醫療器械網絡的安全隱患越發嚴峻,這堵防火墻將如何筑造?
和其他的計算機系統一樣,醫療設備也很容易受到安全漏洞的影響,醫療器械網絡安全出現問題不僅可能會侵犯患者隱私,而且可能會產生醫療器械非預期運行的風險,導致患者或使用者受到傷害或死亡。
因此,醫療器械網絡安全是醫療器械安全性和有效性的重要組成部分之一。
威脅和漏洞無法消除,如何降低風險顯得尤為重要。國內外的醫療設備網絡安全問題處于什么樣的環境中?這個賽道又哪些創業公司以全新的方法論和技術可以構筑防火墻?
醫療器械將成為網絡攻擊下一個目標
據2017年的數據顯示,美國2010-2015年醫療信息泄露事件次數每年發生200多起。而今,形勢甚至變得更為嚴峻,2018就發生503起醫療保健數據泄露事件。(數據來源:美國衛生與公民服務部)
FortiGuard的實驗室報告稱,2017年醫療保健平均每個組織平均每天有近32,000次入侵攻擊,而在其他行業這個數字是超過14,300次。顯然,醫療行業受到了更多的攻擊。
在國內,情況也不容樂觀,2017年,《法制日報》發布了一篇名為《7億條個人信息遭泄露 浙江判決特大侵犯公民信息案》的報道,曝出黑客入侵了某部委的醫療服務信息系統,大量孕檢信息遭到泄露和買賣。
然而有一個值得關注的趨勢,黑客們不再滿足于提取醫療記錄和患者數據。他們把手伸向了醫療設備,威脅患者的安全。
多年來,醫療機構一直在保護患者的個人健康信息(PHI)。隨著物聯網時代的到來,醫療行業將面臨新的挑戰。醫療物聯網涵蓋輸液泵、核磁共振成像儀、x光機、心臟監護儀等醫療設備,它們都可能成為被攻擊勒索的對象。
盡管醫療物聯網可以提高醫療保健的效率,但是如果沒有安全保護的醫療物聯網設備,它也會導致更大風險暴露。隨著5G技術的飛速發展,物聯網的到來正在加速,而還沒有設置網絡安全保護的醫療設備宛如在網絡攻擊面前“裸奔”。
一個例子就是2017年5月WannaCry勒索病毒攻擊英國國家醫療服務體系(NHS)。
在2018年2月,《The Naked Security 》報道了WannaCry是如何影響英國國家醫療服務體系(NHS)的。報道中闡述勒索軟件針對的是運行在Windows XP工作站的MRI和CT掃描儀。雖然這次攻擊的影響僅僅是勒索錢財以釋放設備,但更大的擔憂是,惡意軟件可能會影響設備的操作,干擾設備的移動方式,干擾掃描信號,甚至改變結果。
2017年,《福布斯》也報道了美國一家醫院的拜耳Medrad設備被感染。拜耳的一位發言人證實,該公司已收到兩份來自美國客戶的報告,報告顯示設備受到了勒索軟件的攻擊,但沒有透露具體是哪些產品受到了影響。兩個站點也在24小時候恢復了運作。
黑客可以直接攻擊醫療設備,進行勒索,除此之外,醫療設備還可能成為他們的幫兇,成為竊聽的工具。
在2017年8月,FDA召回了近50萬個心臟起搏器,原因是擔心無線竊聽。就連美國前副總統迪克切尼(Dick Cheney)也對他的心臟起搏器進行了修改,以確保它不受攻擊。
史密斯醫療公司的Medfusion 4000無線注射器輸液泵也是一個例子。這種輸液泵在全球范圍內使用,用于在疾病護理環境中從注射器中輸送小劑量藥物。據ICS-CERT在2017年9月報道,這些設備包含8個可以遠程利用的漏洞。
據Gartner Research稱,到2020年,25%的醫療保健攻擊將來自物聯網設備。SANS報告稱,醫院中大約17%的網絡攻擊來自醫療終端,報告中77%的醫院表示醫療設備的安全風險是他們最關心的問題。
廣州市婦女兒童醫療中心數據中心副主任曹曉均也表示:“醫療器械與終端設備不同,可能是定制化的系統與軟件,并部署在專有的網絡環境中。不能按照普通終端的防護方式去執行自我保護,但是又因為系統版本老舊,部署不規范等環境的限制極易遭受攻擊。”
曹曉均也指出目前在網絡安全和終端安全方面薄弱的問題,他認為在終端安全上容易忽視的問題如下:
1、內網終端主機自從分發后就沒有打過系統補丁,漏洞百出,惡意代碼入侵長驅直入;
2、為了便于操作,終端往往使用弱口令,病毒使用暴力破解得到密碼后,直接使用管理員身份登陸系統,繞開一切防護手段,在系統中為所欲為;
3、為了便于作業與辦公,濫用移動存儲設備,導致惡意代碼有很好的傳播途徑;
4、因為安全意識宣貫不到位,人員安全意識缺乏,為了圖方便使用熱點非法外聯,導致內外網互通,引入了未知風險。
而網絡安全上也存在一些容易忽視的問題,包括:
1、 基礎網建設雜亂,沒有分區分域。當安全事件爆發后,在網絡中傳播速度較快,沒法辦做到及時封堵;
