هر کدام جایگاه خود را دارند. به گفته خبرگان امنیت، غالبا پیشگیری به ردیابی و واکنش ترجیح داده می‌شود، اما هیچ سازمانی بدون جمع آوری داده ها نمی‌تواند در تشخیص و واکنش به صورت موفقیت آمیز عمل کند. اخطارها، بازرسی ها، تحقیق و بررسی همگی نیازمند اطلاعات زمینه ای برای تشخیص بازیگران بد و تعیین اثربخشی کنترل مورد نیاز، هستند.

هشدارها و اخطار ها باید به گونه ای طراحی شوند که توان تشخیص دنباله ای از رخداد ها که به صورت بالقوه عواقب منفی به همراه دارند را در خود داشته باشند. روش‌های آماری و تشخیص ناهنجاری مشخصا می‌توانند در این خصوص به خوبی عمل کنند، همچنین مکانیزم‌های تشخیص مبتنی بر قانون می‌توانند مفید باشند.

اما هشدارها تنها باید برای موارد «قابل عکس العمل» که امکان پیگیری آن برای تیم امنیت و فناوری اطلاعات محیاست، تنظیم گردد. تعداد زیاد اخطار ها می‌تواند تاثیر معکوس بر روی تشخیص رخنه و نفوذ داشته باشد. به عنوان مثال، اگر «سطح نویز» خیلی بالا باشد، هشدار‌هایی که نشان دهنده رخنه‌های ممکن هستند ممکن است در بین دیگر هشدار‌های مربوط به رخداد‌های غیر قابل اجرا ندید گرفته شوند.

اطلاعات امنیتی و ابزار‌های مدیریت رخداد یا مدیریت سابقه فعالیت، می‌تواند تلاشها در جهت جمع آوری داده را تسهیل نماید. برای تاثیر بیشتر، پیشینه بازرسی ها (گزارشات) باید از جزئیات در سطحی مناسب برخوردار باشند تا آستانه اتلاف قابل تشخیص باشد.

علاوه بر راه اندازی ابزارهای فناوری برای کمک به دفاع و تشخیص نفوذ، تعیین رسمی ‌نقش افراد و تفویض مسئولیت برای پاسخگویی به رخداد ها دارای اهمیت بالایی است. سازمان ها موظف به مستند سازی روالهایی هستند که برای زمان بروز رخداد معین شده اند و نیز باید به صورت دوره ای این روال ها را تست نمایند. سازمان مراقبت‌های درمانی که  اطلاعات پزشکی را جمع آوری، ذخیره و بازیابی می‌کند، باید از افزایش درخواست ها برای دستیابی به داده‌های حفاظت شده و پیشرفت ها در حوزه تهدید‌های ممکن مطلع باشد. اهمیت آموزش کارکنان در موضوع امنیت سایبری برای ایجاد سیستم دفاعی پیشرفته تر، به ویژه برای سیستم‌های پزشکی قدیمی‌تر و آسیب پذیر تر روز به روز رو به افزایش است.

از دیدگاه متخصصین، پاسخ به رخنه‌هایی که در سیستم‌های مراقبت درمانی صورت می‌گیرند مانند حملات کلاهبرداری مالی است و نیاز به راهکارهای دفاعی چند لایه دارد. این بحث تنها در حوزه یک  تکنولوژی نمی‌گنجد. برای دفع این حملات پیچیده و سازمان دهی شده نیاز به چندین تکنولوژی داریم. اینترنت یک باتلاق در حال گسترش است، بررسی گزارشات امنیتی استاندارد دیگر کافی نیست. ما نیازمند مدیریت رخدادها در زمینه اطلاعات امنیت مجتمع هستیم که پیشینه‌های شبکه، کاربران، برنامه ها و سرور ها را در کنار هم داشته باشد و در جستجوی ارتباطات غیر قابل تشخیص باشد.

 

منابع

[۱]. “Deceased Patient Data Being Sold on Dark Web”, ۱۱ July, 2018, https://threatpost.com/deceased-patient-data-being-sold-on-dark-web/133871

[۲]. “A deeper dive into healthcare hacking and medical record fraud”, ۱۸ July, 2018, http://cynerio.co/healthcare-hacking-medical-record-fraud/

[۳]. “Why Hackers Are Targeting Health Data”, ۷ July, 2014, https://www.databreachtoday.asia/hackers-are-targeting-health-data-a-7024