醫(yī)療設(shè)備如何應(yīng)對勒索軟件攻擊的風(fēng)險?
在最近一次醫(yī)療機(jī)構(gòu)網(wǎng)絡(luò)安全事件中,佛羅里達(dá)州的一家公立醫(yī)院系統(tǒng)被“入侵者”訪問,涉及數(shù)據(jù)泄露并影響了超過130萬人的個人信息。盡管目前該醫(yī)療機(jī)構(gòu)表示,沒有證據(jù)表明事件中泄露的個人信息被濫用。但這背后的安全隱患更值得注意,軟件供應(yīng)鏈安全在醫(yī)療機(jī)構(gòu)更應(yīng)被重視。“不及時維護(hù)或沒有使用可靠安全協(xié)議的小型供應(yīng)商很可能對大型醫(yī)療機(jī)構(gòu)衛(wèi)生系統(tǒng)構(gòu)成安全問題。”
2017年5月,發(fā)生了第一次記錄在案的針對聯(lián)網(wǎng)醫(yī)療設(shè)備的勒索軟件攻擊。在全球范圍內(nèi)的勒索軟件攻擊“WannaCry”最嚴(yán)重的時候,幾家醫(yī)院的放射和其他設(shè)備遭到了攻擊。此前,第三方供應(yīng)商的腫瘤云服務(wù)受到網(wǎng)絡(luò)攻擊,導(dǎo)致軟件出現(xiàn)故障,在四家醫(yī)療機(jī)構(gòu)接受放射治療的癌癥患者不得不重新預(yù)約。
這些例子表明,網(wǎng)絡(luò)攻擊和數(shù)據(jù)泄露可能會對嚴(yán)重依賴互聯(lián)醫(yī)療設(shè)備的醫(yī)療保健行業(yè)產(chǎn)生重大影響。在這些連接的醫(yī)療設(shè)備中捕獲和存儲的PHI(患者健康信息)應(yīng)該是安全的。因為PHI是通過基于服務(wù)器的系統(tǒng)在云上傳輸?shù)模@使得它很容易受到黑客的攻擊。
近年來,針對醫(yī)療保健專業(yè)人員的勒索軟件攻擊變得更加普遍、復(fù)雜和嚴(yán)重。單獨網(wǎng)絡(luò)犯罪分子已被有組織的犯罪團(tuán)伙、民族國家和軍事團(tuán)體取代。盡管付出了巨大努力,執(zhí)法部門和政府仍無法阻止對醫(yī)院設(shè)備和其他關(guān)鍵基礎(chǔ)設(shè)施的攻擊不斷升級。隨著針對醫(yī)療機(jī)構(gòu)的勒索軟件攻擊增加,醫(yī)療設(shè)備安全將成為醫(yī)院網(wǎng)絡(luò)安全的關(guān)鍵部分。
醫(yī)療設(shè)備的規(guī)模不斷擴(kuò)大
無論是固定的、植入的還是可穿戴的外部醫(yī)療設(shè)備,其安全性對患者的生命和健康至關(guān)重要。拯救生命的醫(yī)療設(shè)備包括胰島素泵、心臟除顫器、人工心臟起搏器和呼吸機(jī)等。例子包括人工關(guān)節(jié)、核磁共振和CT掃描儀、輸液泵、診所編程和家庭監(jiān)控。
在醫(yī)院或醫(yī)療機(jī)構(gòu)中,安全攝像頭、RFID閱讀器、銷售點系統(tǒng)和訪客門禁卡都應(yīng)該受到保護(hù),免受網(wǎng)絡(luò)攻擊和安全漏洞的影響。醫(yī)療設(shè)備通常包括計算機(jī)系統(tǒng)和網(wǎng)絡(luò)。
在當(dāng)今世界,醫(yī)療設(shè)備與醫(yī)院或醫(yī)療機(jī)構(gòu)中的所有其他互聯(lián)設(shè)備相連。連接的醫(yī)療設(shè)備內(nèi)置傳感器收集數(shù)據(jù),這些數(shù)據(jù)可能被發(fā)送到其他設(shè)備和互聯(lián)網(wǎng)。這些小工具和它們的數(shù)據(jù)組成了醫(yī)療物聯(lián)網(wǎng)(IoMT),它幫助診斷、監(jiān)測和交付藥物。
這些針對醫(yī)療設(shè)備的勒索軟件攻擊證明,網(wǎng)絡(luò)攻擊和數(shù)據(jù)泄露對高度依賴關(guān)聯(lián)醫(yī)療設(shè)備的醫(yī)療保健業(yè)務(wù)造成了影響。在這些連接的醫(yī)療設(shè)備中記錄和存儲的患者健康信息必須得到保護(hù)。PHI是通過基于服務(wù)器的系統(tǒng)通過云發(fā)送的,這使得它非常容易受到黑客的攻擊。
