有什么危險?
就在最近,國土安全部(DHS)和網(wǎng)絡安全與基礎設施安全局(CISA)發(fā)布了關于流行醫(yī)療設備中21個漏洞。大多數(shù)問題都與電子保護健康信息(ePHI)的保密性有關。
這對于患者來說是一個巨大的問題,同時醫(yī)院也需要為攻擊事件買單,而醫(yī)療機構面臨的成本是最高的,平均每起事故約645萬美元,比行業(yè)平均水平高出65%。
而攻擊對其產(chǎn)生的影響還不僅限于ePHI和修復成本。DHS CISA報告的其中一個漏洞可能允許攻擊者更改治療狀態(tài)信息,從而影響治療過程本身。
CyberMDX的網(wǎng)絡安全研究人員已經(jīng)證明,利用某些為“輸液泵提供安裝、供電和通信支持”的設備中的漏洞,攻擊者可能會實現(xiàn)禁用設備、安裝惡意軟件或報告錯誤信息等操作。在極端情況下,攻擊者甚至可以直接與連接到網(wǎng)關的泵通信,從而改變藥物劑量和輸注速率。
醫(yī)院是物聯(lián)網(wǎng)安全的獨角獸
醫(yī)院的物聯(lián)網(wǎng)安全性為何與眾不同?以下是一些顯著的特點和注意事項。
• 不安全的生命支持設備——每張床有10到15個醫(yī)療設備,新的智能床可監(jiān)控多達35個數(shù)據(jù)點,包括血液、氧氣和壓力傳感器等。然而這些設備中的許多在設計時幾乎沒有考慮到安全性,為方便使用,它們可能有硬編碼的密碼,故此,任何人都可以通過物理或網(wǎng)絡訪問進行篡改。其他可能不存在的安全因素還包括用戶認證和無線通信中缺少加密。
• 舊版操作系統(tǒng)(OS)——據(jù)統(tǒng)計,幾乎近一半的醫(yī)療設備運行在不受支持的操作系統(tǒng)上,并且不再接收安全更新。這些設備包括超聲波機、核磁共振成像儀等,這樣會使它們成為勒索軟件等網(wǎng)絡攻擊的最佳目標。事實上,Check Point的研究人員已經(jīng)證明了運行在舊Windows操作系統(tǒng)上的超聲波機器很容易被破壞,從而暴露出病人圖像的整個數(shù)據(jù)庫。然而,最近幾個月,針對醫(yī)療機構的勒索軟件攻擊激增了75%。
• 有利可圖的健康記錄——在暗網(wǎng)上每條記錄的出售價格高達1000美元,受到破壞的電子健康記錄非常容易成為目標。醫(yī)院平均每條記錄要花費 430美元,以減輕每個被盜的醫(yī)療身份。
• 多種物聯(lián)網(wǎng)設備類型——不僅醫(yī)院的醫(yī)療設備容易受到攻擊,智能辦公和樓宇管理系統(tǒng)(BMS)資產(chǎn)也是主要目標。這些設備包括IP攝像頭、智能電梯、打印機,以及連接的BMS資產(chǎn),如HVAC系統(tǒng)、備用發(fā)電機,甚至可以幫助減少泄漏的智能水管。
加強醫(yī)院設備和網(wǎng)絡
好消息是,醫(yī)院和醫(yī)療保健制造商都可以采取預防措施以最大程度地降低其安全風險。
在網(wǎng)絡方面,建議醫(yī)院:
• 確保對其所有醫(yī)療設備的可見性,并識別高風險設備
• 與制造商一起解決關鍵漏洞或使用正確的網(wǎng)絡配置
• 將IT網(wǎng)絡從IoT網(wǎng)絡或IoT設備區(qū)域分段,并將設備群集分段到IoT設備區(qū)域,以便僅相關設備相互通信
• 使用虛擬補丁程序防止已知漏洞的利用
• 利用安全規(guī)則和威脅情報來防止惡意攻擊IoT設備,并且要防止受感染的設備破壞其他網(wǎng)絡元素
• 旨在進行集中監(jiān)視和警報,以加快檢測和響應速度
在設備方面,建議醫(yī)療設備制造商:
• 評估其設備固件的安全性以發(fā)現(xiàn)漏洞并進行補救
• 使用納米代理添加設備上運行時保護,以防止設備級別的0 day攻擊,包括控制流劫持,內(nèi)存損壞和外殼注入。
京公網(wǎng)安備 11010502049343號