糖尿病患者最不愿意看到的事情就是�,當(dāng)藥物被泵入到體內(nèi)時(shí)��,胰島素泵卻被黑客攻擊了�。不幸的是��,目前醫(yī)療設(shè)備的安全性依然還是一個(gè)很大的問題��。
去年�,美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)發(fā)布的警告中與藥物泵有關(guān)的警告就超過了半數(shù)。例如��,在百特國際和Becton Dickinson Alaris System公司生產(chǎn)的泵中發(fā)現(xiàn)的漏洞���,黑客就可能利用它來發(fā)動(dòng)DDoS攻擊�,以此來改變系統(tǒng)配置或竊取患者的數(shù)據(jù)����。
安全形勢的判斷
網(wǎng)絡(luò)安全成為了聯(lián)邦藥品管理局的一個(gè)重要工作。2020年�,F(xiàn)DA發(fā)布了一連串的警告,敦促醫(yī)療設(shè)備制造商和醫(yī)院針對(duì)一系列的含有漏洞的硬件進(jìn)行修復(fù)���,包括SweynTooth��,URGENT/11����,Ripple20和SigRed。
比如Ripple20是2020年6月發(fā)現(xiàn)的一組bug�����,該漏洞影響了5.3萬個(gè)醫(yī)療設(shè)備��。根據(jù)Forescout的研究���,這些漏洞可以讓攻擊者執(zhí)行遠(yuǎn)程代碼�����。
根據(jù)Ordr的數(shù)據(jù)�,通過對(duì)500萬臺(tái)醫(yī)療物聯(lián)網(wǎng)(IoMT)設(shè)備進(jìn)行了為期一年的分析���,發(fā)現(xiàn)有86%的醫(yī)療軟件部署在內(nèi)網(wǎng)的被召回的醫(yī)療設(shè)備上�。被召回的IoMT設(shè)備可以認(rèn)為是有漏洞的��,或者是會(huì)造成安全風(fēng)險(xiǎn)的設(shè)備�。
潛在的風(fēng)險(xiǎn)
專家警告說����,醫(yī)療設(shè)備安全是一個(gè)長期的問題��,現(xiàn)在又由于受到COVID的影響��,這一形勢又變得更加的嚴(yán)峻��。為了能夠拯救更多的生命�,醫(yī)院必須要優(yōu)先考慮設(shè)備預(yù)算和人員的配置��, 這也就意味著網(wǎng)絡(luò)安全常常被放置于次要的地位�����。更加糟糕的是�,黑客們也意識(shí)到了這一點(diǎn),現(xiàn)在他們也在利用醫(yī)療機(jī)構(gòu)薄弱的網(wǎng)絡(luò)安全措施���,進(jìn)行了大量的勒索軟件和釣魚攻擊����。
Universal Health Services是2020年受到勒索軟件攻擊的幾個(gè)醫(yī)院之一�,由于該機(jī)構(gòu)受到了網(wǎng)絡(luò)犯罪分子的攻擊�����,對(duì)美國�����、波多黎各和英國的400多個(gè)設(shè)施造成了重大的影響���。據(jù)長期工作在醫(yī)療領(lǐng)域的CISO Tom August介紹,這種針對(duì)醫(yī)療設(shè)備進(jìn)行攻擊的問題不容忽視����。
August說:"如果這些設(shè)備中的一個(gè)被攻擊,那么造成的潛在的影響真的很大�����,但是被攻擊的可能性很小�。也許你在我的電腦上安裝了勒索軟件,對(duì)于我來說這很糟糕�����。但如果你在病人連接的醫(yī)療設(shè)備上安裝惡意軟件,就會(huì)對(duì)人的生命造成巨大的危害�。"
醫(yī)療設(shè)備安全的歷史
我們應(yīng)該認(rèn)識(shí)到,如何保證醫(yī)療設(shè)備的安全性在安全領(lǐng)域一直是一個(gè)很有挑戰(zhàn)性的問題����,長期以來,醫(yī)療設(shè)備的安全管理是非常艱難的����。也就是說,醫(yī)療設(shè)備往往存在補(bǔ)丁發(fā)布和更新機(jī)制不明確�����,設(shè)備配置錯(cuò)誤等諸多問題(比如忘記更改默認(rèn)密碼)��。
醫(yī)療物聯(lián)網(wǎng)設(shè)備被召回在并運(yùn)行在內(nèi)部網(wǎng)絡(luò)中����。Tripwire產(chǎn)品管理和戰(zhàn)略副總裁Tim Erlin說:"冠狀病毒并沒有在醫(yī)療設(shè)備上制造更多的漏洞����,而是將已經(jīng)存在的漏洞暴露了出來"。
該領(lǐng)域也面臨著一些特有的挑戰(zhàn)����。例如��,由于FDA對(duì)設(shè)備的配置有嚴(yán)格要求而且機(jī)構(gòu)和供應(yīng)商簽訂了合同��,護(hù)理機(jī)構(gòu)往往必須依靠辦事效率低下的供應(yīng)商進(jìn)行打補(bǔ)丁����、升級(jí)和更換���,這是一個(gè)十分緩慢的過程���。
August說:"醫(yī)療設(shè)備是醫(yī)院的一個(gè)盲點(diǎn),在許多情況下����,醫(yī)院不能管理設(shè)備 ,這項(xiàng)工作必須由供應(yīng)商來做���。我們不能給它們打補(bǔ)丁���,因?yàn)楣?yīng)商不允許。我們不能安裝反惡意軟件進(jìn)行保護(hù)��,因?yàn)楣?yīng)商說這樣會(huì)違反保修的合同。"
解決方法
減少醫(yī)療設(shè)備的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)可能特別困難��,但有一些很好的實(shí)踐案例可以幫助到我們�。
清查醫(yī)療設(shè)備是確保網(wǎng)絡(luò)安全的第一步。Ordr研究發(fā)現(xiàn)���,51%的IT團(tuán)隊(duì)不知道什么類型的設(shè)備已經(jīng)連接到了他們的網(wǎng)絡(luò)中�����。
Ordr還發(fā)現(xiàn)Facebook和YouTube應(yīng)用程序可以在MRI和Windows XP等系統(tǒng)上運(yùn)行��。
根據(jù)報(bào)告��,"使用醫(yī)療設(shè)備進(jìn)行上網(wǎng)可能會(huì)使機(jī)構(gòu)面臨著更高的安全風(fēng)險(xiǎn)�,很容易受到勒索軟件和其他惡意軟件的攻擊"����。
同時(shí)�,提出以下的評(píng)估物聯(lián)網(wǎng)設(shè)備的建議:評(píng)估設(shè)備暴露在互聯(lián)網(wǎng)上的情況,禁用設(shè)備上不必要的或未使用的服務(wù)���,并按照設(shè)備的需求來劃分網(wǎng)絡(luò)�����。
參考及來源:https://threatpost.com/medical-device-security/163127/
來源:嘶吼專業(yè)版
在線咨詢
在線咨詢
0371-63319761