去年�,美國(guó)網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)發(fā)布的警告中與藥物泵有關(guān)的警告就超過(guò)了半數(shù)。例如���,在百特國(guó)際和Becton Dickinson Alaris System公司生產(chǎn)的泵中發(fā)現(xiàn)的漏洞����,黑客就可能利用它來(lái)發(fā)動(dòng)DDoS攻擊�����,以此來(lái)改變系統(tǒng)配置或竊取患者的數(shù)據(jù)�����。
01安全形勢(shì)的判斷
網(wǎng)絡(luò)安全成為了聯(lián)邦藥品管理局的一個(gè)重要工作。2020年����,F(xiàn)DA發(fā)布了一連串的警告�,敦促醫(yī)療設(shè)備制造商和醫(yī)院針對(duì)一系列的含有漏洞的硬件進(jìn)行修復(fù),包括SweynTooth�����,URGENT/11����,Ripple20和SigRed。
比如Ripple20是2020年6月發(fā)現(xiàn)的一組bug���,該漏洞影響了5.3萬(wàn)個(gè)醫(yī)療設(shè)備���。根據(jù)Forescout的研究,這些漏洞可以讓攻擊者執(zhí)行遠(yuǎn)程代碼���。
根據(jù)Ordr的數(shù)據(jù)���,通過(guò)對(duì)500萬(wàn)臺(tái)醫(yī)療物聯(lián)網(wǎng)(IoMT)設(shè)備進(jìn)行了為期一年的分析��,發(fā)現(xiàn)有86%的醫(yī)療軟件部署在內(nèi)網(wǎng)的被召回的醫(yī)療設(shè)備上��。被召回的IoMT設(shè)備可以認(rèn)為是有漏洞的�,或者是會(huì)造成安全風(fēng)險(xiǎn)的設(shè)備�����。
02潛在的風(fēng)險(xiǎn)
專家警告說(shuō)���,醫(yī)療設(shè)備安全是一個(gè)長(zhǎng)期的問(wèn)題���,現(xiàn)在又由于受到COVID的影響,這一形勢(shì)又變得更加的嚴(yán)峻���。為了能夠拯救更多的生命�,醫(yī)院必須要優(yōu)先考慮設(shè)備預(yù)算和人員的配置�����, 這也就意味著網(wǎng)絡(luò)安全常常被放置于次要的地位��。更加糟糕的是�����,黑客們也意識(shí)到了這一點(diǎn),現(xiàn)在他們也在利用醫(yī)療機(jī)構(gòu)薄弱的網(wǎng)絡(luò)安全措施���,進(jìn)行了大量的勒索軟件和釣魚(yú)攻擊�。
Universal Health Services是2020年受到勒索軟件攻擊的幾個(gè)醫(yī)院之一�����,由于該機(jī)構(gòu)受到了網(wǎng)絡(luò)犯罪分子的攻擊��,對(duì)美國(guó)���、波多黎各和英國(guó)的400多個(gè)設(shè)施造成了重大的影響。據(jù)長(zhǎng)期工作在醫(yī)療領(lǐng)域的CISO Tom August介紹�����,這種針對(duì)醫(yī)療設(shè)備進(jìn)行攻擊的問(wèn)題不容忽視��。
August說(shuō):"如果這些設(shè)備中的一個(gè)被攻擊����,那么造成的潛在的影響真的很大�,但是被攻擊的可能性很小��。也許你在我的電腦上安裝了勒索軟件����,對(duì)于我來(lái)說(shuō)這很糟糕。但如果你在病人連接的醫(yī)療設(shè)備上安裝惡意軟件��,就會(huì)對(duì)人的生命造成巨大的危害�。"
03醫(yī)療設(shè)備安全的歷史
我們應(yīng)該認(rèn)識(shí)到,如何保證醫(yī)療設(shè)備的安全性在安全領(lǐng)域一直是一個(gè)很有挑戰(zhàn)性的問(wèn)題���,長(zhǎng)期以來(lái)��,醫(yī)療設(shè)備的安全管理是非常艱難的��。也就是說(shuō)����,醫(yī)療設(shè)備往往存在補(bǔ)丁發(fā)布和更新機(jī)制不明確�,設(shè)備配置錯(cuò)誤等諸多問(wèn)題(比如忘記更改默認(rèn)密碼)。
醫(yī)療物聯(lián)網(wǎng)設(shè)備被召回在并運(yùn)行在內(nèi)部網(wǎng)絡(luò)中�。Tripwire產(chǎn)品管理和戰(zhàn)略副總裁Tim Erlin說(shuō):"冠狀病毒并沒(méi)有在醫(yī)療設(shè)備上制造更多的漏洞,而是將已經(jīng)存在的漏洞暴露了出來(lái)"���。
該領(lǐng)域也面臨著一些特有的挑戰(zhàn)�����。例如�,由于FDA對(duì)設(shè)備的配置有嚴(yán)格要求而且機(jī)構(gòu)和供應(yīng)商簽訂了合同,護(hù)理機(jī)構(gòu)往往必須依靠辦事效率低下的供應(yīng)商進(jìn)行打補(bǔ)丁�����、升級(jí)和更換�����,這是一個(gè)十分緩慢的過(guò)程���。
August說(shuō):"醫(yī)療設(shè)備是醫(yī)院的一個(gè)盲點(diǎn),在許多情況下��,醫(yī)院不能管理設(shè)備 ����,這項(xiàng)工作必須由供應(yīng)商來(lái)做。我們不能給它們打補(bǔ)丁����,因?yàn)楣?yīng)商不允許�。我們不能安裝反惡意軟件進(jìn)行保護(hù)�����,因?yàn)楣?yīng)商說(shuō)這樣會(huì)違反保修的合同��。"
04解決方法
減少醫(yī)療設(shè)備的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)可能特別困難��,但有一些很好的實(shí)踐案例可以幫助到我們���。
清查醫(yī)療設(shè)備是確保網(wǎng)絡(luò)安全的第一步��。Ordr研究發(fā)現(xiàn)�����,51%的IT團(tuán)隊(duì)不知道什么類型的設(shè)備已經(jīng)連接到了他們的網(wǎng)絡(luò)中�。
Ordr還發(fā)現(xiàn)Facebook和YouTube應(yīng)用程序可以在MRI和Windows XP等系統(tǒng)上運(yùn)行�。
根據(jù)報(bào)告,"使用醫(yī)療設(shè)備進(jìn)行上網(wǎng)可能會(huì)使機(jī)構(gòu)面臨著更高的安全風(fēng)險(xiǎn)�,很容易受到勒索軟件和其他惡意軟件的攻擊"。
同時(shí),提出以下的評(píng)估物聯(lián)網(wǎng)設(shè)備的建議:評(píng)估設(shè)備暴露在互聯(lián)網(wǎng)上的情況����,禁用設(shè)備上不必要的或未使用的服務(wù),并按照設(shè)備的需求來(lái)劃分網(wǎng)絡(luò)�。
