Техасский центр рака оштрафован на $ 4,3 млн за утечки данных

22/06/2018

Хьюстон (AP). Федеральные должностные лица здравоохранения приказали Университету штата Техас MD Cancer Center заплатить штраф в размере 4,3 миллиона долларов США за то, что он не смог обеспечить безопасность данных.

Хьюстонская хроника сообщает, что Департамент здравоохранения и социальных служб США объявил в понедельник, что отказ MD Anderson зашифровать  медицинские записи нарушил закон о конфиденциальности пациентов от 1996 года, известный как Закон о переносимости и подотчетности медицинского страхования (Health Insurance Portability and Accountability Act -HIPAA).

Дело включает три инцидента, произошедшие в 2012 и 2013 годах, когда устройства центра были либо украдены, либо потеряны, что потенциально может поставить под угрозу медицинские записи 35 000 человек. Управление расследования гражданских дел в отношении нарушений данных обнаружило, что центр не полностью зашифровал все свои устройства за это время.

М.Д. Андерсон утверждал, что центр не подпадает под требования шифрования, поскольку информация о здоровье используется для исследования.

А теперь вопрос.

Ну нельзя же не думать о том, что пронесет еще раз. Ведь жареный петух клюнул уже дважды. Ждать третий раз? Не понимаю. Прошло 6 лет, а шифрование полностью так и не внедрено, хотя сегодня это уже реализовано прямо в операционной системе. Не знаю, как это назвать? Пофигизм? Тогда точно за него нужно расплачиваться. А как думаете вы? Или тоже ждете когда вас оштрафуют?

 

Реклама

Часовые ремешки Montblanc могут использоваться для бесконтактных платежей

22/06/2018

Mont

Рынок мобильных кошельков стал популярным из-за повышенного интереса к технологии NFC, и сегодня создаются предпосылки для создания надлежащей инфраструктуры, которая позволит и побудит пользователей отказаться от наличных платежей.

Читать далее…


Сказки о безопасности: Футбольное пиратство

22/06/2018

http://www.itweek.ru/themes/detail.php?ID=201797 

— Карл, вы понимаете, что на носу Лига чемпионов? Вы понимаете какие убытки мы несем из-за пиратских трансляций матчей? Что вы предлагаете?

— Господин президент, наши программисты написали приложение для футбольных болельщиков, которое может записывать их разговоры и отслеживать их местоположение для борьбы с пиратскими трансляциями матчей. Но нас ведь обвинят в нарушении прав пользователей!

— А вот это уже задача для юристов и пиарщиков. Нужно сделать так, чтобы либо не обвинили, либо обвинили уже потом, после трансляции! Вам все понятно? Выполняйте!

Прошел месяц.

Благодаря отслеживанию и оперативной блокировке пиратских трансляций Лиги чемпионов принесла телевизионщикам рост прибыли на 25%. Вместе с тем в прессе поднялась волна по поводу того, что прослушка была незаконной. Авторы программы были вынуждены подтвердить факт записи разговоров и отслеживания геолокации. Но суд встал на их сторону, ведь при установке на Android-смартфоны приложение запрашивало разрешение на доступ к микрофону и определению местоположения. А пользователи сами с этим соглашались, значит никто никого не обманывал.

— Господин президент, ваше задание выполнено! Все получилось, как вы и говорили. Мы успешно справились с заданием. На носу Чемпионат мира по футболу. Продолжаем?

— Безусловно! Можно было и не спрашивать!

Это, увы, не сказка! Такое программное обеспечение для борьбы с пиратскими трансляциями матчей успешно применяется в Испании, сообщает издание El Pais.


Женщина из Вестервилля получила несколько факсов с личной медицинской информацией пациентов (WSYX / WTTE)

22/06/2018

WESTERVILLE, Огайо — Элизабет Спилкер могла бы узнать о вас куда больше, чем вы думаете. Примерно год местная больница отправляла на ее домашний факс личные медицинские записи других людей.

