4000-110-253
醫(yī)療器(qì)械的安全至關重要. 2021-01-21
糖尿病患者最不願意看到的事情就是,當藥物被泵入到體(tǐ)內(nèi)時(shí),胰島素泵卻被黑(hēi)客攻擊了。不幸的是,目前醫(yī)療設備的安全性依然還(hái)是一個(gè)很(hěn)大(dà)的問題。
去年,美國網絡安全和(hé)基礎設施安全局(CISA)發布的警告中與藥物泵有(yǒu)關的警告就超過了半數(shù)。例如,在百特國際和(hé)Becton Dickinson Alaris System公司生(shēng)産的泵中發現的漏洞,黑(hēi)客就可(kě)能利用它來(lái)發動DDoS攻擊,以此來(lái)改變系統配置或竊取患者的數(shù)據。
安全形勢的判斷
網絡安全成為(wèi)了聯邦藥品管理(lǐ)局的一個(gè)重要工作(zuò)。2020年,FDA發布了一連串的警告,敦促醫(yī)療設備制(zhì)造商和(hé)醫(yī)院針對一系列的含有(yǒu)漏洞的硬件進行(xíng)修複,包括SweynTooth,URGENT/11,Ripple20和(hé)SigRed。
比如Ripple20是2020年6月發現的一組bug,該漏洞影(yǐng)響了5.3萬個(gè)醫(yī)療設備。根據Forescout的研究,這些(xiē)漏洞可(kě)以讓攻擊者執行(xíng)遠程代碼。
根據Ordr的數(shù)據,通(tōng)過對500萬台醫(yī)療物聯網(IoMT)設備進行(xíng)了為(wèi)期一年的分析,發現有(yǒu)86%的醫(yī)療軟件部署在內(nèi)網的被召回的醫(yī)療設備上(shàng)。被召回的IoMT設備可(kě)以認為(wèi)是有(yǒu)漏洞的,或者是會(huì)造成安全風險的設備。
潛在的風險
專家(jiā)警告說,醫(yī)療設備安全是一個(gè)長期的問題,現在又由于受到COVID的影(yǐng)響,這一形勢又變得(de)更加的嚴峻。為(wèi)了能夠拯救更多(duō)的生(shēng)命,醫(yī)院必須要優先考慮設備預算(suàn)和(hé)人(rén)員的配置, 這也就意味着網絡安全常常被放置于次要的地位。更加糟糕的是,黑(hēi)客們也意識到了這一點,現在他們也在利用醫(yī)療機構薄弱的網絡安全措施,進行(xíng)了大(dà)量的勒索軟件和(hé)釣魚攻擊。
Universal Health Services是2020年受到勒索軟件攻擊的幾個(gè)醫(yī)院之一,由于該機構受到了網絡犯罪分子的攻擊,對美國、波多(duō)黎各和(hé)英國的400多(duō)個(gè)設施造成了重大(dà)的影(yǐng)響。據長期工作(zuò)在醫(yī)療領域的CISO Tom August介紹,這種針對醫(yī)療設備進行(xíng)攻擊的問題不容忽視(shì)。
August說:"如果這些(xiē)設備中的一個(gè)被攻擊,那(nà)麽造成的潛在的影(yǐng)響真的很(hěn)大(dà),但(dàn)是被攻擊的可(kě)能性很(hěn)小(xiǎo)。也許你(nǐ)在我的電(diàn)腦(nǎo)上(shàng)安裝了勒索軟件,對于我來(lái)說這很(hěn)糟糕。但(dàn)如果你(nǐ)在病人(rén)連接的醫(yī)療設備上(shàng)安裝惡意軟件,就會(huì)對人(rén)的生(shēng)命造成巨大(dà)的危害。"
醫(yī)療設備安全的曆史
我們應該認識到,如何保證醫(yī)療設備的安全性在安全領域一直是一個(gè)很(hěn)有(yǒu)挑戰性的問題,長期以來(lái),醫(yī)療設備的安全管理(lǐ)是非常艱難的。也就是說,醫(yī)療設備往往存在補丁發布和(hé)更新機制(zhì)不明(míng)确,設備配置錯誤等諸多(duō)問題(比如忘記更改默認密碼)。
醫(yī)療物聯網設備被召回在并運行(xíng)在內(nèi)部網絡中。 Tripwire産品管理(lǐ)和(hé)戰略副總裁Tim Erlin說:"冠狀病毒并沒有(yǒu)在醫(yī)療設備上(shàng)制(zhì)造更多(duō)的漏洞,而是将已經存在的漏洞暴露了出來(lái)"。
該領域也面臨着一些(xiē)特有(yǒu)的挑戰。例如,由于FDA對設備的配置有(yǒu)嚴格要求而且機構和(hé)供應商簽訂了合同,護理(lǐ)機構往往必須依靠辦事效率低(dī)下的供應商進行(xíng)打補丁、升級和(hé)更換,這是一個(gè)十分緩慢的過程。
August說:"醫(yī)療設備是醫(yī)院的一個(gè)盲點,在許多(duō)情況下,醫(yī)院不能管理(lǐ)設備 ,這項工作(zuò)必須由供應商來(lái)做(zuò)。我們不能給它們打補丁,因為(wèi)供應商不允許。我們不能安裝反惡意軟件進行(xíng)保護,因為(wèi)供應商說這樣會(huì)違反保修的合同。"
解決方法
減少(shǎo)醫(yī)療設備的網絡安全風險可(kě)能特别困難,但(dàn)有(yǒu)一些(xiē)很(hěn)好的實踐案例可(kě)以幫助到我們。
清查醫(yī)療設備是确保網絡安全的第一步。Ordr研究發現,51%的IT團隊不知道(dào)什麽類型的設備已經連接到了他們的網絡中。
Ordr還(hái)發現Facebook和(hé)YouTube應用程序可(kě)以在MRI和(hé)Windows XP等系統上(shàng)運行(xíng)。
根據報告,"使用醫(yī)療設備進行(xíng)上(shàng)網可(kě)能會(huì)使機構面臨着更高(gāo)的安全風險,很(hěn)容易受到勒索軟件和(hé)其他惡意軟件的攻擊"。
同時(shí),提出以下的評估物聯網設備的建議:評估設備暴露在互聯網上(shàng)的情況,禁用設備上(shàng)不必要的或未使用的服務,并按照設備的需求來(lái)劃分網絡。
轉自~陽光~
本文翻譯自:https://threatpost.com/medical-device-security/163127/
