互联医疗设备和系统提供了许多好处,但它们也带来了安全、安全和隐私风险。
当今的数字医疗保健系统正面临着无情的网络攻击,这些攻击的目标是医疗保健机构及其使用的医疗设备。
美国医疗保健市场的关键性质和规模-估计3.5万亿美元在2020年,随着预期的大幅增长,它将成为黑客最喜欢的目标。万逊伯恩在2021年初为Sophos进行了一项调查,对30个国家的5400名IT决策者进行了调查。调查结果显示,34%的医疗机构在去年受到了勒索软件的攻击,65%的机构在某种程度上受到了攻击。勒索软件成功冻结了54%的IT系统数据。约44%的受影响公司使用备份来恢复数据,而34%的公司最终支付了赎金来取回数据。
其他研究甚至更令人担忧。黑皮书研究自2016年第三季度以来,超过93%的医疗保健组织遭到黑客攻击,57%的组织在同一时间段内发生了5次以上的数据泄露。
2020年,医疗保健黑客对每次攻击的平均要求为460万美元。随着黑客变得越来越有攻击性,这个数字预计还会增长。总的来说,医疗保健数据泄露给整个行业造成了损失40亿美元。
这些攻击的影响是巨大的。例如,全民健康服务(UHS)总部位于宾夕法尼亚州普鲁士国王的财富500强医疗保健机构于2020年9月遭到勒索软件攻击。UHS在美国和英国经营着400家医院,黑客关闭了所有医院的电脑接入电话系统和电子健康记录。解决方案花了三周时间,UHS报告当年的税前亏损为6700万美元。
在另一起案件中,黑客阻止了对佛蒙特大学医学中心数据的访问。员工无法检索电子健康记录(EHRs)和工资单程序。手术不得不重新安排。损失的收入估计为5000万美元。
网络攻击有不同的形式和风格。勒索软件经常占据新闻头条。然而,黑客也使用许多其他类型的恶意软件,安装不需要的软件来造成破坏和/或破坏。
多态病毒、间谍软件、隐形病毒和特洛伊木马攻击都属于恶意软件的范畴。黑客还可以通过拒绝服务(DoS)和分布式拒绝服务(DDoS)攻击、网络钓鱼、中间人攻击、窃听等造成严重破坏。
“医疗保健行业面临着一些独特的挑战,”建筑产品管理总监Mark Knight说手臂。“我们的一些最个人的数据需要得到保护,但使这些数据安全地提供给授权的医生和设备对于改善医疗保健结果和提高繁忙的医疗保健服务的效率至关重要。与此同时,关于我们的数据量正在迅速增加,医疗保健技术的潜在好处是巨大的。在寻求防范潜在攻击时,值得注意的是,医疗保健中使用的解决方案与其他严重依赖信息技术的行业中使用的解决方案相似。”
图1:医疗保健面临的威胁日益增加。来源:互联网安全中心
医疗设备漏洞
虽然关于医疗设备被黑客攻击的报道可能类似于电影情节,但黑客攻击是真实存在的,许多医疗设备已被证明很容易受到网络攻击。这包括药物输注和胰岛素泵、起搏器和植入式心律转复除颤器(ICDs)。
2019年底,美国食品和药物管理局发布了一份“紧急/ 11”提醒患者、医疗保健提供者、设施工作人员以及制造商注意第三方软件组件引入的网络安全漏洞。一家安全公司发现了11个名为“URGENT/11”的漏洞,攻击者可以通过这些漏洞远程控制医疗设备并修改其正常功能。FDA表示,一些流行操作系统的某些版本可能会受到影响,包括:
虽然不是每次攻击都会影响患者的健康,但黑客可能想窃取数据以获取经济利益。这可以通过多种方式实现,例如通过创建解决方案来对一次性医疗设备进行逆向工程,以克服一次性使用的特性。
“主要的攻击媒介集中在网络安全软肋,包括联网的个人电脑、笔记本电脑、平板电脑和手机,利用网络钓鱼攻击和用户安装的恶意软件,”微软反篡改安全技术主管斯科特•贝斯特(Scott Best)表示Rambus。第二种攻击目标是电子医疗保健设备,如血糖监测仪、超声波传感器和其他诊断外围设备。这些设备和笔记本电脑一样容易受到入侵和恶意软件的攻击,但它们也容易受到克隆和再制造攻击的影响。在这种情况下,不仅患者安全面临直接风险,领先医疗设备制造商的收入来源也面临风险。”
2017年,FDA宣布召回雅培(正式名称为“St. Jude Medical”)生产的一些起搏器。原因包括电池过早和快速耗尽,以及从选择性更换指示灯(ERI)发出第一个电池耗尽警告到设备服务结束(EOS)之间的时间过短。如果具有这些缺陷的起搏器被黑客攻击,攻击者可能会通过将设备设置为恒定传输模式来耗尽电池。此外,黑客还可以利用起搏器的漏洞索要赎金。
与其他电子设计类似,医疗设备使用软件、芯片和其他电子元件。与任何连接的电子设备一样,医疗设备具有一个或多个漏洞并不罕见,这些漏洞可能在其整个生命周期的任何时候出现。但对于医疗设备来说,这些威胁具有安全隐患。
“对于医疗设备来说,出于安全考虑,安全开始发挥作用,”公司首席执行官安德烈亚斯•库尔曼(Andreas Kuehlmann)表示龟岛的逻辑。“对于制造这些设备的公司来说,这实际上与实施安全的成本无关。归根结底,安全涉及到间接的商业决策,包括责任和潜在的召回等问题。但在医疗领域,安全对安全有间接影响,而安全是非常容易理解的。因此,无论是隐私,还是HIPAA下的医疗记录保护,都会对商业产生直接影响。”