По ее словам, она получала регулярные факсы последний год или около того из Медицинского центра Гранта (Grant Medical Center), в которых содержалась личная информация других пациентов.

В получаемых факсах содержались имя, вес, возраст, медицинская проблема, история, список лекарств, то есть практически все, что вы хотели бы знать.

Больше всего это похоже на то, что кто-то кладет конфиденциальные документы на факс и просто уходит.

Спилкер говорит, что она попробовала позвонить по номеру на факс — Medical Center Heart Disease Management Office — даже главному менеджеру больницы, но безрезультатно. Она даже отправила по факсу записку в этот офис, попросив их прекратить отправлять ее по факсу, но проблемы продолжались.


Сказки о безопасности: Следящая реклама

20/06/2018

http://www.itweek.ru/themes/detail.php?ID=201750

Настало лето. Несмотря на ранее утро, уже было жарко. Но это лишь свидетельствовало о том, что днем жара будет просто невыносимой. Именно в такие утренние часы Иоганн любил прогуляться по тенистому парку, идя на работу. Тишина и пение птиц всегда помогали ему настроиться с утра. Это утро не было исключением.

— Шеф, вам с утра кофе со льдом и мороженным? Или сок со льдом?

— А вы что будете, Софи?

— Я? Я, наверное, буду кофе с мороженным!

— Тогда два кофе и давайте посмотрим, что у нас на сегодня запланировано.

— Шеф, я так и думала. Вот кофе, сейчас принесу планшет и скажу, что у вас на сегодня.

— Софи, что тебя тревожит? Ты какая-то сегодня не такая! Не улыбаешься как обычно.

— От вас ничего не скрыть. Действительно, я сегодня хотела подойти к Максу и Рите, у меня проблема.

— Та-а-ак! Зови их сюда и приготовь, пожалуйста, черный кофе для Макса и стакан апельсинового сока со льдом для Риты. Будем думать над твоими проблемами вместе.

Прошло 10 минут.

— Шеф, вызывали?

— Не вызывал, а просил зайти! У нашей Софи проблемы. Я просил бы вас ей помочь. Рассказывайте, Софи!

— Как вы помните, неделю тому назад моя мама попала в аварию. Сейчас она лежит в императорском военном госпитале, в отделении политравмы.

— Конечно помним, как она себя чувствует, кстати? С ней все хорошо? Помощь нужна?

— Спасибо, шеф! С ней все хорошо, она уже почти в порядке. Она ведь отделалась ушибами и легким сотрясение мозга. Скоро уже выпишут. Но проблема не в этом. Ей, а чуть позже и мне, стала приходить реклама разных юридических фирм, специализирующихся на подобных травматических случаях. И это сильно напрягает. Нам не нужны их услуги, так как согласно указа императора, юридическую помощь служащим военных и силовых структур и их семьям бесплатно оказывает армейская юридическая служба. А мы считаемся военнослужащими. Я не могу понять, откуда у них мамин, а тем более мой номер телефона? Неужели это утечка из госпиталя.

— Ты не запрашивала госпиталь?

— Только неофициально побеседовала с их руководителем информационной безопасности. Я училась с его братом. Он клянется, что у них все в порядке.

— Макс, бери своих ребят и займись этим делом. Что-то мне подсказывает, что все весьма серьезно. И проверьте не только этот госпиталь.

Прошло две недели.

— Шеф! Увы, вы правы. Реально пациенты по всей империи получают подобные рассылки. Мы заехали в ряд юридических компаний чтобы выяснить, откуда они получают данные. Оказалось, что они используют технологии геофенсинга и геотрекинга, ориентированных на пациентов больниц, травмпунктов и т. д.

После того, как человек вошел в подобное учреждение, он автоматически попадает в маркетинговый таргет-список юридической компании, которая предоставляет услуги юристов при получении травм, после чего все его мобильные устройства в течение месяца будут получать рекламные объявления от этой юридической компании. Невероятно, но такая практика, оказывается, не противоречит законам империи. Такие методы уже использовались розничными продавцами в последние годы, но теперь очередь дошла до больниц, а потому можно говорить о том, что мы имеем дело с вторжением в конфиденциальные вопросы медицинского статуса людей и их здоровья.