2、 網絡安全設備的策略規范化,很多網絡設備上線后從未更改過策略,或者都是默認放通,起不到理想的防御作用,形同虛設;
3、 沒有人去定期分析總結網絡中的安全日志,常常錯失處理安全事件最佳的處理時間,導致事態發展到不受控制,工作一直處于被動防御狀態。
關于如何防護,他給出了兩點建議:
1、主機上通過限制軟件最小權限的方式執行保護,只允許特定的程序與接口工作,其他操作一概阻止,這樣做相當于給可信的軟件做了一個保護罩,直接杜絕了惡意代碼的生存與傳播途徑;
2、網絡環境允許的情況下,把儀器設備歸類到同一網段下,在該網段前部署安全網關,從網絡傳播途徑上進行清理惡意代碼,做到區域的保護。
醫療器械網絡安全需要合作搭起安全網
為什么醫療組織會受到攻擊。因為醫療數據價值高而保護薄弱,其次受夠攻擊最多的行業就是金融行業。對于醫院來說,因為HIPAA法案,有關患者信息的泄露或者設備遭到攻擊,醫院將遭到更嚴重的懲罰。
在國內也不例外,2018年發布的《網絡安全等級保護條例(征求意見稿)》中把信息系統的安全等級分為了5級,其中提出將“會造成特別嚴重損害”的情況下,信息系統應采取的保護等級提高到第三級。
如果醫院發生網絡安全事故將有誰負責呢?依據2011年衛生部發布的《衛生行業信息安全等級保護工作的指導意見》,其中明確了網絡安全負責的責任主體是“誰主管、誰負責,誰運營、誰負責”。
醫療器械生產廠商同樣有負有保證醫療器械網絡安全的責任。在2017 《醫療器械網絡安全注冊技術審查指導原則》就明確寫道:
“醫療器械產品在使用過程中常與非注冊申請人預期的設備或系統相連接,這就使得注冊申請人自身難以控制和保證醫療器械產品的網絡安全。因此,醫療器械的網絡安全需要注冊申請人、用戶和信息技術服務商的共同努力和通力合作才能得以保障。但是這并不意味著注冊申請人可以免除醫療器械網絡安全的相關責任,注冊申請人應當保證醫療器械產品自身的網絡安全,并明確與其預期相連設備或系統的接口要求,從而保證醫療器械產品的安全性和有效性。”
而關于國內醫院應對網絡安全攻擊的模式,曹曉均副主任告訴動脈網:“在應對網絡安全的時候,有經驗的第三方公司依照醫院的具體環境和情況制定安全方案,院內審批后協同執行安全建設。”
大部分醫院并未達到現行最高標準
對于醫療安全保護的標準,2018年衛健委發布的《全國醫院信息化建設標準與規范(試行)》中有著規范和全面要求。
衛健委對于不同等級的醫院提出了不同的標準要求。從數據中心安全(防火墻、安全審計設備、系統加固設備、數據加固設備、入侵防范設備、身份認證系統、訪問控制系統、安全管理系統、);終端安全(身份認證設備、介質安全設備、客戶端管理系統、終端安全管理系統);網絡安全(結構安全設備、通信加密設備、網絡優化設備、網絡安全管理);容災備份(基礎設備災備、備用網絡災備、數據備份與恢復、應用容災)四個方面提供了標準和要求。
但是根據現實情況來說,依據騰訊智慧安全、中國醫院協會信息管理專業委員會(CHIMA)聯合研究發布《醫療行業安全指數報告》中指出,在衛健委指導下,全國醫院信息安全建設水平不斷提升。《報告》顯示,國內38%的醫院指數值處于良好水平,22%的醫院處于優秀水平,顯示出在衛健委指導下,全國醫院信息安全建設水平正在不斷提升 。
但是也有一些問題暴露,醫療行業信息安全建設意識薄弱,核心數據缺乏有效的安全防護。問題主要表現為:網絡空間資產端口開放較多,隱患大,如開放遠程登錄服務的比例高達50%;外網電腦的安全風險較多,可能會給不法訪問者以可乘之機;線上服務平臺及第三方醫療服務平臺脆弱性會提升醫療數據泄露的風險;醫療行業已經成為勒索病毒攻擊的主要目標,醫療業務連續性受到挑戰。
廣州市婦女兒童醫療中心作為全國第四家通過HIMSS 7級認證的醫院,曹曉均也分享了廣州市婦女兒童醫療中心的在網絡安全方面的建設經驗。
他表示:“衛健委發布的《全國醫院信息化建設標準與規范(試行)》中,對數據中心的安全防護從防火墻、安全審計、系統加固、數據加固等八個大方面進行提出詳細的要求,在國內并不是所有的三甲醫院都能完全滿足所有的推薦要求,特別是在入侵防護和身份認證方面,很多醫院并未做到非常完善。我院在建立云上醫院的起初,就非常重視數據中心的安全防護,因為云上的數據中心更容易出現安全漏洞,導致安全事故。因此,我院按照衛健委對三甲醫院的要求,對云上數據中心提出安全建設的要求,并通過多期建設逐步完善,已經初步達到《全國醫院信息化建設標準與規范(試行)》八個方面安全標準。”
分享
請輸入評論內容...
請輸入評論/評論長度6~500個字
圖片新聞
