Norveç, hasta verilerini işleyen yazılım arayüzlerinde dijital hizmetlerin sola delikleri açıldıktan sonra ulusal sağlık hizmetini bankacılık sektörü güvenliği ile korumaya teşvik edildi.
Düzeltme, hackerların, İngiltere finans sektörü ve yazılım endüstrisi Konsorsiyumu OpenId Vakfı (OIDF) tarafından geliştirilen bilgisayar sistemleri arasında veri alışverişi yapan Hacker’ların uygulama programlama arayüzlerini (API) kullanmasını durdurmak için önerilen bir güvenlik standardının dünyasında en büyük uygulama haline gelecektir.
OIDF, finansal sınıf API 2.0 (FAPI 2.0) teklifini küresel bir standart haline getirmeye çalışırken, bazı uzmanlar Avrupa’yı sağlık, ulaşım ve hükümet gibi tüm kritik sektörlerde hassas veriler üzerindeki kontrollerini uygulamaya çağırıyor.
Ülkenin dijital sağlık altyapısını işleten Norveç Sağlık Ağı (NHN) tarafından uygulanması, her zaman diğer sektörlerde hassas veri iletişimlerini korumayı amaçlamasına rağmen, fiili bir standardı haline geldiği ilk dış finansmandır.
Rutin güvenlik denetimleri, hasta verilerinin risk altında olduğu konusunda uyardı 18 ay önce, dedi Ragnhild KiBaş Teknoloji Sorumlusu Sağlıkajansın sağlık verileri API’lerinden sorumlu olan ulusal kimlik ve erişim platformu.
NNHN, Norveç Sağlık Bakanlığı sorumluluk verdi tüm ülkenin e-sağlık sistemleri için, modernleştirme ve Tıpkı Covid-19 Pandemi’nin dünyaya yayıldığı gibi, Ocak 2020’de entegre bakım kayıtları ve elektronik reçeteler gibi sistemlerin geliştirilmesi, Ki.
“Daha önce piyasaya sürüldü Covid, yani Uçan bir başlangıç yaptı ”dedi.“ Herkes her şeyi işe almak istedi. Bence onlar Buna güvenlikten daha fazla dikkat etti. Onlar değil yapmadım Güvenliğe dikkat edin. Ancak bir seçim yapmak zorunda kalırsanız, işler ve çalışmak daha da önemliydi. ”
Baskı altında
NHN, baskı altında e-sağlık hizmetlerini inşa etti ve sundu. İzole e-sağlık sistemleri aldı ve onları ulusal hale getirdi. Doktor randevuları video konferansına taşındı; için oluşturulmuş ve yükseltilmiş sistemler tanımlayıcı Hastalar, elektronik reçeteler ve test sonuçları; ve aynı anda tüm sağlık sektöründe API güvenliğini yükseltti.
“Köşeleri kesiyorlardı çünkü işleri kaldırıp çalışır durumda elde etmek çok hızlı gitti ”dedi Ki.
Bir ihlal riskinin neden olduğu hasar kadar olmadığını söyledi. Sağlık verilerinin ihlalleri API’ler mümkün ve Dünyada oluyor günlük olarak halkın gözünden. Suçlular, hassas kayıtların tehdidi altında verileri ve zorla klinikleri ve hastaları çalıyordu.
Sağlık Hacker’ların insanlara hassas verilere erişim sağlayan dijital kimlik bilgilerini çaldığı belirteç hırsızlığı riskini azaltın-bir sitede FAPI 2.0 kontrollerini uyguladıktan sonra% 80’den% 20’ye, dedi ve sonrasında değerlendirmelerine dayanarak Ki. Şimdi bir Güvenlik önlemlerinin gelişigüzel karışıklığı FAPI 2.0 güvenlik profili olan – tanımlanmış bir yöntem paketi olan – ve 300 tedarikçi ve 50.000 klinik arasında kullanımını zorunlu kılan 120 sağlık verisi API’si oluşturuldu.
OIDF Teknik Direktörü Mark Haine, dedi Sağlık Sağlık sektöründeki FAPI 2.0 için bir kavram kanıtıdır ve bu da konsorsiyumun FAPI 2.0’ı hassas API’ları güvence altına almak için küresel bir standart haline getirme hırsını daha da ileriye götürür.
“FAPI’nin sağlık sektöründe geçerli olduğunu göstermede ileriye doğru bir adım” dedi. “Bu çok büyük. Bazı insanlar ‘Oh hayır, FAPI kullanmak istemiyoruz, bu finans için’ diyor. Buna katılmıyoruz. Hassas verileri ele aldığınız her yerde olduğunu düşünüyoruz.
“Ayrıca Kuzey Amerika’daki sağlık standartları ile konuşuyoruz, ”dedi Haine. fark etmek Sadece finansal hizmetler için değil. ”
API güvenlik firmaları, FAPI 2.0’ın API iletişimlerini iyi koruduğunu, ancak API verilerini işleyen botlu arka uç uygulamalarına karşı korunacak şekilde tasarlanmadığını söyledi, bu nedenle kuruluşlar Bu benimseyen defne üzerinde duramadı. Hacker, meşhur kırık nesne seviyesi yetkilendirme gibi istismarlar çoğalır, çünkü yazılım geliştiricileri API güvenlik önlemlerini arka uç sistemlerine dokunurken hata yaparlar.