聯(lián)網(wǎng)醫(yī)療設(shè)備可顯著改善患者護(hù)理并提供更好的患者預(yù)后,應(yīng)進(jìn)行維護(hù)和升級,以確保患者從設(shè)計階段到在醫(yī)療機(jī)構(gòu)或家庭中使用的安全。
物聯(lián)網(wǎng)生態(tài)系統(tǒng)
物聯(lián)網(wǎng)生態(tài)系統(tǒng)由醫(yī)療設(shè)備制造商、供應(yīng)商、系統(tǒng)和軟件供應(yīng)商、系統(tǒng)集成商、連接供應(yīng)商和最終用戶組成。利益相關(guān)方加強合作,解決聯(lián)網(wǎng)醫(yī)療設(shè)備的網(wǎng)絡(luò)安全漏洞和風(fēng)險,將有助于防止網(wǎng)絡(luò)攻擊。
醫(yī)療設(shè)備安全關(guān)系到患者生命問題,軟件在開發(fā)期間重視對安全漏洞的檢測及修復(fù),不但有助于減少醫(yī)療設(shè)備的網(wǎng)絡(luò)安全事件發(fā)生,同時也在為保障患者生命安全做好基礎(chǔ)工作。
在Ponemon Institute的一項民意調(diào)查中,四分之一的醫(yī)療服務(wù)提供商表示,他們目睹了勒索軟件攻擊后的死亡率上升。隨著相互關(guān)聯(lián)的醫(yī)療設(shè)備得到更廣泛的使用,衛(wèi)生系統(tǒng)對患者護(hù)理產(chǎn)生負(fù)面影響的風(fēng)險更高。醫(yī)療設(shè)備的設(shè)計需要考慮到安全性,以抵御勒索軟件等常見威脅。
云中的安全措施
如果發(fā)生數(shù)據(jù)泄露,責(zé)任由醫(yī)療機(jī)構(gòu)而非云服務(wù)提供商負(fù)責(zé)。另一方面,云計算提供商應(yīng)當(dāng)遵循嚴(yán)格的安全準(zhǔn)則。網(wǎng)絡(luò)安全指南、云安全工程最佳實踐、頻繁的安全審計、災(zāi)難恢復(fù)場景以及基于明確定義的安全和數(shù)據(jù)保護(hù)事件管理系統(tǒng)的行動都是這方面的實例。
使用醫(yī)療設(shè)備或相關(guān)軟件,盡可能實現(xiàn)實時監(jiān)控、網(wǎng)絡(luò)威脅建模和分析、威脅緩解和補救。由于定期進(jìn)行記錄保存和監(jiān)控,每一個漏洞一旦發(fā)生就會被發(fā)現(xiàn)。早期發(fā)現(xiàn)漏洞有助于確定漏洞的嚴(yán)重程度并確保補救。
由于醫(yī)療設(shè)備器械等不會及時進(jìn)行更新,在系統(tǒng)中最薄弱的部分被攻擊后,很可能導(dǎo)致重要功能中斷,從而危及患者生命。醫(yī)療設(shè)備所有者如在其醫(yī)療設(shè)備的維護(hù)或更新方面出現(xiàn)任何問題,最好提前與供應(yīng)商或制造商聯(lián)系。
FDA已經(jīng)在其醫(yī)療設(shè)備安全行動計劃中納入了一項要求,要求醫(yī)療設(shè)備制造商從一開始就在網(wǎng)絡(luò)連接設(shè)備中嵌入安全更新和補丁功能,以應(yīng)對不斷上升的危險。
結(jié)論
從軟件設(shè)計階段到在醫(yī)療機(jī)構(gòu)或家庭中的使用,能夠顯著改善患者護(hù)理和患者預(yù)后的聯(lián)網(wǎng)醫(yī)療設(shè)備。建議在軟件開發(fā)期間關(guān)注安全問題,及時檢測修復(fù)安全漏洞,避免出現(xiàn)因未及時打補丁而導(dǎo)致的漏洞利用事件,進(jìn)而危及患者安全。
醫(yī)療設(shè)備制造商、供應(yīng)商、系統(tǒng)和軟件提供商、系統(tǒng)集成商、連接供應(yīng)商和最終用戶構(gòu)成了物聯(lián)網(wǎng)生態(tài)系統(tǒng)。如果所有利益相關(guān)方共同努力,解決聯(lián)網(wǎng)醫(yī)療設(shè)備的網(wǎng)絡(luò)安全漏洞和危害,將更容易避免網(wǎng)絡(luò)攻擊。
參讀鏈接:
https://thehackernews.com/2022/01/are-medical-devices-at-risk-of.html