物联网的普及为医疗行业带来了安全机遇
互联医疗设备也称为医疗物联网或 IoMT,这些设备为医疗行业带来了颠覆性改变,不仅包含运营领域,在患者护理方面也是如此。在世界各地的医院和医疗机构中,互联医疗设备支持关键患者护理交付和各种临床功能,从医疗输液泵和手术机器人到生命体征监测器、救护车设备等等。归根结底,这一切都与患者的治疗效果以及如何改善服务息息相关,因此,在医疗领域采用这种物联网,除了可以健全运作外,还有机会带来重大的改变。
然而,通过物联网技术实现这些惊人的患者治疗效果也会给医院和患者带来一系列相关安全风险,新闻报道中经常出现这些风险。例如,勒索软件是全球医疗提供商面临的常见威胁。2022 年 8 月,法国医院 Hospitalier Sud Francilien (CHSF) 成为勒索软件攻击的受害者,该攻击关闭了医疗成像和患者入院系统。2022 年 10 月,CISA 向医疗服务提供商发布了一份咨询意见 警告称有一个勒索软件和数据勒索团伙以医疗机构和公共卫生部门为目标,特别关注访问网络中的数据库、成像和诊断系统。但勒索软件还不是唯一的风险。事实上,根据 HIPAA Journal 的一份报告,2022 年医疗行业的各种网络攻击增加了 60%,1不幸的是,这成为医疗提供商要面临的常规问题,因此,该行业必须做好应对准备。
为什么医疗物联网设备面临风险
医疗物联网设备面临风险的原因有很多。其中最常见的是,许多设备在设计时没有考虑到安全性。
许多联网设备都存在固有漏洞。例如,根据 Unit 42 的研究,75% 的输液泵存在未打补丁的漏洞。2 超过一半(51%) 的 X 光机具有高严重性 CVE (CVE-2019-11687),其中约 20% 运行的是不受支持的 Windows 版本。3
Unit 42 研究还发现,83% 的超声波、MRI 和 CT 扫描仪在使用寿命已终止的操作系统中运行。4 这些操作系统存在已知漏洞,可能会被恶意利用。众所周知,攻击者以易受攻击的设备作为攻击目标,然后在企业网络中横向移动,目标是感染和破坏医院网络的其余部分。
医疗物联网设备漏洞的影响十分严重并可能危及生命。更新或修补其中一些设备绝非易事,有时,由于需要中断护理服务,或者由于许多类型的设备缺乏计算能力,甚至会导致无法进行更新或修补。其结果是,患者数据发生了泄露。有些医院因此而停止运作。虽然潜在攻击十分普遍,但医疗服务提供商可以采取主动措施来最大限度地降低绝大多数与设备相关的安全风险。
提高医疗物联网安全性的四个必要步骤
医疗机构和服务提供者面临的挑战之一实际上是了解所有存在的联网设备。然而,可视性并不是提高医疗设备安全性的唯一必要条件。事实上,可以采取四个步骤来保护设备并降低风险:
- 确保所有联网医疗和运营设备的可视性和风险评估。 在医疗领域保护物联网的第一步是洞察一切,因为您无法保护看不到的事物。设备可视性还远远不够,必须能够持续评估设备及其不断演变的漏洞给网络带来的风险。
- 应用情境式网络分段和最低访问权限控制。 了解现有设备非常实用。更实用的是了解设备可以访问哪些网络资源或信息。这就是网络分段发挥作用的地方,可以创建并实施策略,将设备访问限制在仅限于其预期用途所需的资源,仅此而已。
- 持续监控设备行为,防止已知和未知威胁。 由于这些设备在临床环境以及外部网络和服务之间进行通信,因此可以确保为您建立基准行为、监控设备异常行为,并保护联网设备免受恶意软件等威胁。
- 简化运营。 为了有效管理和保护医疗网络中的大量设备,提供商需要与现有 IT 和安全解决方案集成的解决方案,以消除网络盲点、自动化工作流程并为网络管理员减轻繁琐的手动流程负担。
更优质的物联网安全有助于减轻监管合规性挑战
可以理解的是,医疗行业有很多合规性要求。医疗合规性涵盖众多领域,如患者护理、托管护理外包、职业安全与健康管理局 (OSHA) 以及健康保险便携性与责任法案 (HIPAA) 隐私和安全等。任何涉及患者系统或医疗物联网设备的攻击都很可能违反合规性,导致敏感数据丢失或未经授权的实体访问敏感数据。IoMT 可视性和风险评估有限会导致难以满足监管、审计和 HIPAA 要求。全面了解所有设备及其利用率数据可以减轻准备合规性审计和编辑合规性报告的负担。
为医疗物联网设备实施零信任
人类信任医疗专业人员来改善和维持自己的健康。医疗机构依靠其技术完成同样的使命。但是不应该默认授予信任。我们需要持续进行监控和验证。这就是零信任方法发挥作用的地方。
简而言之,零信任是一种网络安全策略,旨在消除对访问企业网络的任何用户、应用或设备的隐式信任。零信任不是产品。对于很多客户来说,零信任是一段旅程。在医疗物联网安全方面,零信任始于理解几个关键因素:
谁是该设备的使用者?
这是什么设备?
这个设备用来做什么?
该设备是否达到了设计要求?
零信任意味着持续监控设备及其行为,以发现威胁、恶意软件和违反策略的情况,从而通过验证每次交互来帮助降低风险。
采取阻力最小的零信任方案改善医疗物联网
医疗 IT 和安全团队负担过重,因此,安全实施不必过于繁琐。提高医疗物联网设备的安全性也无需对医院网络进行一蹴而就的升级。
大多数医疗服务提供商已经拥有网络防火墙,并将其作为零信任设备安全的实施点。当您希望在零信任之旅中实现可视性、风险评估、分段、最低权限访问策略和威胁预防时,应该尽可能减少摩擦。机器学习 (ML) 还可以显著加速策略配置,此流程还可实现自动化。如果安全成为另一个需要投入大量人力的重要项目,成功的机会将大大减少。安全性需要集成、易于部署并尽可能自动化。
医疗物联网设备每天都在帮助改善人类健康状况。就像人类为了保持健康采取行动一样,保持医疗物联网设备的健康也至关重要。这真的关乎生死存亡。
推荐阅读:
- 详细了解医疗物联网安全。
- 阅读我们的白皮书 实现医疗物联网设备零信任的正确方法
1. “医疗行业遭遇的网络攻击同比增长 60%”,HIPAA Journal,2022 年11 月 17 日,
https://www.hipaajournal.com/healthcare-sees-60-yoy-increase-in-cyberattacks/.
2. Aveek Das,“了解输液泵漏洞并保护您的医疗机构”,Unit 42,2022 年 3 月 2 日,
https://unit42.paloaltonetworks.com/infusion-pump-vulnerabilities/.
3. Jun Du、Derick Liang、Aveek Das,“Windows XP 和 Server 2003 源代码泄漏导致 IoT 和 OT 设备易受攻击”,Unit 42,2020 年 11 月 6 日,
https://unit42.paloaltonetworks.com/windows-xp-server-2003-source-code-leak/.
4. 同上。