Haine, FAPI 2.0 Çalışma Grubu, bu tür saldırılara karşı korunmak için evrensel bir standardın geliştirilemeyeceği sonucuna vardı, çünkü sayısız farklı sektör ve ortam arasında farklılık gösteren iş mantığının uygulanmasında başarısızlıklara güveniyorlar.
Ortak sağlık sektörü API’leri geliştiren HL7 International, alanında uygulama düzeyinde API güvenliğini uygulamak için standartlar geliştirmektedir. FAPI 2.0’ın gelişimine öncülük eden İngiltere Açık Bankacılık Uygulama Varlığı (OBIE) ve ABD Bankacılık Standartları Vücut Finansal Veri Değişimi (FDX) aynı şekilde çalışıyor.
“FAPI 2.0 herhangi bir AB için varsayılan olmalıdır [European Union] Hassas veya yüksek değerli verileri taşıyan API, ”dedi API Güvenlik Firmasında Kurucu Ortak ve Baş Teknoloji Sorumlusu Alessio Dalla Piazza Eşit bir şekilde. “Yine de ona güvenmek, yükleme gibi olurdu zırhlı Pencereleri kilitlenmeden bırakırken kapılar. ”
İtalya gibi güçlü dijital kimlik sistemlerine sahip ülkelerde bile benimsenmesi gerektiğini söyledi. Dalla Piazza, birisinin kimliğinin FHIR veya HL7 gibi standart bir sağlık sektörü API’sından bir radyoloji raporu toplamak zorunda olduğu anda, iletişim OAuth tokenleri, kapsamlar, iddialar ve geri arama URI’leri gibi temel güvenlik önlemlerine geri dönüyor. OAuth, botlu yükseltmenin merkeziydi Sağlık 2020’de yapılmış, ama A FAPI 2.0’ın temel bileşeni.
“FAPI 2.0, her katılımcıya bankaların, hastanelerin, nakliye operatörlerinin ve e-devlet portallarının ikili düzeltmelerin olağan yaması olmadan birlikte çalışabilmesi için bu eserlerin nasıl yapılandırılacağını ve korunacağını anlatan ilk kurallar setidir ”dedi.
Avrupa bakış açısı
Jacques DeyişAPI güvenlik firması 42Crunch CEO’su, API Security’nin Avrupa’da büyük bir sorun olduğunu söyledi.
“Şirketlerin% 75’i son üç yılda bir API saldırısı ile ihlal edildi” dedi. “Her ihlali izliyoruz. Hepsi halka açık değil. Çoğu saldırı bir API.
“Fapi iyi, ”dedi.“ Herkese tavsiye ederim. Ama bu sadece bir standart için bir öneri. Büyük şirketlerin on binlerce API’si var ve standartları uygulamakta sorunları var, bazıları da önlemler alıyor, ancak kötü bir şekilde. ”
“Bizim bakış açımızdan, spesifikasyonda gerçek boşluklar veya eksik olan herhangi bir şey yok ”dedi. kimin ekibi ki Çalışma grubunun bir parçası geliştiriyor.
Eylem planı
Avrupa Komisyonu bir Siber güvenliği artırmak için eylem planı Ocak ayında sağlıkta, “Covid-19 pandemi de dahil olmak üzere, sağlık altyapısının siber saldırılarla giderek daha fazla hedeflendiği son dört yıl içinde AB’de en çok saldırıya uğramış endüstri haline gelmişti”.
Önerilen önlemleri, insanların sağlık hizmetlerine erişmek için Avrupa’nın dijital kimlik cüzdanını kullanmasını sağlamaktır. API güvenliğini doğrudan ele almaz.
Son zamanlarda sektör çapında API’lar inşa etmek için çeşitli Avrupa projeleri ortaya çıkmış veya ayrıntılı planlar ortaya çıkmıştır. Güvenliği artırmak için kolluk kuvvetleri ve ulaşım operatörleri arasında PAN-AB veri alışverişi oluşturmak için Keystone projesi bir API modeli yayınladı Geçen yıl veri güvenliğinden çok az bahsetti. Bir Keystone sözcüsü, FAPI 2.0’ın bir finans sektörü girişimi olduğu için ulaşım için geçerli olmadığını düşündüğünü söyledi.
Keystone Veri Güvenliği’nin sorumluluğunu paylaşan Coventry Üniversitesi Araştırma Görevlisi Preetha Ramiah bir e-postayla şunları söyledi: “Keystone’da finansal veya parasal işlemler için güvenlik sağlamıyoruz. Odak noktamız, sistem ve sınırlar arasında güvenli, standartlara dayalı API iletişimi ve veri alışverişi sağlamak.”
Avrupa bulut bilişim firmalarının egemen Avrupa bulut API’sini (SECA) inşa etmek için erken planları Başladı Bir güvenlik profilini detaylandırma konusunda. Komisyon planları Güvenilir Veri Çerçevesi standart bir terim kümesini kabul ettikleri kadar, ancak henüz güvenlik önlemlerini belirtmediler.
Seca, HL7 International ve Enisa, Avrupa Birliği Siber Güvenlik Ajansı Komisyonun HEA için sorumluluk verdiğiLEylem planı kapsamındaki veri güvenliği yorum yapmaya hazır değildi.