有什么危险?
就在最近,国土安全部(DHS)和网络安全与基础设施安全局(CISA)发布了关于流行医疗设备中21个漏洞。大多数问题都与电子保护健康信息(ePHI)的保密性有关。
这对于患者来说是一个巨大的问题,同时医院也需要为攻击事件买单,而医疗机构面临的成本是最高的,平均每起事故约645万美元,比行业平均水平高出65%。
而攻击对其产生的影响还不仅限于ePHI和修复成本。DHS CISA报告的其中一个漏洞可能允许攻击者更改治疗状态信息,从而影响治疗过程本身。
CyberMDX的网络安全研究人员已经证明,利用某些为“输液泵提供安装、供电和通信支持”的设备中的漏洞,攻击者可能会实现禁用设备、安装恶意软件或报告错误信息等操作。在极端情况下,攻击者甚至可以直接与连接到网关的泵通信,从而改变药物剂量和输注速率。
医院是物联网安全的独角兽
医院的物联网安全性为何与众不同?以下是一些显著的特点和注意事项。
• 不安全的生命支持设备——每张床有10到15个医疗设备,新的智能床可监控多达35个数据点,包括血液、氧气和压力传感器等。然而这些设备中的许多在设计时几乎没有考虑到安全性,为方便使用,它们可能有硬编码的密码,故此,任何人都可以通过物理或网络访问进行篡改。其他可能不存在的安全因素还包括用户认证和无线通信中缺少加密。
• 旧版操作系统(OS)——据统计,几乎近一半的医疗设备运行在不受支持的操作系统上,并且不再接收安全更新。这些设备包括超声波机、核磁共振成像仪等,这样会使它们成为勒索软件等网络攻击的最佳目标。事实上,Check Point的研究人员已经证明了运行在旧Windows操作系统上的超声波机器很容易被破坏,从而暴露出病人图像的整个数据库。然而,最近几个月,针对医疗机构的勒索软件攻击激增了75%。
• 有利可图的健康记录——在暗网上每条记录的出售价格高达1000美元,受到破坏的电子健康记录非常容易成为目标。医院平均每条记录要花费 430美元,以减轻每个被盗的医疗身份。
• 多种物联网设备类型——不仅医院的医疗设备容易受到攻击,智能办公和楼宇管理系统(BMS)资产也是主要目标。这些设备包括IP摄像头、智能电梯、打印机,以及连接的BMS资产,如HVAC系统、备用发电机,甚至可以帮助减少泄漏的智能水管。
加强医院设备和网络
好消息是,医院和医疗保健制造商都可以采取预防措施以最大程度地降低其安全风险。
在网络方面,建议医院:
• 确保对其所有医疗设备的可见性,并识别高风险设备
• 与制造商一起解决关键漏洞或使用正确的网络配置
• 将IT网络从IoT网络或IoT设备区域分段,并将设备群集分段到IoT设备区域,以便仅相关设备相互通信
• 使用虚拟补丁程序防止已知漏洞的利用
• 利用安全规则和威胁情报来防止恶意攻击IoT设备,并且要防止受感染的设备破坏其他网络元素
• 旨在进行集中监视和警报,以加快检测和响应速度
在设备方面,建议医疗设备制造商:
• 评估其设备固件的安全性以发现漏洞并进行补救
• 使用纳米代理添加设备上运行时保护,以防止设备级别的0 day攻击,包括控制流劫持,内存损坏和外壳注入。
京公网安备 11010502049343号