Проведение пентеста для
медицинской организации

Обеспечение защиты данных пациентов

В мире, где цифровая трансформация в здравоохранении становится все более актуальной, защита данных пациентов является приоритетом для любой медицинской организации. Врачи, клиники и больницы теперь обрабатывают огромное количество чувствительных данных, включая медицинские карты, результаты анализов и персональную информацию пациентов. Утечка или несанкционированный доступ к этим данным может привести не только к юридическим последствиям и огромным штрафам, но и к потере доверия со стороны пациентов и общественности.
Однако многие медицинские учреждения считают, что их системы уже достаточно защищены, что часто бывает далеко от истины. Медицинские организации — одни из самых уязвимых для кибератак. Электронные медицинские карты, базы данных пациентов, информация о платежах — все эти данные имеют высокую ценность для злоумышленников. Несмотря на это, многие медицинские центры и лаборатории недооценивают необходимость профессиональной проверки своей безопасности.

Основные риски
1. Утечка данных пациентов, включая медицинские карты, истории болезней, результаты обследований диагнозы и личные сведения.
2. Нарушение работы информационной системы, что может привести к сбоям в записи на приём и обработке медицинских данных.
3. Финансовые потери из-за возможного шантажа или штрафов за несоответствие требованиям законодательства

В этой статье мы расскажем о проведении тестирования на проникновение (пентеста) для одной крупной медицинской клиники, в ходе которого наша компания помогла выявить критические уязвимости в ее информационных системах и обеспечить безопасность систем хранения данных и онлайн-сервисов для пациентов от потенциальных атак.

Проблема: Защита данных пациентов и повышение уровня информационной безопасности

Медицинская организация работающая с большим количеством чувствительных данных клиентов, обратилась к нам с просьбой провести тестирование на проникновение (пентест). Учитывая частые инциденты с утечками данных в медицинской отрасли, клиника не могла позволить себе рисковать безопасностью клиентов. Нарушение конфиденциальности могло привести не только к юридическим последствиям и штрафам, но и подорвать доверие пациентов, что крайне важно для репутации любой медицинской компании. Организация понимала, что для обеспечения надежной защиты данных необходимо провести полный анализ безопасности своих информационных систем. Проблема заключалась в том, что они не имели возможности провести такие работы с собственными силами, а наёмные специалисты не смогли бы обеспечить должный уровень экспертизы и многоуровневого подхода.
Главной задачей было обеспечение надежной защиты данных пациентов, получить четкое представление о состоянии безопасности своей IT-инфраструктуры и возможных угрозах, проверить, насколько уязвимы системы и удостовериться, что внутренние и внешние угрозы не смогут повлиять на функционирование сервисов и не привести к утечке данных пациентов.

Почему выбрали нас?
Накопленная экспертиза: команда специалистов с опытом проведения глубоких пентестов и анализа уязвимостей.
Широкий состав работ: полный спектр услуг по пентесту, от анализа защищенности веб- и мобильных приложений до тестирования на проникновение локальной сети и внешниего периметра сети.
Гибкая стоимость услуг: индивидуальный подход, учитывающий потребности и особенности клиента.
Портфолио успешных проектов: наш опыт и успешные кейсы с аналогичными задачами.
Техническое соответствие: полное соответствие требований технического задания и предложенной методологии.
Клиенту важно было не только оценить уровень защищенности, но и на основе результатов выработать меры по устранению всех рисков. В этом контексте мы приступили к тестированию.

Решение
Для того чтобы обеспечить максимально глубокий и детализированный анализ всех уровней безопасности, мы подошли к тестированию с учетом всех возможных угроз и векторов атак, используя разнообразные методы и подходы. Мы выбрали несколько направлений для проверки, каждое из которых отвечало специфике IT-инфраструктуры медицинской организации:
– Анализ защищенности веб-приложения клиники (веб пентест)
– Тестирование на проникновение внешнего периметра сети клиники (внешний пентест)
– Тестирование на проникновение локальной сети клиники (внутренний пентест)
– Анализ защищенности мобильного приложения клиники (пентест мобильных)
– Тестирование на проникновение беспроводной сети клиники (пентест wi fi)
– Моделирование фишинговой атаки на клинику (фишинг)

Этапы проведения тестирования на проникновение:
1. Подготовка и анализ инфраструктуры
Мы начали с определения границ тестирования, согласовав их с клиентом. Проверке подверглись:

– медицинская информационная система (МИС);
– веб-приложение для записи пациентов (сайт клиники);
– внутренняя корпоративная сеть;
– внешняя сетевая инфраструктура;
– беспроводная сеть для сотрудников и гостей;
– мобильное приложение для пациентов;
– сотрудники клиники использующие в работе электронную почту.

2. Разведка
Этот этап является основой для всех дальнейших шагов.

