Microsoft advarer hospitaler om at løse potentielle sikkerhedsrisici

Computereksperter på hospitaler arbejdede ihærdigt i onsdags for at løse en alvorlig ny sikkerhedssårbarhed i ældre versioner af Windows-operativsystemet, som stadig bruges i mange sundhedsenheder, selvom Microsoft ikke aktivt har understøttet den ældre software i årevis.

Julie Flaschenriem, informationschef hos Hennepin Healthcare, sagde Minneapolis sundhedssystem aktiverede et kommandocenter tirsdag aften, da nyheden om sårbarheden brød ud. Fra onsdag d. holdet arbejdede gennem sin prioriterede liste over handlingspunkter for at sikre ældre enheder, der kræver opmærksomhed.

"Vi ved – og hele verden ved – at der er mennesker derude, som forsøger at udnytte denne. Og enhver organisation her omkring, uanset om det er sundhedspleje eller andre ting, forsøger at forhindre det, " sagde Flaschenriem, som har haft informationsteknologiroller i flere sundhedssystemer i tvillingebyerne. "Vi har alle visse risici omkring dette, som vi arbejder på at afbøde ... Fordi dette er sket nok nu, vi har planer på plads, som vi kan sammensætte og begynde at arbejde på, så snart noget som dette sker."

På tirsdag, Microsoft begyndte at opfordre brugere af ældre operativsystemer til straks at installere sikkerhedsrettelser eller tage andre skridt for at sikre sig mod en sårbarhed, der kunne udnyttes og hurtigt sprede globalt kaos, som det skete i 2017 med det såkaldte "WannaCry" ransomware-angreb.

I det tilfælde, angrebet viste sig at være ødelæggende, selvom sikkerhedsopdateringen til at rette det havde været tilgængelig i flere måneder. WannaCry påvirkede tusindvis af upatchede computere verden over, nedbringer hospitalsnetværk i Det Forenede Kongerige og forårsager aflysningen af ​​19, 000 lægesamtaler der for to år siden.

"Nu hvor jeg har din opmærksomhed, det er vigtigt, at berørte systemer lappes så hurtigt som muligt for at forhindre et sådant scenarie i at ske, "Simon pave, direktør for hændelsesrespons hos Microsoft Security Response Center, skrev i et blogindlæg tirsdag. "Vi tager det usædvanlige skridt at levere en sikkerhedsopdatering til alle kunder for at beskytte Windows-platforme, inklusive nogle versioner af Windows, der ikke understøttes."

På tirsdag, Microsoft afslørede en "zero day"-sårbarhed i ældre operativsystemer, der har en funktion kaldet "remote desktop protocol". RDP er systemet, der lader en bruger fjernstyre en computer, som når en virksomheds helpdesk-personale tager kontrol over en computer på afstand, mens de fejlfinder et problem.

Sårbarheden anses for at være "højst sandsynlig" inkorporeret i malware i den nærmeste fremtid, at dømme efter Microsofts proprietære risikoscore og CVSS basisrisikoscore på 9,8. (CVSS er en skala fra 1-10, med højere tal, der repræsenterer mere alvorlige sikkerhedsrisici.)

Sårbarheden, som endnu ikke er blevet udnyttet af ondsindede hackere, kræver ingen brugerinteraktion og kan nemt spredes mellem upatchede computere på et netværk, ligner WannaCry malware.

"Det, der gør den her så farlig, er, at du ikke behøver nogen adgang, " sagde Jeremy Sneeden, en leder i trussels- og sårbarhedshåndteringsafdelingen hos Allina Health, som ejer og driver 13 hospitaler i Minnesota og Wisconsin. "Mange sårbarheder, du har brug for et brugernavn og en adgangskode, eller en form for adgang til maskinen, at få sårbarheden til at fungere. Men disse – jeg gætter på, at de kalder dem 'ormbare' nu – de behøver ikke legitimationsoplysninger, og det er derfor, de spreder sig så hurtigt."

Sneeden sagde, at Allina håndterede sårbarhedsmodforanstaltninger onsdag som en del af sit normale computersikkerhedsarbejde, som indebærer konstant at lede efter sårbarheder og prioritere dem, der skal løses først. Selvom Allina har mere end 35, 000 arbejdsstationer og stationære computere, de fleste af dem kører allerede på nyere versioner af Windows, der ikke er berørt.

Cybersikkerhedssårbarheden (som går under det tekniske navn CVE-2019-0708) påvirker ældre operativsystemer, som Microsoft stadig aktivt understøtter – inklusive Windows 7, Windows Server 2008 R2, og Windows Server 2008 – såvel som systemer, der ikke længere aktivt understøttes, inklusive Windows 2003 og Windows XP.

Microsoft siger, at patchen automatisk vil blive installeret på understøttede maskiner, hvis brugeren eller netværksadministratoren har aktiveret automatiske opdateringer. Opdateringerne til ikke-understøttede maskiner er tilgængelige fra Microsoft Windows Security-support – ligesom programrettelserne til WannaCry-sårbarheden var tilgængelige før det store angreb.

"WannaCry var et wake-up call for alle i sundhedsvæsenet; alle, jeg taler med, udtrykker det sådan, " sagde med-tech cybersikkerhedsekspert Ben Ransford, den Seattle-baserede administrerende direktør for Virta Labs. "Men det er to år siden, og mange sundhedsorganisationer vrider stadig deres hænder i forsøget på at finde ud af, hvad de skal gøre ved ulappet udstyr. De har haft god tid til at få orden på deres huse efter tætte samtaler med WannaCry, og de fleste har ikke, på trods af de bedste anstrengelser fra deres overbeskattede arbejdere, selv på tophospitaler."

Sårbarheden er ikke specifikt rettet mod sundhedsorganisationer som hospitaler.

Imidlertid, hospitaler kan bruge ældre softwaresystemer, fordi det kan være dyrt og tidskrævende at lave opdateringer på maskiner, der er mobile og bredt fordelt på et hospitalscampus. Også, opdatering af software kan forårsage utilsigtede konflikter og fejl andre steder i et hospitals sammenkoblede it-infrastruktur, hvilket kan være risikabelt, fordi så mange kritiske maskiner kører på et hospitalsnetværk.

Informationsteknologipersonale hos Hennepin Healthcare og Allina har begge truffet særlige foranstaltninger tidligere for at beskytte sårbare biomedicinske og diagnostiske maskiner ved at isolere dem i computernetværk, så de kun kan kommunikere med det mindste antal systemer for at fungere korrekt, blandt andre forholdsregler.

Software i langtidsholdbare sundhedsmaskiner og implanterbare enheder er ofte ældre, end forbrugerne er vant til, fordi det tager så lang tid at få nyt medicinsk udstyr godkendt og installeret på et hospital. For eksempel, det kan tage år at få en ny MR-scanner på markedet og ind på hospitalet, hvilket betyder, at når systemet er klar til at blive installeret, det underliggende Microsoft-operativsystem er muligvis allerede gammelt.

"Jeg tror, ​​at enhver sundhedsorganisation har det problem, " sagde Sneeden. "Det virkelige problem er, at det tager producenterne af medicinsk udstyr så lang tid at få udstyret godkendt, at når de bliver godkendt og købt og sat ind, ofte er operativsystemerne ældgamle. Og de nye er ikke godkendt. Så vi kan bogstaveligt talt ikke gøre noget ved det her."

©2019 Star Tribune (Minneapolis)
Distribueret af Tribune Content Agency, LLC.