Thu. Sep 29th, 2022

미 국무부 재향 군인국(Department of Veterans Affairs)은 몇 가지 흥미로운 기술 프로그램을 운영하지만 민첩하거나 민첩한 조직으로 알려져 있지 않습니다.버지니아는 전자 의료 기록과 관련하여 느리지만 위험이 큰 드라마를 경험합니다. 몇 년 동안 연주.

이 부서의 레코드 플랫폼인 VistA는 1970년대 후반에 처음 설립되었으며 효과적이고 신뢰할 수 있으며 혁신적이라는 찬사를 받았지만 수십 년 동안의 투자 부족으로 인해 플랫폼이 침식되었습니다. 2010년대 전반에 걸쳐 VA는 VitA(Veterans Information Systems and Technology Architecture의 약자)를 상용 제품으로 대체할 것이라고 여러 번 밝혔으며 현재 그 노력의 최신 반복 작업을 진행하고 있습니다. 그러나 동시에 안전 연구자들은 환자 치료에 영향을 미칠 수 있는 VitA의 실제 안전 문제를 발견하고 있습니다. 그들은 이러한 문제를 VA에 공개하고 수정하고 싶지만 VitA 자체가 사형 선고를 받았기 때문에 아직 해결책을 찾지 못했습니다.

토요일에 라스베이거스에서 열린 DefCon 보안 컨퍼런스에서 의료 IT 분야의 배경을 가진 보안 연구원인 Zachary Minneker는 VitA가 내부 자격 증명을 암호화하는 방식의 우려할 만한 약점에 대한 연구 결과를 발표했습니다. Minneker는 네트워크 암호화의 추가 계층(예: 현재 웹에서 어디에서나 볼 수 있는 TLS)이 없으면 웹 서버와 개인용 컴퓨터 간의 연결을 보호하기 위해 1990년대 VitA용으로 개발된 집에서 만든 암호화가 쉽게 깨지는 것을 발견했습니다. 실제로 이를 통해 병원 네트워크의 공격자가 VitA 내에서 의료 서비스 제공자를 가장하고 잠재적으로 환자 기록을 수정하고 진단을 제출하고 이론상 약을 처방할 수도 있습니다.

Minneker는 Wired에 “TLS가 없는 네트워크에 인접해 있다면 암호를 해독하고 패킷을 교체하고 데이터베이스를 수정할 수 있습니다. 최악의 경우 기본적으로 의사인 척 할 수 있습니다.”라고 말했습니다. “이것은 현대 전자 의료 기록 시스템을 위한 좋은 접근 제어 메커니즘이 아닙니다.”

소프트웨어 중심 기업인 Security Innovation의 보안 엔지니어인 Minneker는 DefCon 프레젠테이션에서 VitA와 VitA의 우수성을 뒷받침하는 데이터베이스 프로그래밍 언어 MUMPS에 대한 광범위한 보안 평가에 초점을 맞춘 결과에 대해 간략하게만 논의했습니다.그는 부서의 통과를 시도했습니다 취약점 공개 절차 그리고 군단 제3자 공개 옵션. 그러나 Vista는 이 두 프로그램의 범위를 벗어납니다.

이는 VA가 현재 Cerner Corporation이 설계한 새로운 의료 기록 시스템을 사용하여 Vista를 단계적으로 폐지하려고 하기 때문일 수 있습니다. 6월에 VA는 지연 100억 달러 규모의 Cerner 시스템은 2023년까지 완전히 배포될 예정이며, 파일럿 배포가 중단으로 인해 어려움을 겪고 있으며 약 150명의 환자가 잠재적으로 아프다.

VA는 Minneker의 조사 결과에 대한 의견이나 VitA 취약점의 광범위한 공개에 대한 WIRED의 여러 요청에 응답하지 않았습니다. 그러나 동시에 Vista는 VA 의료 시스템뿐만 아니라 다른 곳에서도 배포됩니다.

By admin1

Leave a Reply

Your email address will not be published.