【獨家焦點】面對性命攸關的時刻，如何實現可靠的醫(yī)療物聯網安全

2023-01-20 07:01:52來源：中關村在線

聯網醫(yī)療設備正在通過更快、更準確的診斷幫助增強患者體驗、降低運營成本、通過自動化提高效率以及改善患者的整體治療效果，從而徹底改變醫(yī)療行業(yè)。聯網臨床和操作物聯網設備被用于從患者監(jiān)視到辦公系統(tǒng)的各個方面，但這也導致了攻擊面的擴大，是攻擊者滲透醫(yī)院網絡的最薄弱環(huán)節(jié)。

過去12年里（2010~2022年），相較于其他行業(yè)，醫(yī)療行業(yè)一直是平均違規(guī)成本最高的行業(yè)之一。聯網醫(yī)療設備是一個有利可圖的目標，因為攻擊者可以將醫(yī)院作為勒索軟件的人質，或者在設備托管患者的敏感個人健康信息（PHI）時竊取有價值的數據。

(相關資料圖)

Palo Alto Networks（派拓網絡）的Unit 42威脅研究發(fā)現，醫(yī)療設備是醫(yī)院網絡中最薄弱的環(huán)節(jié)，因為它們存在嚴重漏洞：

參與研究的輸液泵中，有75%的輸液泵存在至少一個漏洞或發(fā)出至少一個安全警報。X光機、MRI和CT掃描儀等成像設備尤其容易受到攻擊，51%的X光機暴露于非常嚴重的常見漏洞（CVE-2019-11687）。20%的常見成像設備運行的是不受支持的Windows版本。44%的CT掃描儀和31%的MRI機器暴露于非常嚴重的CVE。

設備及其漏洞的數量只是冰山一角。從最近對CommonSpirit、美國列克星敦的CHI圣約瑟夫醫(yī)院、法國巴黎的CHSF醫(yī)院和印度德里的AIMS醫(yī)院的網絡攻擊中可以看出，確保聯網醫(yī)療設備的安全不僅僅是一項挑戰(zhàn)。2022年10月，CISA向醫(yī)療保健提供商發(fā)布了一份咨詢意見，警告稱有一個勒索軟件和數據勒索團伙以醫(yī)療保健和公共衛(wèi)生部門為目標。這個團伙特別關注訪問網絡中的數據庫、成像和診斷系統(tǒng)。

這些現代醫(yī)療設備很難被保護，原因包括：

缺乏對非托管聯網醫(yī)療設備的可視性，對了解真實的攻擊面產生了不良影響。由于缺乏設備情境，導致未發(fā)現的漏洞讓醫(yī)院暴露于未知威脅。使用具有扁平網絡的傳統(tǒng)安全架構和易出錯的手動方法創(chuàng)建安全策略，可能導致無法遵守HIPPA等監(jiān)管要求。管理多點安全產品十分復雜，會產生安全缺口。

醫(yī)療保健企業(yè)需要一個全面的零信任網絡安全解決方案來支持他們的數字化轉型之旅，從而在確?；颊邤祿[私和監(jiān)管合規(guī)性的同時帶來更好的患者治療效果。零信任是一種網絡安全策略，可通過不斷驗證數字交互的每個階段來消除隱性信任。零信任堅持“從不信任，始終驗證”的原則，旨在保護現代數字醫(yī)療環(huán)境。這個原則應用最低訪問權限控制和策略以及持續(xù)的信任驗證和設備行為監(jiān)控來阻止零日攻擊。

醫(yī)療物聯網安全采用零信任應對醫(yī)療行業(yè)的網絡威脅

Palo Alto Networks（派拓網絡）采用久經考驗的物聯網安全技術，并基于零信任安全方法，推出了醫(yī)療物聯網安全解決方案，使用機器學習（ML）為醫(yī)療保健提供商提供專門為醫(yī)療設備設計的物聯網安全產品。該解決方案有助于快速發(fā)現和評估每臺設備，輕松分段和實施最低權限訪問，并通過簡化操作防范已知和未知的威脅。此外，新產品還支持醫(yī)療保健提供商提高安全性并減少漏洞：

驗證網絡分段：顯示聯網設備的整個地圖，并確保每個設備都位于其指定的網絡分段中。適當的網絡分段可以確保設備只與授權系統(tǒng)通信。根據規(guī)則自動化安全響應：創(chuàng)建監(jiān)視設備行為異常的策略規(guī)則，并自動觸發(fā)適當的響應。例如，如果一個通常只在夜間發(fā)送少量數據的醫(yī)療設備突然開始使用大量帶寬，預定義的規(guī)則可以自動斷開設備的網絡連接，并通知安全團隊。自動化零信任最佳實踐策略和執(zhí)行：一鍵式根據受支持的實施技術為設備實施建議的最小權限訪問策略。這消除了容易出錯且耗時的手動策略創(chuàng)建，并可輕松擴展到具有相同配置文件的一組設備。了解設備漏洞和風險狀況：立即了解每臺設備的風險狀況，包括生命周期結束狀態(tài)、召回通知、默認密碼警報和未經授權的外部網站通信。訪問每個醫(yī)療設備的軟件材料清單（SBOM）并將它們映射到常見漏洞暴露（CVE）。此映射有助于識別醫(yī)療設備上使用的軟件庫和任何相關漏洞。改善合規(guī)性：輕松了解醫(yī)療設備漏洞、補丁狀態(tài)和安全設置，然后獲取相關建議，使設備符合《健康保險便攜性與責任法案》（HIPAA）、《通用數據保護條例》（GDPR）和類似法律法規(guī)等規(guī)則和準則。簡化運營：兩個不同的儀表板允許IT和生物醫(yī)學工程團隊各自查看對其角色至關重要的信息。與現有醫(yī)療保健信息管理系統(tǒng)（如AIMS和Epic系統(tǒng)）集成有助于自動化工作流程。滿足數據駐留要求：醫(yī)療物聯網安全使Palo Alto Networks（派拓網絡）在美國、德國、新加坡、日本和澳大利亞的客戶更容易采用本地云托管的物聯網安全。區(qū)域醫(yī)療物聯網安全服務可用性可確保滿足本地數據駐留和本地化需求，例如GDPR。

醫(yī)療物聯網安全提供的可操作指南

隨著醫(yī)療保健行業(yè)通過轉型為患者提供更好的服務，聯網醫(yī)療設備將繼續(xù)增加?；趶姶蟮牧阈湃慰蚣艿尼t(yī)療物聯網安全，通過提供可操作的指南來保護其整個生命周期，使行業(yè)能夠安全地使用聯網臨床設備。醫(yī)療物聯網安全提供的可視性和操作，使醫(yī)療保健系統(tǒng)能夠實現對所有聯網醫(yī)療設備和應用程序的零信任。

標簽：企業(yè)安全