有什么危險?

 

就在最近，國土安全部(DHS)和網絡安全與基礎設施安全局(CISA)發布了關于流行醫療設備中21個漏洞。大多數問題都與電子保護健康信息(ePHI)的保密性有關。

 

這對于患者來說是一個巨大的問題，同時醫院也需要為攻擊事件買單，而醫療機構面臨的成本是最高的，平均每起事故約645萬美元，比行業平均水平高出65%。

 

而攻擊對其產生的影響還不僅限于ePHI和修復成本。DHS CISA報告的其中一個漏洞可能允許攻擊者更改治療狀態信息，從而影響治療過程本身。

 

CyberMDX的網絡安全研究人員已經證明，利用某些為“輸液泵提供安裝、供電和通信支持”的設備中的漏洞，攻擊者可能會實現禁用設備、安裝惡意軟件或報告錯誤信息等操作。在極端情況下，攻擊者甚至可以直接與連接到網關的泵通信，從而改變藥物劑量和輸注速率。

 

醫院是物聯網安全的獨角獸

 

醫院的物聯網安全性為何與眾不同?以下是一些顯著的特點和注意事項。

 

• 不安全的生命支持設備——每張床有10到15個醫療設備，新的智能床可監控多達35個數據點，包括血液、氧氣和壓力傳感器等。然而這些設備中的許多在設計時幾乎沒有考慮到安全性，為方便使用，它們可能有硬編碼的密碼，故此，任何人都可以通過物理或網絡訪問進行篡改。其他可能不存在的安全因素還包括用戶認證和無線通信中缺少加密。

 

• 舊版操作系統(OS)——據統計，幾乎近一半的醫療設備運行在不受支持的操作系統上，并且不再接收安全更新。這些設備包括超聲波機、核磁共振成像儀等，這樣會使它們成為勒索軟件等網絡攻擊的最佳目標。事實上，Check Point的研究人員已經證明了運行在舊Windows操作系統上的超聲波機器很容易被破壞，從而暴露出病人圖像的整個數據庫。然而，最近幾個月，針對醫療機構的勒索軟件攻擊激增了75%。

 

• 有利可圖的健康記錄——在暗網上每條記錄的出售價格高達1000美元，受到破壞的電子健康記錄非常容易成為目標。醫院平均每條記錄要花費 430美元，以減輕每個被盜的醫療身份。

 

• 多種物聯網設備類型——不僅醫院的醫療設備容易受到攻擊，智能辦公和樓宇管理系統(BMS)資產也是主要目標。這些設備包括IP攝像頭、智能電梯、打印機，以及連接的BMS資產，如HVAC系統、備用發電機，甚至可以幫助減少泄漏的智能水管。

 

加強醫院設備和網絡

 

好消息是，醫院和醫療保健制造商都可以采取預防措施以最大程度地降低其安全風險。

 

在網絡方面，建議醫院：

 

• 確保對其所有醫療設備的可見性，并識別高風險設備

 

• 與制造商一起解決關鍵漏洞或使用正確的網絡配置

 

• 將IT網絡從IoT網絡或IoT設備區域分段，并將設備群集分段到IoT設備區域，以便僅相關設備相互通信

 

• 使用虛擬補丁程序防止已知漏洞的利用

 

• 利用安全規則和威脅情報來防止惡意攻擊IoT設備，并且要防止受感染的設備破壞其他網絡元素

 

• 旨在進行集中監視和警報，以加快檢測和響應速度

 

在設備方面，建議醫療設備制造商：

 

• 評估其設備固件的安全性以發現漏洞并進行補救

 

• 使用納米代理添加設備上運行時保護，以防止設備級別的0 day攻擊，包括控制流劫持，內存損壞和外殼注入。