医疗保健中的物联网,有时也被称为医疗物联网(IoMT),可以包括用于重复任务的简单设备,以及用于管理重症监护和救生药物的非常重要的设备。在全国各地的医疗保健机构中,有成千上万的这种设备在使用,然而,问题在于许多IoMT设备缺乏网络安全保障,并且变得越来越不安全。
这一问题很大程度上源于使用设备的年龄,其中许多设备已经使用了5年、10年或15年。它们不是为我们今天面临的网络安全挑战.除了这些IoMT设备的年龄之外,制造商还没有采取太多措施来保护他们的设备,或对已知的漏洞提供及时的网络安全更新。
许多系统在整个生命周期内从未打过补丁,因此结果是这些设备往往成为网络犯罪分子的容易目标,他们希望建立一个立足点,从那里发起勒索软件,提取受监管的数据以获取金钱利益。
今天,IoMT占连接到医疗保健网络的终端的75%以上。它们包括x光、CT和PET扫描仪、患者遥测系统和输液泵、用于神经外科、药房和实验室工作的越来越多的机器人设备,以及控制电梯、火灾警报和暖通空调系统的自动化建筑管理系统,这些系统维持正负压房间,以控制大流行疾病。
糟糕的IoMT网络安全以及医疗保健领域缺乏数字卫生是什么样子的?
NHSX的临时CIO报告称,NHS每月会阻止2100万项恶意活动。作为世界上最大的雇主,由于其医疗数据的绝对价值,NHS将永远是网络犯罪的目标。目前,全球30%的数据是通过医疗保健部门产生的,到2025年,这一比例将增加到36%。 为了在2023年更好地准备我们的医疗保健系统,我们需要解决每个系统的网络安全问题IoMT以预防性和前瞻性的方式确保设备的生命周期,并纳入将网络安全措施和数字卫生置于每个组织基础设施中心的方法。
缺乏强大的身份验证过程
大多数技术都需要密码,但IoMT通常不需要身份验证。例如,把心脏监测器放在病人身上,就开始记录他们的心脏活动。然后,医疗专业人员可以访问这些数据,在 许多情况下,不需要密码就可以查看这些数据。诊所或医院的IT部门可以很容易地解决这个问题,但重要的是要记住,在授权方面,依赖弱密码几乎和根本没有密码一样糟糕。82%的入侵都与人为因素有关,以及糟糕的凭证是黑客入侵组织数据的主要手段,培训医疗保健人员确保密码安全,以及避免使用简单、容易猜到的密码,对于确保医疗保健行业良好的网络卫生至关重要。医疗IT部门应该建立强大的身份验证协议,例如多因素身份验证(MFA),以帮助避免这些违规行为。
从外部设备访问IoMT设备的能力
互联医疗设备被设计为可以通过其他设备访问,例如智能手机。这随后为攻击者提供了另一条直接进入医疗设备本身的路径,从那里他们可以进一步渗透医疗保健数据。同样,强身份验证过程可以帮助缓解这种情况,但设备本身的强安全性也可以。我们倾向于认为网络攻击只发生在网上,但也有可能,例如,攻击者可能从医院不安全的位置偷了一台笔记本电脑,并通过这种方式访问 医疗数据。确保您的网络安全协议意味着只有授权人员才能访问具有IoMT访问权限的计算机和其他设备。
有bug或未打补丁的软件
网络罪犯依赖于软件的延迟补丁。恶意分子知道您的软件中的故障,他们也知道 安全补丁 何时被推出。确保及时安装网络安全补丁,这样犯罪分子就不会利用他们在最新更新的发布说明中了解到的IoMT弱点。此外,许多物联网医疗设备在其整个生命周期内从未打过补丁,这意味着关键更新被推迟,因为它们需要经过彻底的测试,以确保它们不会干扰设备的功能。医疗设备的寿命很容易是个人电脑的两倍,这一事实揭示了网络犯罪分子正在伺机而动的一个弱点。
不安全的网络访问
当您的IoMT设备与其他基础设施处于同一网络中时,您将面临网络安全问题和攻击,攻击不仅针对您的IoMT设备,而且针对整个系统。为了防止这种情况,可以对网络进行分段,并仅为IoMT使用一段网络。这样,如果对设备的攻击发生,它将停留在网络的一个区域。
失去了的设备
设备的问题在于它们可能会丢失。人们很容易把手机放下,或者摘下智能手表,然后就再也找不到了。对于一些IoMT设备也是如此。它们可能从医疗机构被盗,也可能被拥有医疗设备的人带离现场并丢失。重要的是要制定流程以确保设备不易丢失,并且在设备丢失时也要制定计划。强身份验证、跟踪和其他类似方法可以确保丢失的设备不会成为进入医疗机构IT基础设施的网关。
尽管这些关键系统在我们的医疗保健环境中广泛流行,但大多数供应商都很难准确地了解连接到他们的网络的究竟是什么,更不用说这些端点在保护医疗保健数据的机密性、完整性和可用性方面代表了什么风险。其中许多国家也没有有效的战略来应对不断上升的风险,包括在一开始就减轻这些风险的预防措施方案。一个缺少供应商批准的补丁以及对医疗设备上具体运行的内容的有限了解,需要更多的了解软件物料清单(SBoM)。
软件材料清单(soms)使医疗保健机构能够管理医疗设备安全风险,同时促进制造商和供应商之间的透明度。随着威胁不断增加,违规行为创历史新高,医疗保健机构完全缺乏网络安全和数字卫生,我们医疗保健部门的良好状况在很大程度上取决于组织基础设施中的网络安全和数字卫生水平,而且还取决于内部员工如何维护和维护。
本文作者:Phil Howe, at的首席技术官从核心到云
