信息化觀察網(wǎng)

在保護物聯(lián)網(wǎng)（IoT）設(shè)備安全性方面，醫(yī)院面臨著獨特的挑戰(zhàn)。對于一些醫(yī)療機構(gòu)而言，由于Covid-19大流行使工作量和壓力增加，這種情況下，面臨的挑戰(zhàn)將變得更加嚴峻。

有什么危險？

就在最近，國土安全部（DHS）和網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局（CISA）發(fā)布了關(guān)于流行醫(yī)療設(shè)備中21個漏洞。大多數(shù)問題都與電子保護健康信息（ePHI）的保密性有關(guān)。

這對于患者來說是一個巨大的問題，同時醫(yī)院也需要為攻擊事件買單，而醫(yī)療機構(gòu)面臨的成本是最高的，平均每起事故約645萬美元，比行業(yè)平均水平高出65%。

而攻擊對其產(chǎn)生的影響還不僅限于ePHI和修復成本。DHS CISA報告的其中一個漏洞可能允許攻擊者更改治療狀態(tài)信息，從而影響治療過程本身。

CyberMDX的網(wǎng)絡(luò)安全研究人員已經(jīng)證明，利用某些為“輸液泵提供安裝、供電和通信支持”的設(shè)備中的漏洞，攻擊者可能會實現(xiàn)禁用設(shè)備、安裝惡意軟件或報告錯誤信息等操作。在極端情況下，攻擊者甚至可以直接與連接到網(wǎng)關(guān)的泵通信，從而改變藥物劑量和輸注速率。

醫(yī)院是物聯(lián)網(wǎng)安全的獨角獸

醫(yī)院的物聯(lián)網(wǎng)安全性為何與眾不同？以下是一些顯著的特點和注意事項。

· 不安全的生命支持設(shè)備——每張床有10到15個醫(yī)療設(shè)備，新的智能床可監(jiān)控多達35個數(shù)據(jù)點，包括血液、氧氣和壓力傳感器等。然而這些設(shè)備中的許多在設(shè)計時幾乎沒有考慮到安全性，為方便使用，它們可能有硬編碼的密碼，故此，任何人都可以通過物理或網(wǎng)絡(luò)訪問進行篡改。其他可能不存在的安全因素還包括用戶認證和無線通信中缺少加密。

· 舊版操作系統(tǒng)（OS）——據(jù)統(tǒng)計，幾乎近一半的醫(yī)療設(shè)備運行在不受支持的操作系統(tǒng)上，并且不再接收安全更新。這些設(shè)備包括超聲波機、核磁共振成像儀等，這樣會使它們成為勒索軟件等網(wǎng)絡(luò)攻擊的最佳目標。事實上，Check Point的研究人員已經(jīng)證明了運行在舊Windows操作系統(tǒng)上的超聲波機器很容易被破壞，從而暴露出病人圖像的整個數(shù)據(jù)庫。然而，最近幾個月，針對醫(yī)療機構(gòu)的勒索軟件攻擊激增了75%。

· 有利可圖的健康記錄——在暗網(wǎng)上每條記錄的出售價格高達1000美元，受到破壞的電子健康記錄非常容易成為目標。醫(yī)院平均每條記錄要花費 430美元，以減輕每個被盜的醫(yī)療身份。

· 多種物聯(lián)網(wǎng)設(shè)備類型——不僅醫(yī)院的醫(yī)療設(shè)備容易受到攻擊，智能辦公和樓宇管理系統(tǒng)（BMS）資產(chǎn)也是主要目標。這些設(shè)備包括IP攝像頭、智能電梯、打印機，以及連接的BMS資產(chǎn)，如HVAC系統(tǒng)、備用發(fā)電機，甚至可以幫助減少泄漏的智能水管。

加強醫(yī)院設(shè)備和網(wǎng)絡(luò)

好消息是，醫(yī)院和醫(yī)療保健制造商都可以采取預防措施以最大程度地降低其安全風險。

在網(wǎng)絡(luò)方面，建議醫(yī)院：

· 確保對其所有醫(yī)療設(shè)備的可見性，并識別高風險設(shè)備

· 與制造商一起解決關(guān)鍵漏洞或使用正確的網(wǎng)絡(luò)配置

· 將IT網(wǎng)絡(luò)從IoT網(wǎng)絡(luò)或IoT設(shè)備區(qū)域分段，并將設(shè)備群集分段到IoT設(shè)備區(qū)域，以便僅相關(guān)設(shè)備相互通信

· 使用虛擬補丁程序防止已知漏洞的利用

· 利用安全規(guī)則和威脅情報來防止惡意攻擊IoT設(shè)備，并且要防止受感染的設(shè)備破壞其他網(wǎng)絡(luò)元素

· 旨在進行集中監(jiān)視和警報，以加快檢測和響應速度

在設(shè)備方面，建議醫(yī)療設(shè)備制造商：

· 評估其設(shè)備固件的安全性以發(fā)現(xiàn)漏洞并進行補救

· 使用納米代理添加設(shè)備上運行時保護，以防止設(shè)備級別的0 day攻擊，包括控制流劫持，內(nèi)存損壞和外殼注入。