去年,美国网络安全和基础设施安全局(CISA)发布的警告中与药物泵有关的警告就超过了半数。例如,在百特国际和Becton Dickinson Alaris System公司生产的泵中发现的漏洞,黑客就可能利用它来发动DDoS攻击,以此来改变系统配置或窃取患者的数据。
01安全形势的判断
网络安全成为了联邦药品管理局的一个重要工作。2020年,FDA发布了一连串的警告,敦促医疗设备制造商和医院针对一系列的含有漏洞的硬件进行修复,包括SweynTooth,URGENT/11,Ripple20和SigRed。
比如Ripple20是2020年6月发现的一组bug,该漏洞影响了5.3万个医疗设备。根据Forescout的研究,这些漏洞可以让攻击者执行远程代码。
根据Ordr的数据,通过对500万台医疗物联网(IoMT)设备进行了为期一年的分析,发现有86%的医疗软件部署在内网的被召回的医疗设备上。被召回的IoMT设备可以认为是有漏洞的,或者是会造成安全风险的设备。
02潜在的风险
专家警告说,医疗设备安全是一个长期的问题,现在又由于受到COVID的影响,这一形势又变得更加的严峻。为了能够拯救更多的生命,医院必须要优先考虑设备预算和人员的配置, 这也就意味着网络安全常常被放置于次要的地位。更加糟糕的是,黑客们也意识到了这一点,现在他们也在利用医疗机构薄弱的网络安全措施,进行了大量的勒索软件和钓鱼攻击。
Universal Health Services是2020年受到勒索软件攻击的几个医院之一,由于该机构受到了网络犯罪分子的攻击,对美国、波多黎各和英国的400多个设施造成了重大的影响。据长期工作在医疗领域的CISO Tom August介绍,这种针对医疗设备进行攻击的问题不容忽视。
August说:"如果这些设备中的一个被攻击,那么造成的潜在的影响真的很大,但是被攻击的可能性很小。也许你在我的电脑上安装了勒索软件,对于我来说这很糟糕。但如果你在病人连接的医疗设备上安装恶意软件,就会对人的生命造成巨大的危害。"
03医疗设备安全的历史
我们应该认识到,如何保证医疗设备的安全性在安全领域一直是一个很有挑战性的问题,长期以来,医疗设备的安全管理是非常艰难的。也就是说,医疗设备往往存在补丁发布和更新机制不明确,设备配置错误等诸多问题(比如忘记更改默认密码)。
医疗物联网设备被召回在并运行在内部网络中。Tripwire产品管理和战略副总裁Tim Erlin说:"冠状病毒并没有在医疗设备上制造更多的漏洞,而是将已经存在的漏洞暴露了出来"。
该领域也面临着一些特有的挑战。例如,由于FDA对设备的配置有严格要求而且机构和供应商签订了合同,护理机构往往必须依靠办事效率低下的供应商进行打补丁、升级和更换,这是一个十分缓慢的过程。
August说:"医疗设备是医院的一个盲点,在许多情况下,医院不能管理设备 ,这项工作必须由供应商来做。我们不能给它们打补丁,因为供应商不允许。我们不能安装反恶意软件进行保护,因为供应商说这样会违反保修的合同。"
04解决方法
减少医疗设备的网络安全风险可能特别困难,但有一些很好的实践案例可以帮助到我们。
清查医疗设备是确保网络安全的第一步。Ordr研究发现,51%的IT团队不知道什么类型的设备已经连接到了他们的网络中。
Ordr还发现Facebook和YouTube应用程序可以在MRI和Windows XP等系统上运行。
根据报告,"使用医疗设备进行上网可能会使机构面临着更高的安全风险,很容易受到勒索软件和其他恶意软件的攻击"。
同时,提出以下的评估物联网设备的建议:评估设备暴露在互联网上的情况,禁用设备上不必要的或未使用的服务,并按照设备的需求来划分网络。