糖尿病患者最不想看到的是,当药物被泵入体内时,胰岛素泵被黑客攻击。不幸的是,医疗设备的安全仍然是一个大问题。
去年,美国网络安全和基础设施安全局(CISA)超过一半的警告与药物泵有关。例如,在百特国际和Becton Dickinson Alaris System黑客可以利用公司生产的泵中发现的漏洞来启动DDoS改变系统配置或窃取患者数据的攻击。
判断安全状况
网络安全已成为联邦药品管理局的重要工作。2020年,FDA发出一系列警告,敦促医疗设备制造商和医院修复一系列有漏洞的硬件,包括SweynTooth,URGENT/11,Ripple20和SigRed。
比如Ripple20是2020年6月发现的一组bug,影响漏洞5.3一万种医疗设备Forescout这些漏洞允许攻击者执行远程代码。
根据Ordr通过对500万医疗物联网的数据(IoMT)经过一年的分析,发现86%的医疗软件部署在内网召回的医疗设备上。IoMT设备可视为有漏洞或有安全风险的设备。
潜在的风险
专家警告说,医疗设备的安全是一个长期的问题,现在由于COVID这种情况变得更加严重。为了挽救更多的生命,医院必须优先考虑设备预算和人员配置, 这意味着网络安全往往处于次要地位。更糟糕的是,黑客也意识到了这一点,现在他们正在利用医疗机构薄弱的网络安全措施进行大量的勒索软件和钓鱼攻击。
Universal Health Services它是2020年被勒索软件攻击的几家医院之一。由于该机构受到网络犯罪分子的攻击,它对美国、波多黎各和英国的400多个设施产生了重大影响。根据医疗领域的长期工作CISO Tom August介绍,这种攻击医疗设备的问题不容忽视。
August说:"如果这些设备中的一个被攻击,潜在的影响确实很大,但被攻击的可能性很小。也许你在我的电脑上安装了勒索软件,这对我来说很糟糕。但如果你在病人连接的医疗设备上安装恶意软件,它将对人们的生命造成巨大的伤害。"
医疗设备安全历史
我们应该认识到,如何确保医疗设备在安全领域的安全一直是一个非常具有挑战性的问题。长期以来,医疗设备的安全管理一直非常困难。换句话说,医疗设备往往存在许多问题,如补丁发布和更新机制不明确、设备配置错误(如忘记更改默认密码)。
在内部网络中召回并运行医疗物联网设备。Tripwire产品管理和战略副总裁Tim Erlin说:"冠状病毒并没有在医疗设备上造成更多的漏洞,而是暴露了现有的漏洞"。
该领域也面临着一些独特的挑战。例如,由于FDA对设备配置有严格要求,机构与供应商签订合同,护理机构往往依靠低效供应商进行补丁、升级和更换,这是一个非常缓慢的过程。
August说:"医疗设备是医院的盲点。在许多情况下,医院不能管理设备 ,这项工作必须由供应商完成。由于供应商不允许,我们不能给他们补丁。我们不能安装反恶意软件进行保护,因为供应商说这将违反保修合同。"
解决方法
可能很难降低医疗设备的网络安全风险,但有一些很好的实践案例可以帮助我们。
检查医疗设备是确保网络安全的第一步。Ordr研究发现,51%IT团队不知道什么类型的设备已经连接到他们的网络。
Ordr还发现Facebook和YouTube可以使用应用程序MRI和Windows XP等系统运行。
根据报告,"使用医疗设备进行上网可能会使机构面临着更高的安全风险,很容易受到勒索软件和其他恶意软件的攻击"。
同时,对物联网设备的评价提出以下建议:评价设备暴露在互联网上的情况,禁止设备上不必要或未使用的服务,并根据设备的需要划分网络。
本文翻译自:https://threatpost.com/medical-device-security/163127/