糖尿病患者最不愿意看到的事情就是,當藥物被泵入到體內(nèi)時,胰島素泵卻被黑客攻擊了。不幸的是,目前醫(yī)療設(shè)備的安全性依然還是一個很大的問題。
去年,美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)發(fā)布的警告中與藥物泵有關(guān)的警告就超過了半數(shù)。例如,在百特國際和Becton Dickinson Alaris System公司生產(chǎn)的泵中發(fā)現(xiàn)的漏洞,黑客就可能利用它來發(fā)動DDoS攻擊,以此來改變系統(tǒng)配置或竊取患者的數(shù)據(jù)。
安全形勢的判斷
網(wǎng)絡(luò)安全成為了聯(lián)邦藥品管理局的一個重要工作。2020年,F(xiàn)DA發(fā)布了一連串的警告,敦促醫(yī)療設(shè)備制造商和醫(yī)院針對一系列的含有漏洞的硬件進行修復(fù),包括SweynTooth,URGENT/11,Ripple20和SigRed。
比如Ripple20是2020年6月發(fā)現(xiàn)的一組bug,該漏洞影響了5.3萬個醫(yī)療設(shè)備。根據(jù)Forescout的研究,這些漏洞可以讓攻擊者執(zhí)行遠程代碼。
根據(jù)Ordr的數(shù)據(jù),通過對500萬臺醫(yī)療物聯(lián)網(wǎng)(IoMT)設(shè)備進行了為期一年的分析,發(fā)現(xiàn)有86%的醫(yī)療軟件部署在內(nèi)網(wǎng)的被召回的醫(yī)療設(shè)備上。被召回的IoMT設(shè)備可以認為是有漏洞的,或者是會造成安全風(fēng)險的設(shè)備。
潛在的風(fēng)險
專家警告說,醫(yī)療設(shè)備安全是一個長期的問題,現(xiàn)在又由于受到COVID的影響,這一形勢又變得更加的嚴峻。為了能夠拯救更多的生命,醫(yī)院必須要優(yōu)先考慮設(shè)備預(yù)算和人員的配置,這也就意味著網(wǎng)絡(luò)安全常常被放置于次要的地位。更加糟糕的是,黑客們也意識到了這一點,現(xiàn)在他們也在利用醫(yī)療機構(gòu)薄弱的網(wǎng)絡(luò)安全措施,進行了大量的勒索軟件和釣魚攻擊。
Universal Health Services是2020年受到勒索軟件攻擊的幾個醫(yī)院之一,由于該機構(gòu)受到了網(wǎng)絡(luò)犯罪分子的攻擊,對美國、波多黎各和英國的400多個設(shè)施造成了重大的影響。據(jù)長期工作在醫(yī)療領(lǐng)域的CISO Tom August介紹,這種針對醫(yī)療設(shè)備進行攻擊的問題不容忽視。
August說:"如果這些設(shè)備中的一個被攻擊,那么造成的潛在的影響真的很大,但是被攻擊的可能性很小。也許你在我的電腦上安裝了勒索軟件,對于我來說這很糟糕。但如果你在病人連接的醫(yī)療設(shè)備上安裝惡意軟件,就會對人的生命造成巨大的危害。"
醫(yī)療設(shè)備安全的歷史
我們應(yīng)該認識到,如何保證醫(yī)療設(shè)備的安全性在安全領(lǐng)域一直是一個很有挑戰(zhàn)性的問題,長期以來,醫(yī)療設(shè)備的安全管理是非常艱難的。也就是說,醫(yī)療設(shè)備往往存在補丁發(fā)布和更新機制不明確,設(shè)備配置錯誤等諸多問題(比如忘記更改默認密碼)。
醫(yī)療物聯(lián)網(wǎng)設(shè)備被召回在并運行在內(nèi)部網(wǎng)絡(luò)中。Tripwire產(chǎn)品管理和戰(zhàn)略副總裁Tim Erlin說:"冠狀病毒并沒有在醫(yī)療設(shè)備上制造更多的漏洞,而是將已經(jīng)存在的漏洞暴露了出來"。
該領(lǐng)域也面臨著一些特有的挑戰(zhàn)。例如,由于FDA對設(shè)備的配置有嚴格要求而且機構(gòu)和供應(yīng)商簽訂了合同,護理機構(gòu)往往必須依靠辦事效率低下的供應(yīng)商進行打補丁、升級和更換,這是一個十分緩慢的過程。
August說:"醫(yī)療設(shè)備是醫(yī)院的一個盲點,在許多情況下,醫(yī)院不能管理設(shè)備,這項工作必須由供應(yīng)商來做。我們不能給它們打補丁,因為供應(yīng)商不允許。我們不能安裝反惡意軟件進行保護,因為供應(yīng)商說這樣會違反保修的合同。"
解決方法
減少醫(yī)療設(shè)備的網(wǎng)絡(luò)安全風(fēng)險可能特別困難,但有一些很好的實踐案例可以幫助到我們。
清查醫(yī)療設(shè)備是確保網(wǎng)絡(luò)安全的第一步。Ordr研究發(fā)現(xiàn),51%的IT團隊不知道什么類型的設(shè)備已經(jīng)連接到了他們的網(wǎng)絡(luò)中。
Ordr還發(fā)現(xiàn)Facebook和YouTube應(yīng)用程序可以在MRI和Windows XP等系統(tǒng)上運行。
根據(jù)報告,"使用醫(yī)療設(shè)備進行上網(wǎng)可能會使機構(gòu)面臨著更高的安全風(fēng)險,很容易受到勒索軟件和其他惡意軟件的攻擊"。
同時,提出以下的評估物聯(lián)網(wǎng)設(shè)備的建議:評估設(shè)備暴露在互聯(lián)網(wǎng)上的情況,禁用設(shè)備上不必要的或未使用的服務(wù),并按照設(shè)備的需求來劃分網(wǎng)絡(luò)。
本文翻譯自:https://threatpost.com/medical-device-security/163127/