На первом этапе мы сосредоточились на сборе информации об организации через открытые источники. Провели детальную разведку внешних и внутренних ресурсов компании. Основное внимание было уделено доменам, поддоменам и сервисам, доступным из Интернета. Это позволило нам составить карту сети клиники, определить домены и сервисы, которые могут стать потенциальной целью для злоумышленников. На этом этапе мы использовали инструменты для разведки, которые позволяли нам собрать доступную из открытых источников информацию о целевой инфраструктуре: доменные имена, IP-адреса, используемые технологии и типы сервисов, развернутых в сети.
Например, в процессе анализа мы обнаружили несколько публичных документов, связанных с медицинскими системами компании, содержащих метаданные с информацией о программном обеспечении, сетевых структурах и другие технические детали. На этапе разведки наши специалисты изучили внешние и внутренние элементы инфраструктуры, собрав данные о серверах, приложениях и используемых в клинике программных продуктах, что позволило наметить потенциальные векторы атак.

3. Анализ защищенности веб-приложения

Особое внимание было уделено анализу защищенности веб-приложения. Одной из первых задач было исследовать, насколько эффективно защищены формы ввода, с помощью которых пользователи передают данные, такие как логины, пароли и информацию для записи на прием.Наши специалисты проверили правильность работы механизма сессий, безопасности запросов, а также исследовали возможность обхода механизмов защиты (например, CSRF). Мы использовали как автоматизированные инструменты, так и ручное тестирование для поиска уязвимостей в приложениях, таких как SQL-инъекции, XSS-уязвимости, уязвимости в аутентификации и другие. Автоматизированные средства, как всегда, давали неполную картину, а вот ручные методы анализа раскрыли целый ряд уязвимостей, которые могли бы быть использованы для атаки.

По результатам:
– Обнаружили несколько уязвимостей в логике обработки данных, которые могли бы позволить злоумышленникам вмешиваться в работу приложения.
– SQL-инъекция: нашли несколько точек, через которые можно было вставить SQL-код в поля ввода данных. Это позволило бы злоумышленнику получить доступ к базе данных компании, включая личные данные пациентов и истории их болезней. Это серьезно повышало риски утечек.
– XSS-уязвимость: В процессе тестирования на проникновение мы смогли внедрить вредоносный JavaScript в несколько полей на сайте. Это позволило бы потенциальному злоумышленнику украсть сессионные куки и получить доступ к учетным записям пользователей.
– Ненадежные механизмы аутентификации: Мы также выявили проблему с сессионными токенами, которые не обновлялись должным образом после авторизации. Эта уязвимость сделала систему уязвимой к атаке с использованием кражи сессионных токенов.
Анализ защищенности API
На этом этапе мы исследовали API, через которое устройства взаимодействуют с веб-приложением для мониторинга данных о пациентах. В API были несколько незащищенных точек доступа, через которые можно было бы запросить информацию о пациентах без предварительной аутентификации.
Неавторизованные запросы: В некоторых API-эндпоинтах не было реализовано правильное разграничение прав доступа. Мы смогли получить информацию о пациентах, не имея доступа к системе, что ставило под угрозу конфиденциальность данных.

4. Анализ защищенности мобильного приложения
В медицинской центре использовалось мобильное приложение для взаимодействия с пациентами. Мы провели тестирование как iOS, так и Android приложений, проверив их на наличие уязвимостей, которые могли бы быть использованы для получения доступа к данным пациентов или для манипуляции с ними. В процессе анлиза защищенности мобильного приложения мы использовали комбинированный подход по автоматизированному и ручному тестированию, с целью выявить уязвимости в передаче данных, механизмах авторизации и аутентификации, а также в обработке личной информации пользователей.
Мобильное приложение использовало старые версии библиотек и не включало безопасного механизма шифрования данных на устройствах пользователей. Это ставило под угрозу не только данные, передаваемые по сети, но и локальные данные пользователей, например, информацию о результатах медицинских анализов и других чувствительных данных, а также содержало уязвимости в коде, что позволило бы злоумышленникам изменять запросы и внедрять вредоносные скрипты.
Особое внимание мы уделили безопасному хранению данных в приложении, проверке механизма аутентификации и возможности перехвата данных при передаче через небезопасные каналы связи. Мы обнаружили несколько уязвимостей в коде мобильных приложений, которые позволяли бы злоумышленникам получить доступ к локально хранимым данным без должной авторизации.

5. Тестирование на проникновение внешнего периметра сети (внешний пентест)
Следующим шагом было тестирование внешней сети медицинского центра. Внешний периметр — это первая линия защиты от внешних атак. На этом этапе мы исследовали все публично доступные сервисы, включая почтовые серверы, VPN-сервисы и другие компоненты инфраструктуры. Проверили работу средств межсетевого экранирования и проверку сети на наличие открытых портов, доступных из сети сервисов и неправильных конфигураций.
Обнаружили несколько портов, открытых на устройстве, которые могли стать точками входа для злоумышленников, а также нашли устаревшие версии ПО на некоторых серверных хостах. Это создавало значительный риск, так как уязвимости в этих версиях могли позволить хакерам получить доступ к конфиденциальной информации.

