醫療設備應如何抵禦黑客攻擊?
雷鋒網按:本文譯自HIT Consultant,作者Leon Lerman首席執行官Cynerio
自2020年以來,網絡攻擊規模相比於去年,激增了300%。
而像醫院、藥房、醫療設備供應商等關乎到每個人生命健康的機構,比以往任何時候,都要面臨更大的安全隱患。
即使這系列的攻擊,有時候不是直接針對某個醫療物聯網設備(IoMT),但它也可以通過醫院的內部網絡,感染用於診斷和治療患者的設備,如靜脈泵、患者監控器、呼吸機和x光機。
正如美國醫院協會(AHA)網絡安全和風險高級顧問約翰·裏吉(John Riggi)所説:“最壞的情況是,這些用於挽救生命的醫療設備,可能在被感染後直接無法使用。”
對醫院而言,防止網絡攻擊和保護IoMT設備不受感染的最佳方法,是將最脆弱和最關鍵的設備,彼此隔離或保持虛擬距離,也就是所謂的網絡分段。
醫院可以採取以下實際步驟,來分段臨牀網絡,減少攻擊面,並保護患者免受網絡攻擊:
傳統意義上,醫療設備安全一直是生物醫學工程設備專家的責任。
然而,隨着IoMT設備的日益普及和針對醫療保健的網絡攻擊的增加,醫院信息科室的IT團隊不得不在醫療設備安全方面投入更多的精力。因此,信息科室和生物醫學工程研究團隊之間需要緊密合作,為臨牀網絡設計和實施安全有效的安全政策。
為確保醫療設備的安全,並將IT和生物醫學團隊進行跨部門整合,這時候就需要一個單獨的、最終的IoMT網絡安全政策決策者。
一些大型機構,甚至增設醫療設備安全員(MDSO)的角色,直接負責整個醫院整個臨牀網絡中的醫療設備安全。
如果沒有對醫院連接的醫療設備、設備上的配置文件、通信模式,有足夠深入瞭解,就無法設置網絡分割策略。
自動化庫存工具,還必須能夠在瞭解IoMT設備行為、臨界性、脆弱性的情況下,對設備進行持續分析。
風險評分,應根據設備可能造成的危急程度和醫療影響來計算。風險評估應持續進行,並持續監控網絡異常行為。為了評估風險,必須考慮以下因素:
與正常設備功能所需的外部服務器通信(即供應商通信)
設備需要存儲和發送ePHI,以及用於什麼目的?
設備使用模式
設備是否運行不支持的操作系統或有任何已知的漏洞?如果是,是用補丁,還是用網絡分割方法來保護設備?
如果醫院不遵守聯邦和州監管標準,將面臨數百萬美元的罰款。拋開金錢損失不談,不遵守網絡安全準則會使醫療設備面臨風險,並可能危及患者的安全、商業誠信和醫院的聲譽。
涉及醫療保健和醫療設備的準則和條例定期更新。為了保持合規,醫院必須密切關注州聯邦機構發佈的監管標準和更新,包括:
-美國食品和藥物管理局(FDA)
-醫療設備信息共享和分析(MDISS)倡議
-《健康保險可攜性和問責法》(HIPAA)
分段策略用以減少攻擊面,並阻止潛在威脅。網絡分段還可以通過將流量限制到指定區域和減少網絡負載,來幫助網絡更順暢地運行。
然而,在臨牀網絡上執行任何分段策略之前,應測試其安全性和有效性。醫院安全團隊應始終驗證分段策略,然後在網絡上執行,以確保醫療服務和臨牀操作的連續性。
雷鋒網雷鋒網