医疗物联网安全风险以及如何处理它们
医疗保健和安全管理员必须理解保护医疗物联网设备的不断变化的挑战和数据来保证病人的安全。
医疗组织必须仔细平衡练习,使连接设备的优点没有添加太多的病人安全风险。
卫生保健提供者和病人越来越多引入设备医疗网络。在过去的五年中,物联网技术改善病人护理和医疗设施,但它的增长也促使网络威胁的增加。这些设备用于住院病人和门诊病人监控、资产跟踪帮助医务工作者更容易找到设备和自动化暖通空调系统或照明减少感染的传播和降低成本。每个实例连接的医疗设备可以简化工作流程,提高病人和医护人员的生活水平,但他们也提供了一个更大的攻击表面。
”攻击越来越复杂。(451年的研究)绝对显著上升,攻击在COVID-19医疗设备,“Christian Renaud)表示,与451年物联网研究的研究主管,标普全球市场情报的一部分。“我们看到攻击物联网设备的增加,特别是在医疗保健行业。”
重大事件影响医疗物联网安全实践
重大违反多年来描述网络威胁的严重性日益增长的医疗和迫使制造商,监管机构和医疗机构更加重视医疗物联网安全。
2016年,安全研究组织MedSec和投资公司浑水研究发现了一个漏洞在圣裘德医疗心脏设备,攻击者可以发送重复信息设备,直到电池耗尽。研究人员声称它会崩溃圣裘德——现在雅培旗下——心脏起搏器和除颤器。争议处理的漏洞导致美国食品和药物管理局(FDA)发行网络安全指导和更一般的医疗设备指导。
在2018年黑帽,许多研究人员揭示了重要的医疗物联网设备的不安全感。其中,研究人员比利里奥斯,WhiteScope安全公司的创始人和乔纳森•巴特斯QED的首席执行官安全解决方案,演示了如何攻击者可以访问美敦力心脏起搏器病人和管理远程或隐瞒冲击。
WannaCry ransomware是其中一个最著名的网络攻击有针对性的医疗系统,从2017年开始。黑客使用WannaCry针对Windows操作系统的漏洞和阻止医疗专家访问受影响的设备。
网络攻击并不是唯一的因素,迫使制造商和安全专家来改善医疗物联网安全。在2016年和2018年,美国食品和药物管理局上市后,上市前的网络安全建议对于制造商来说,设计和维护医疗物联网安全。组织购买医疗设备用于医疗设施,如HealthTrust和梅奥诊所,还建立了自己的医疗设备制造商采购要求。这些需求促使制造商安全构建到他们的设计。
迈克·纳尔逊“HealthTrust,与他们的采购指南,介绍了潜在的痛苦制造商,”Mike Nelson说,副总统DigiCert物联网安全的安全认证公司位于利希,犹他州。“制造商花钱哪里有明显的疼痛或有重大的机会赚钱。和从伤害中恢复的成本将远远超过防止损失。”
确保患者安全是当务之急
医疗物联网安全漏洞是更重要的比消费者设备的漏洞的威胁,因为他们可能会导致人身伤害。医护人员和病人依靠准确的数据做出医疗决定和管理治疗。
卡尔西“如果一个装置是利用一个入口进入和改变信息关联到一个设备,影响医疗服务的交付,我们最关心的是病人安全问题,”卡尔西说,首席信息安全官山间医疗位于盐湖城。
虽然西说,他没有亲自看到病人安全受到攻击,他说它总是一个问题。攻击者也可以植物病毒在一个物联网设备和使用它作为一个入口点的其他部分医疗网络作为ransomware或分布式拒绝服务攻击的一部分。
尼尔森说他知道第一手医疗物联网的潜在风险漏洞。他使用连续血糖监测和治疗糖尿病的胰岛素泵治疗。葡萄糖监测收集血液样本来确定什么是纳尔逊的葡萄糖水平,提醒他手机通过蓝牙。黑客可以执行一个中间人攻击和操作价值通过他的电话报告。这可能导致他注入危险量的胰岛素。如果一段代码是在设备上妥协,攻击者可以改变设备的行为,禁用或获得其他设备。
它/不收敛和遗留设备存在额外的挑战
与物联网技术、新设备每天上线,IT管理员可能会发现很难保持更新库存。设备可以进入一个网络的一部分业务计划没有参与,使设备发现物联网安全的关键。操作技术(OT)专业人员并不总是优先考虑安全最佳实践和IT专业人员并不总是知道如何安全措施将妨碍操作。
基督教Renaud“很多我们会考虑传统的方法只是防火墙关掉一切可能会打破工作流,加快病人通过保健在一个非常快速的方法,“451年的Renaud说。“都是至关重要的和非It人表共同创造的这些用例或工作量。”
带来的风险延伸到任何连接设备到网络,甚至患者的衣物或智能设备连接到客户网络。
“即使我们建造的所有控制,所有周围的保护客人网络——如果你没有看,有很多非法活动,“西说。“病人设备进来(病毒或恶意软件)有可能蔓延到医疗网络。”
遗留设备也提出了安全挑战时连接到网络中。在医疗组织,许多机器数百万美元的投资得不到取代,直到他们完全贬值,Renaud说。连接这些遗留设备创造了漏洞。旧设备可能不遵循一致的协议,基于不同供应商和可能无法接收无线更新维护他们的安全。
方法安全医疗物联网设备
网络安全专家可以很多行动来支持医疗物联网安全,包括这五个步骤:
1。库存设备。所有资产的开发一个详尽的地图,因为医疗组织不能确保他们看不到,Renaud说。物联网设备带来了许多风险评估,因为他们提供价值。例如,一个病人可能带来在谷歌或Alexa虚拟助理对音乐或娱乐。一些制造商提供工具来协助库存能够检测网络上的物联网设备在不影响它们的功能,即使他们没有完整的操作系统。物联网的工具也可以确定哪些操作系统运行在设备上。
2。遵循标准的最佳实践。专家必须遵循一般医疗物联网设备的安全最佳实践,如消除硬编码的密码,防火墙和加密。他们必须做一个风险评估之前部署设备了解漏洞存在,监控网络流量任何不规范的使用行为分析分析。设备和软件应该定期更新。
3所示。实施有效的身份验证。部署公共密钥基础设施和数字证书可以与网络连接进行身份验证,其他设备和电子健康记录系统,并确保数据包在运输途中没有操纵的中间人攻击。
4所示。部分网络。管理员必须隔离设备,没有内置的控制。如果一个设备必须用于病人护理,管理员可以关闭其功能连接到互联网。如果设备必须连接,医疗组织可以与供应商确定设备需要连接的地方,只允许那些连接,创建一个allowlist。医疗组织也可以denylist任何已知的有害网站连接到设备。系统管理员必须从其余的部分公共网络网络,限制资产和事件在一个虚拟局域网,或隔离交通部门,Renaud说。可以用旧设备网关来安全设备的物理连接。
5。使用正确的工具。医疗组织可以使用工具,简化物联网安全。一些平台自动化的管理大量的数据和设备和可以控制认证证书。制造商也开发医疗设备工具可以识别设备是什么,什么是数据收集,它连接到互联网,山间的西说。物联网数据分析平台可以帮助管理员监控网络流量和批准或拒绝连接。
