当我们想到卫生IT安全中的网络威胁时,我们通常会想到计算机和移动设备以窃取个人和财务信息。但黑客有一个新的,更潜在的恐怖目标: 医疗设备.

根据一项调查,近8%的患者至少有一个可控制慢性病的植入医疗装置,并且每个提供的供应商都使用了网络连接的医疗设备。虽然这些设备不一定连接到互联网本身,但它们在其他设备可以是 - 并且通常是的网络上运行。例如,检查电子邮件的员工可以将恶意软件引入网络中,然后进行攻击医疗设备。结果可能是灾难性的,从被盗个人健康信息到故障设备的患者死亡。

由于连接到医院网络和/或互联网的医疗设备是黑客的医疗设备,这一问题被认为是重要的,因为由于FDA指南和用户实践,这些机器通常在这些机器上漫长的安全设备。数据泄露的可能性以及植入设备的篡改是很大的,如果这些机器上的安全性没有改善,结果可能是毁灭性的。

图片

洞的地方

许多研究人员,包括来自国土安全部的团队,研究了无担保医疗设备的问题,以确定潜在的安全漏洞。他们的调查结果范围广泛 - 而且可怕。

医疗设备的许多潜在的安全问题 - 跨越供应商扩展 - 包括:

  • 使用默认用户名和无法更改的密码运送到提供商的设备
  • 没有安全补丁运行的设备
  • 同一网络上设备之间的未加密通信

专家们表示,医疗设备缺乏安全性源于FDA的大部分,其规则仅允许在其中发出一种非常具体的情况,其中软件升级 - 包括安全性修补程序。但是,FDA对安全问题的指导通常会为安全补丁是否需要批准而产生混淆。

目前, FDA指南状态 只有那些修改设备使用和/或显着改变其安全或有效性需要批准的那些更改。 FDA指出,不需要报告大多数安全修补程序,因为安全补丁旨在提高设备的安全性,并且对其功能或用户的运行情况无效。

在表面上,似乎清除了制造商开发和发出安全更新的方式,但事实最多  需要寻求批准。 2012年,密歇根大学研究人员的一份报告显示,在一个波士顿医院单独,近700家不同的医疗设备在没有最新的安全措施的情况下运行。该医院不仅可以更新它们,但制造商没有由于FDA规则而发出更新。

减少风险

确定医疗设备的风险只是战斗的一半。虽然专家们注意,医疗设备经过医疗设备的黑客危险相对较低,而且大多数已识别的风险已经通过受控环境中的测试和概念验证被发现,但仍有案例已经突破了医疗设备。例如,黑客侵入了医院PACS系统,并开始向中国发送图像和信息。在另一个案例中,黑客在X射线设备上安装了恶意软件,然后他们用来在整个医院网络中移动。

事实上,虽然使用植入装置的患者的风险是真实的,但最多一致认为,现在主要危险是黑客使用医疗设备作为进入医院网络的手段。因此,直到FDA允许在减轻安全风险方面允许更大的灵活性,这取决于提供者可以找到更有效地保护网络的方法。更具体地说,医院需要投资更多的保护,包括分层安全,包括Azure安全,防火墙,加密,更先进的威胁和入侵检测和预防,以及潜在恶意应用的沙箱。

更好的网络政策和教育也是提高安全性的重要组成部分。员工仍被视为企业安全的最大风险 - 平均医院每周收到数千个潜在有害的电子邮件。因此,教育员工了解风险;实施严格的可接受使用,密码和报告协议;并限制管理员权限对于保护网络至关重要。

由于医院设备对患者隐私提出了如此重大风险,因此设备制造商还需要与安全供应商更密切地工作,以开发更强大的编码协议,并获得最新的安全信息。通过这样做,FDA可以潜在地缓解与设备的安全性相关的一些限制,并允许更安全,更安全的医疗设备和降低的被盗信息的风险 - 或者更糟糕的风险。

为了避免本文提到的问题,建议使用这些行动:

  • FDA需要更改策略以允许对医疗设备更容易的安全更新。
  • 医院网络需要更安全。
  • 需要提供更多安全协议的培训。

为了开始实现上述建议,组织可以通过执行以下操作来开始:

  • 实现更好的可接受使用协议和更严格的密码策略。
  • 提供更多关于识别网络钓鱼诈骗的培训。
  • 限制网络上的管理员权限。
  • 加密数据。
  • 实现包含防火墙,入侵防御和沙箱的分层安全解决方案,以防止访问数据的有害恶意软件。

Patrick Hubbard,Head Geek和技术产品总监 Solarwinds.提到提到,由于对企业的威胁增加和发展威胁,隐私仍然是2016年的关键问题。预计我们可能会看到持续的高级持续威胁,更具针对性的攻击 - 无论是政治还是犯罪的攻击 - 无论是政治还是犯罪的攻击。在2015年的医疗保健数字化以及公共部门的IOT增长,医院正在变得越来越联系,因此,越来越有风险。我们已经存在美国医院的高调的黑客,包括UCLA,并报告英国使用的药物泵可以被黑客攻击和控制。医院网络越来越依赖于管理X射线,蓝牙的除颤器和血液和药物存储单元的温度设置;因此,在其他行业中没有发现潜在严重后果的违规行为。

单独的医疗保健记录是对攻击者非常有价值的数据的潜在金矿。医疗记录和患者数据是任何有关任何地方的最差的受保护个人信息。随着医疗保健系统的数字化,他们成为他们曾经成为最脆弱的人。更糟糕的是,2015年违反身份违规行为的实际盗窃,犯罪分子已经证明了有针对性攻击的价值。因此,在2016年,多学科安全和加密仍然是医疗保健高管的首要任务。

 

分享这个

我是一种双语(英语/西班牙语)自由作家,他热切地尝试贡献内容的行业。我有许多领域的经验,就像社会学,技术和教育一样。我在印度度过了时间学习和观察文化,这已经开发了我的创造力,并激发了我对新事物的写作。当我没有为优秀网站产生有趣的内容时,我喜欢阅读,摄影和学习关于我周围令人惊叹的世界的新事物。

Facebook评论