6. Тестирование на проникновение локальной сети (внутренний пентест)
Как только мы завершили тестирование внешнего периметра, мы приступили к тестированию на проникновение локальной сети (внутренний пентест). Одной из ключевых задач было выявить уязвимости на уровне внутренней сети, потому что если злоумышленник уже попал внутрь, защитить систему становится гораздо сложнее. И как оказалось, у нас было несколько серьезных успехов.
Используя уязвимости в сетевых устройствах и службы, которые были настроены с недостаточной защитой, мы смогли симулировать атаку через внутреннюю сеть и получить несанкционированный доступ к важным данным. Более того, при анализе инфраструктуры мы выявили критические ошибки в политике управления правами доступа, которые позволяли злоумышленнику получить права администратора в Active Directory.
Так же обнаружили несколько серьезных уязвимостей, которые могли бы позволить атакующему получить доступ к ключевым серверам. В одном из случаев не были обновлены последние патчи на рабочих станциях персонала медицинского центра, что открывало возможность для эксплуатации известных уязвимостей. Мы использовали эти уязвимости для того, чтобы проникнуть в систему, но при этом всегда придерживались установленного с клиентом соглашения, чтобы не вызвать сбоев в работе.
Нашли несколько рабочих станций с необновленным ПО, включая устаревшие версии Windows, которые не поддерживаются больше, а также несколько устаревших принтеров, которые имели доступ к корпоративной сети.
Внутренняя сеть компании была плохо сегментирована, что позволяло злоумышленнику, получившему доступ к одной части сети, легко перемещаться по остальной части инфраструктуры, в том числе к системам с данными пациентов.

7. Тестирование на проникновение беспроводной сети (пентест wi fi)
В ходе тестирования беспроводных сетей компании было выявлено несколько проблем:
Отсутствие защиты WPA3: Корпоративная сеть использовала старый стандарт WPA2, что открыло бы возможности для атак. Мы смогли получить доступ к сети с помощью атак на уязвимости WPA2.
Недостаточная изоляция сети: Внешняя и внутренняя сети не были должным образом изолированы, что позволило бы злоумышленнику, подключившемуся к сети гостевой зоны, попытаться получить доступ к чувствительным данным.

8. Моделирование фишинговой атаки
Параллельно с техническим тестированием мы провели моделирование нескольких фишинговых атак на сотрудников медицинского центра, с целью оценить уровень их осведомленности в области безопасности. В рамках имитации фишинговой рассылки мы создали письма, которые выглядели как официальные уведомления от Министрества здравоохранения. Некоторые сотрудники кликнули на ссылку и загрузили вредоносное ПО, которое дало нам возможность зайти в их систему с правами пользователя.
Вторым этапом использовали настоящие корпоративные письма с подменой источников. Мы отправили фальшивые письма, имитирующие сообщения от технической поддержки, с просьбой обновить данные для входа в систему. Письма выглядели абсолютно реальными и содержали ссылки на страницы для ввода данных для “обновления паролей”. К сожалению, несколько сотрудников не заподозрили подвох и ввели свои данные на подставном сайте, что позволило нам получить доступ к их учетным данным.

Этот факт подчеркивает важность тренировки сотрудников и повышенной осведомленности в области киберугроз. На данном этапе мы предложили клиенту проводить регулярные тренировки для персонала, а также обновить политику безопасности, внедрить многофакторную аутентификацию для доступа к критическим системам.

Результат
По итогам проведения работ по тестированию на проникновение медицинской организации мы предоставили подробный отчет, который позволил организации четко понять свои слабые места и принять необходимые меры для устранения проблем безопасности, чтобы сохранить конфиденциальность, целостность и доступность критически важных ресурсов и обеспечить надежную защиту своих ИТ-активов.

Отчет включал в себя:
–Профессиональный технический отчет
Детальная характеристика всех проведенных нами тестов, обнаруженных уязвимостей рассортированных по уровню риска (оценка по методике Common Vulnerability Scoring System) с доказательствами обнаружения, подробными техническими выводами, оценкой вероятности использования уязвимости злоумышленниками, наиболее вероятными сценариями проведения атаки, степенью ущерба для бизнес-процессов компании и рекомендациями по работе над приоритетным устранением выявленных уязвимостей, организационных мерах и повышения осведомлённости технической команды медицинского центра.

-Заключение для руководителя
Информация к чему может привести эксплуатация обнаруженных уязвимостей в части их влияния на работу медицинскую организацию, краткое описание и экспертную оценку уровня защищенности и эффективности внедренных средств защиты изложенный понятным, нетехническим языком, предназначенное для понимания управления.

Выводы
Сотрудничество с нашей компанией позволило клиенту не только закрыть критические уязвимости, но и значительно повысить общий уровень безопасности. Мы не только помогли выявить и устранить критичные уязвимости, но и предоставили заказчику реальный план по улучшению безопасности данных. В результате работы наша команда помогла медицинской организации:

– Повысить уровень защиты как внутренних, так и внешних сервисов.
– Устранить угрозы, которые могли бы привести к утечке персональных данных пациентов.
– Улучшить осведомленность сотрудников и подготовить их к будущим угрозам.
По итогам тестирования компания значительно повысила уровень безопасности своей IT-инфраструктуры. Все уязвимости, которые были найдены, были успешно устранены, и организация теперь может уверенно работать с конфиденциальными данными пациентов, обеспечивая их защиту на всех уровнях.

ПОДЕЛИТЬСЯ