— Что мы можем предложить уже сегодня? До того, как империя примет соответствующий закон?

— Только применять VPN. Использование такого сервиса позволяет вам скрывать ваше местоположение, а потому никто не будет знать, где находился ваш сотовый телефон в определенный момент.

— Ну что ж, Софи, готовьте заявление для прессы и готовьтесь выступить с ним на телевидении. Граждане империи должны чувствовать себя в безопасности!

Вы считаете это фантастика? Совсем нет! Подобная ситуация уже стала реальностью в штате Филадельфия (США).


Угрозы безопасности: угроза автомобильным инновациям

19/06/2018

Темп инноваций в автомобильной промышленности просто захватывает. Еще десять лет назад сама концепция легковых и грузовых автомобилей без водителя-человека считалась научной фантастикой. А сегодня это уже обычное явление на дорогах всего мира.

Многие из этих нововведений носят поистине революционный характер. Умные автомобили позволяют экономить топливо, снизить загруженность и аварийность на дорогах. Однако вместе с тем, в конкурентной борьбе за то, чтобы вывести на рынок все больше и больше подключенных автомобилей крайне важно чтобы производители не пропустили основы кибербезопасности и не поставили под угрозу безопасность автомобилей и пользователей.

До этого времени законодатели и производители приоритетное внимание уделяли физической безопасности автомобильных технологий. А теперь пришло время сосредоточиться на кибербезопасности.

Основные угрозы автомобилю – физическая и кибер.

С точки зрения любого специалиста по безопасности автомобиль это еще одна сложная система, которая становится все более связанной с целью повышения эффективности и удобства клиентов. Проблема, которая при этом создается – все больше возможностей подключения, что означает больше векторов атаки и больше возможностей для хакеров.

С точки зрения безопасности вызывает озабоченность физическая безопасность, ведь если системы управления транспортными средствами могут использовать удаленные соединения, то всегда есть вероятность, что они открыты для взлома, что означает немедленную и неприемлемую опасность для водителей, пассажиров и других участников дорожного движения. Например, три года назад американский производитель автомобилей Chrysler выпустил официальное предупреждение о 1,4 миллионах автомобилей в ответ на уязвимость программного обеспечения, которая позволила исследователям полностью контролировать автомобиль по воздуху. Удивительно, но этот инцидент, похоже, не ослабил желания потребителей в отношении большей автоматизации и интернет-услуг в их транспортных средствах, или скорости, с которой производители автомобилей хотят их производить.

Второй областью, требующей повышенного внимания, является конфиденциальность личных данных. Автомобили становятся все более ценными генераторами персональных данных. GPS-навигационные системы регистрируют поездки, чтобы сократить время, затрачиваемое на трафик, дилеры предупреждаются, когда достигнуты интервалы обслуживания, и страховые компании могут отправить помощь по первым показаниям серьезной аварии. Производители также собирают данные об использовании транспортных средств для улучшения будущих проектов.

Проблема, стоящая перед производителями автомобилей, заключается в том, что многие из этих систем не были разработаны с учетом безопасности, поскольку они никогда не предназначались для подключения к внешним коммуникациям. Однако в современных автомобилях мы находим GSMA, Bluetooth, WiFi и другие беспроводные технологии — не говоря уже о портах USB — повсеместно и могут предоставлять шлюзы для критически важных систем управления. Универсальная CAN-шина, которая управляла автомобильными компонентами в течение двух десятилетий, оказалась особенно сложной для защиты и изоляции. Действительно, непреднамеренное разоблачение CAN-шины позволило атаковать автомобили Chrysler. Исследователи не только смогли получить доступ к CAN-шине через мультимедийный блок управления, который был теоретически изолирован от CAN-шины, но и для установки индивидуальной прошивки без разрешения.