应对威胁
医疗保健领域的网络安全包括普遍接受的保密性、完整性和可用性(“中央情报局的性格”)原则:
要实现CIA三合会需要几个基本步骤。
网络安全的心态:医疗机构需要培养自上而下的网络安全思维,因为有效保护数据和设备是一个多设备、多系统的挑战。这需要一个整体的端到端策略,以及在遭受攻击时的恢复计划,定期的员工培训,适当的程序,例如不同系统的良好密码设置。目标是将损害降到最低,并在尽可能短的时间内恢复。
设计安全性:应该严格控制和限制IT访问。只有经过授权的用户和经过身份验证的设备才能访问连接和数据。对于新的IT系统,应用层(web、云应用、移动连接)必须具有内置的安全性。
“攻击者会找到任何弱点,所以很难夸大挑战,”Arm的Knight说。“所有安全的关键是对用户和设备进行强大的身份验证。重要的是,设备可以被唯一标识,并且每个设备的状态(例如,已安装的软件或固件)可以被盘点、测量和验证。这可以确保在流氓或受损设备对数据的完整性或机密性或整个医疗保健网络构成威胁之前识别出它。PSA认证等标准使设备制造商能够证明其产品在整个生命周期内都可以被识别和认证,从而为大规模可信部署提供保证基础。此外,可以使用支持机密计算范例的先进隔离技术,从而在卫生保健系统中实现越来越强的分区。更强的隔离将降低特权用户的风险,使成功入侵一个应用程序的攻击者更难以利用该资产作为攻击另一个应用程序或系统的载体。”
Arm最近推出了其机密计算架构(CCA),该架构可以保护部分代码和数据在使用过程中不被访问或修改,即使是对特权软件也是如此。
安全控制和检查:硬件和软件都有经过验证的网络安全技术,但防止攻击可能归结为更基本的行动,例如及时更新软件,定期寻找漏洞和恶意软件。许多攻击是由于延迟安装已知补丁而发生的。此外,应该对所有第三方软件进行安全检查,特别是来自供应链。有时,来自供应商的受感染软件最终会感染整个用户IT系统。
受保护的健康信息(PHI)包含患者医疗记录和其他私人信息。“CIA三合会”的目标之一是禁止PHI数据泄露HIPAA隐私规则,这就需要采取适当的措施来保护PHI。它还规定了未经个人授权使用和披露此类信息的限制和条件。为了实现数据安全,医疗保健组织必须至少对存储或传输中的PHI进行加密,并将PHI存储在安全的内部系统或只有授权用户才能访问的安全位置。
尽量减少医疗设备的脆弱性:对于医疗保健组织来说,从具有良好安全知识和实践的信誉良好的供应商处安装医疗设备非常重要。
对于医疗器械制造商来说,遵守所有的安全设计规则,在设计的最初阶段就整合安全是很重要的。这包括零信任和安全引导,使用加密算法防止伪造ic,限制数据收集,以及尽可能短的时间保存数据以最大限度地减少暴露。
“医疗设备制造商有责任从头开始开发具有安全软件和硬件的设备,”ibm杰出工程师史蒂夫•汉纳(Steve Hanna)表示英飞凌科技。“在存储和处理过程中,需要安全的硬件来可靠地保护患者安全和数据。该设备应该包括执行身份验证和敏感数据加密的安全芯片,以及加密密钥的生成和存储。此外,安全芯片应该检查软件、机器和设备的完整性,以识别操作并检测未经授权的更改。只有在硬件信任基础上构建所有这些功能,你才能确信医疗设备是安全的。”
但即使有最好的安全措施,黑客也可能进入。
“中间人攻击正变得越来越普遍,”Rambus Security的技术产品经理蒂埃里•库顿(Thierry Kouthon)表示。“对无线医疗设备需求的增加为黑客进行网络攻击提供了新的机会。攻击有许多不同的形式,包括拦截机密数据、插入恶意代码、会话劫持和中断数据传输。检测中间人攻击可能很困难。一个例子是蓝牙医疗设备的配对。设备制造商有责任确保安全性是内置的。考虑因素包括尽可能减少蓝牙通信的范围。蓝牙协议还支持在两个蓝牙设备之间的配对阶段必须由用户插入的密码或pin。这将使窃听者在不知道密码的情况下更难以拦截流量,并且还需要一个物理接口来插入密码。”
未来
2021年12月俄勒冈麻醉科(OAG)宣布7月11日遭遇网络攻击。10月21日,FBI通知OAG,他们发现了一个属于乌克兰黑客组织HelloKitty的账户。该帐户包含OAG患者和员工文件。据OAG称,数据泄露可能影响75万名患者和522名OAG现任和前任员工。
其他袭击仍在继续,通常没有引起太多公众注意。但大多数专家也认为,网络攻击只会变得更糟,对医疗保健本身造成重大破坏,导致提供商的收入损失,并给硬件、软件和系统开发人员带来越来越大的压力,要求他们从一开始就进行安全设计。
资源
医疗器械网络安全管理上市前申报内容(2018年)
美国FDA的工业和食品药品监督管理局工作人员指南草案,2018年10月
医疗器械上市后网络安全管理(2016)
美国食品药品监督管理局工业和食品药品监督管理局工作人员指南,2016年12月
医疗器械安全行动计划:保护患者,促进公众健康
美国食品及药物管理局
|
|
|
|
|
|
|
|
留言回复