Seamless Medical Systems dostarcza specjalistyczne aplikacje dla branży medycznej. Wśród oferowanych funkcjonalności dostępne są m.in. mobilna rejestracja pacjentów, zarządzanie kolejkami, weryfikacja ubezpieczeniowa i pobieranie płatności, edukacja pacjentów i bieżąca komunikacja. Oprogramowanie jest w pełni zintegrowane z wiodącymi systemami EMR (ang. Electronic Medical Record) oraz spełnia wymagania HIPAA (ang. Health Insurance Portability and Accountability Act).

Z uwagi na przetwarzanie szczególnie wrażliwych danych, zarówno dla użytkowników systemu, jak i jego producenta, kluczowym aspektem jakości oprogramowania jest szeroko rozumiana poufność informacji.

Zaufany haker do wynajęcia

Optymalną metodą weryfikacji bezpieczeństwa systemu okazał się, zaproponowany przez BCC (aktualnie All for One Poland), etyczny hacking – usługa polegająca na szczegółowym, metodycznym przetestowaniu aplikacji pod kątem występowania błędów i podatności. Dzięki wysokim kompetencjom konsultantów bezpieczeństwa BCC oraz wykorzystanym specjalistycznym narzędziom, taka praktyczna próba przełamania zabezpieczeń systemu pozwoliła na sprawdzenie bezpieczeństwa danych w znacznie szerszym kontekście niż tylko obszar, za który odpowiadają programiści. Testom podlegały bowiem zarówno aplikacje, jak również ich otoczenie (m.in. serwery), a nawet tablety klienckie – wykorzystywane przez pacjentów.

Bezpieczeństwo aplikacji

Obiektem przeprowadzonych testów penetracyjnych było 8 aplikacji webowych. Porównywalność wyników i powtarzalność testu zapewniono dzięki zastosowaniu uznanych wytycznych Open Web Application Security Project (OWASP) Testing Guide v4 oraz National Institute of Standards and Technology Special Publication 800-115 (NIST SP 800-115).

Wykorzystanie szeregu narzędzi wspierających pracę pentestera, pozwoliło na efektywne sprawdzenie obszarów takich jak:

  • poprawność szyfrowania transmitowanych przez Internet danych,
  • zarządzanie użytkownikami systemu (tworzenie, nadawanie, resetowanie haseł itp.),
  • reakcja aplikacji na niepoprawne (w tym podmienione) dane,
  • sposób i bezpieczeństwo przechowywania danych (w tym danych tymczasowych).

Bezpieczeństwo urządzeń pacjentów

Innym zweryfikowanym podczas testu scenariuszem była utrata tabletu (kradzież, zgubienie). Analizie podlegała możliwość wykorzystania urządzenia do wejścia w posiadanie danych medycznych jego prawowitego użytkownika lub innych użytkowników systemu. Sprawdzono m.in. poprawność nawiązywania i zamykania sesji klienta z serwerem oraz zakres i sposób składowania danych przechowywanych w pamięci urządzenia.

Anthony Brooke, Co-founder & CTO, Seamless Medical Systems Inc

Anthony Brooke, Co-founder & CTO, Seamless Medical Systems Inc

Kompleksowy program bezpieczeństwa
Najważniejsze założenia każdej komplementarnej platformy technologicznej HIPAA obejmują przeprowadzanie okresowych testów bezpieczeństwa przez wykwalifikowaną stronę trzecią. Testy penetracyjne stanowią najlepszą praktykę branżową, a Grupa BCC jest partnerem naszego kompleksowego programu bezpieczeństwa.

Projekt krok po kroku

Testy penetracyjne aplikacji zostały przeprowadzone w kilku etapach, w czasie których realizowane były scenariusze uzgodnione z klientem. Zakres prac obejmował środowisko testowe oraz – dla uzyskania całkowitej pewności – produkcyjne.
W celu zapewnienia ustandaryzowanego sposobu realizacji, badanie bezpieczeństwa wykonano zgodnie z metodykami:

  • OWASP (ang. Open Web Application Security Project) Testing Guide w wersji 4
  • National Institute of Standards and Technology Special Publication 800-115 (NIST SP 800-115)

Prace zostały rozpoczęte w trybie „czarnej skrzynki” (ang. black-box), czyli bez wiedzy pentestera o badanym systemie. Zbadano możliwość uzyskania nieautoryzowanego dostępu do systemu oraz nieuprawnionego pozyskania poufnych informacji.
Przebieg scenariusza był następujący:

  • zgromadzenie danych o aplikacji, systemach i infrastrukturze,
  • proces enumeracji,
  • badanie infrastruktury za pomocą skanerów podatności.

W dalszej części testu aplikacje badano z wykorzystaniem znanych kont z rolami poszczególnych użytkowników w systemie (ang. gray-box). Na tym etapie testów zweryfikowano:

  • formularze logowania i obsługę ról,
  • mechanizmy autoryzacyjne,
  • zarządzanie sesją,
  • walidację danych wejściowych oraz podatność na ataki typu injection,
  • obsługę błędów,
  • mechanizmy kryptograficzne,
  • logikę biznesową aplikacji,
  • możliwość zaatakowania przeglądarki klienta aplikacji.

Podsumowaniem testów był raport dokumentujący wszystkie przeprowadzone działania oraz potwierdzenie bezpieczeństwa systemu w formie certyfikatu.

Eskalacja uprawnień

Kolejnym elementem testu penetracyjnego była weryfikacja możliwości uzyskania dostępu do danych przez osobę do tego nieupoważnioną, poprzez zdobycie wyższego poziomu uprawnień niż przydzielone danemu użytkownikowi. Sprawdzenia dokonano m.in. poprzez niezgodne z przeznaczeniem wykorzystanie formularzy aplikacji oraz modyfikacje adresu URL.

Podsumowanie

Finalnym produktem przeprowadzonych testów był obszerny raport, dokumentujący podjęte działania i uzyskane wyniki. Potwierdzeniem bezpieczeństwa systemu zaś certyfikat wystawiony przez BCC (aktualnie All for One Poland), który dla klientów Seamless Medical Systems stanowi dowód, że aplikacje tworzone są z należytą dbałością o poufność i integralność danych.

Seamless Medical Systems Inc. to amerykańska firma dostarczająca oprogramowanie dla placówek służby zdrowia i pacjentów. Modularna, mobilna platforma umożliwia oszczędność czasu, wzrost efektywności zatrudnienia personelu oraz poprawę standardów opieki medycznej. Użytkownikami systemu są m.in. ośrodki zdrowia, kliniki, indywidualne praktyki lekarskie.