Усиление мер кибербезопасности

В результате производители сегодня гораздо более чувствительны к проблемам безопасности, чем три года назад, а в октябре 2017 года 15 членов Европейской ассоциации автопроизводителей (ACEA) одобрили набор шести принципов кибербезопасности. Эти обязательства являются весьма обнадеживающими и включают принятие подхода к жизненному циклу кибербезопасности для развития транспортных средств, а также обмен информацией между субъектами промышленности для решения новых угроз по мере их возникновения.

Руководящие принципы ACEA должны приветствоваться как введение в концепцию «безопасного проектирования» для автомобильного мира.

Возможно, именно поэтому в январе 2018 года исследователи все еще могли показать, что электронный блок управления (ECU) в ряде недавно построенных автомобилей от разных производителей был восприимчив к удаленному взлому через беспроводные сети даже при выключенном двигателе.

Есть уроки, которые отрасль может извлечь из других секторов. Методы, которые регулярно разворачиваются в корпоративных сетях для выявления и карантина аномального поведения, — определение атак раньше, другими словами, должны быть разработаны для конкретных взаимодействий внутриавтомобильной сети. Также важно, чтобы производители разрабатывали культуру постоянного тестирования и упрочнения их защиты до и после выпуска продукта.

Когда дело доходит до интеграции подключенных систем с системами управления транспортными средствами, требуется лучшее понимание того, как сегментировать сетевые функции и защищать устаревшие системы, и в то же время получать доступ к данным, которые будут стимулировать инновации.

Что касается рисков, связанных с сбором персональных данных в современных автомобилях, то производители должны вкладывать больше средств в образование потребителей по своей продукции. Сегодня водители могут даже не знать, что данные о поездке собираются и хранятся «умными» компонентами в их транспортных средствах, поскольку пользовательские соглашения и условия часто зарыты в конце руководств.


Сказки о безопасности: Уязвимый смартфон

19/06/2018

https://www.itweek.ru/security/article/detail.php?ID=201725

— Комиссар, вы просили отследить передвижения Кроули? Увы, но мы можем это сделать только с точностью 100-200 м. Через сотовые вышки. А за городом точность будет еще ниже, там вышки реже.

— Увы, это хорошо, но недостаточно. Нам нужно точнее. Подумайте, как мы можем это сделать.

— Комиссар, а каким телефоном он пользуется?

— Стажер, ты что-то придумал?

— Кажется да. Но нужно точно знать модель его аппарата. Вы знаете его номер?

— Конечно. Но что нам это дает?

— Как что? Мы узнаем IMEA аппарата и узнаем его модель.

— А дальше что?

— А вот дальше я скажу, только если сумею что-то сделать. Мне нужна модель.

— Марк, чего ты стоишь? Мигом дай срочный запрос в компанию сотовой связи!

Прошло полчаса.

— Комиссар, что они сказали?

— Смартфон А07 от компании S. Что нам это дает?

— Сейчас попробуем. О! Нам везет. Эта модель есть в списке.

— Стажер, ты крови моей хочешь? Что за список!

— Короче, комиссар, мы можем подсунуть удаленно на это смартфон вредоносное ПО, которое не только передаст нам координаты устройства, но и по команде включит микрофон, что позволит нам слушать что творится вокруг.

— Стажер, а можешь пояснить что это и как, — подал голос начальник отдела технических средств.

— Конечно. На данном аппарате открыт по умолчанию порт отладки, что позволит нам удаленно подключиться к аппарату. Более того, поддерживается отладка по Wi-Fi.

— А он что, не знает об этом?

— Конечно нет! Более того, десятки тысяч подобных устройств сегодня работают в сети.

— Тогда за дело!

Буквально через день троян был удаленно установлен на нужный смартфон. Задача была решена.

Это совсем не фантастика. В настоящее время на рынке доступно огромное количество уязвимых устройств.