医疗设备如何应对勒索软件攻击的风险?
在最近一次医疗机构网络安全事件中,佛罗里达州的一家公立医院系统被“入侵者”访问,涉及数据泄露并影响了超过130万人的个人信息。尽管目前该医疗机构表示,没有证据表明事件中泄露的个人信息被滥用。但这背后的安全隐患更值得注意,软件供应链安全在医疗机构更应被重视。“不及时维护或没有使用可靠安全协议的小型供应商很可能对大型医疗机构卫生系统构成安全问题。”
2017年5月,发生了第一次记录在案的针对联网医疗设备的勒索软件攻击。在全球范围内的勒索软件攻击“WannaCry”最严重的时候,几家医院的放射和其他设备遭到了攻击。此前,第三方供应商的肿瘤云服务受到网络攻击,导致软件出现故障,在四家医疗机构接受放射治疗的癌症患者不得不重新预约。
这些例子表明,网络攻击和数据泄露可能会对严重依赖互联医疗设备的医疗保健行业产生重大影响。在这些连接的医疗设备中捕获和存储的PHI(患者健康信息)应该是安全的。因为PHI是通过基于服务器的系统在云上传输的,这使得它很容易受到黑客的攻击。
近年来,针对医疗保健专业人员的勒索软件攻击变得更加普遍、复杂和严重。单独网络犯罪分子已被有组织的犯罪团伙、民族国家和军事团体取代。尽管付出了巨大努力,执法部门和政府仍无法阻止对医院设备和其他关键基础设施的攻击不断升级。随着针对医疗机构的勒索软件攻击增加,医疗设备安全将成为医院网络安全的关键部分。
医疗设备的规模不断扩大
无论是固定的、植入的还是可穿戴的外部医疗设备,其安全性对患者的生命和健康至关重要。拯救生命的医疗设备包括胰岛素泵、心脏除颤器、人工心脏起搏器和呼吸机等。例子包括人工关节、核磁共振和CT扫描仪、输液泵、诊所编程和家庭监控。
在医院或医疗机构中,安全摄像头、RFID阅读器、销售点系统和访客门禁卡都应该受到保护,免受网络攻击和安全漏洞的影响。医疗设备通常包括计算机系统和网络。
在当今世界,医疗设备与医院或医疗机构中的所有其他互联设备相连。连接的医疗设备内置传感器收集数据,这些数据可能被发送到其他设备和互联网。这些小工具和它们的数据组成了医疗物联网(IoMT),它帮助诊断、监测和交付药物。
这些针对医疗设备的勒索软件攻击证明,网络攻击和数据泄露对高度依赖关联医疗设备的医疗保健业务造成了影响。在这些连接的医疗设备中记录和存储的患者健康信息必须得到保护。PHI是通过基于服务器的系统通过云发送的,这使得它非常容易受到黑客的攻击。
联网医疗设备可显着改善患者护理并提供更好的患者预后,应进行维护和升级,以确保患者从设计阶段到在医疗机构或家庭中使用的安全。
物联网生态系统
物联网生态系统由医疗设备制造商、供应商、系统和软件供应商、系统集成商、连接供应商和最终用户组成。利益相关方加强合作,解决联网医疗设备的网络安全漏洞和风险,将有助于防止网络攻击。
医疗设备安全关系到患者生命问题,软件在开发期间重视对安全漏洞的检测及修复,不但有助于减少医疗设备的网络安全事件发生,同时也在为保障患者生命安全做好基础工作。
在Ponemon Institute的一项民意调查中,四分之一的医疗服务提供商表示,他们目睹了勒索软件攻击后的死亡率上升。随着相互关联的医疗设备得到更广泛的使用,卫生系统对患者护理产生负面影响的风险更高。医疗设备的设计需要考虑到安全性,以抵御勒索软件等常见威胁。
云中的安全措施
如果发生数据泄露,责任由医疗机构而非云服务提供商负责。另一方面,云计算提供商应当遵循严格的安全准则。网络安全指南、云安全工程最佳实践、频繁的安全审计、灾难恢复场景以及基于明确定义的安全和数据保护事件管理系统的行动都是这方面的实例。
使用医疗设备或相关软件,尽可能实现实时监控、网络威胁建模和分析、威胁缓解和补救。由于定期进行记录保存和监控,每一个漏洞一旦发生就会被发现。早期发现漏洞有助于确定漏洞的严重程度并确保补救。
由于医疗设备器械等不会及时进行更新,在系统中最薄弱的部分被攻击后,很可能导致重要功能中断,从而危及患者生命。医疗设备所有者如在其医疗设备的维护或更新方面出现任何问题,最好提前与供应商或制造商联系。
FDA已经在其医疗设备安全行动计划中纳入了一项要求,要求医疗设备制造商从一开始就在网络连接设备中嵌入安全更新和补丁功能,以应对不断上升的危险。
结论
从软件设计阶段到在医疗机构或家庭中的使用,能够显著改善患者护理和患者预后的联网医疗设备。建议在软件开发期间关注安全问题,及时检测修复安全漏洞,避免出现因未及时打补丁而导致的漏洞利用事件,进而危及患者安全。
医疗设备制造商、供应商、系统和软件提供商、系统集成商、连接供应商和最终用户构成了物联网生态系统。如果所有利益相关方共同努力,解决联网医疗设备的网络安全漏洞和危害,将更容易避免网络攻击。
参读链接:
https://thehackernews.com/2022/01/are-medical-devices-at-risk-of.html