联网医疗设备正在通过更快、更准确的诊断帮助增强患者体验、降低运营成本、通过自动化提高效率以及改善患者的整体治疗效果,从而彻底改变医疗行业。联网临床和操作物联网设备被用于从患者监视到办公系统的各个方面,但这也导致了攻击面的扩大,是攻击者渗透医院网络的最薄弱环节。
过去12年里(2010~2022年),相较于其他行业,医疗行业一直是平均违规成本最高的行业之一。联网医疗设备是一个有利可图的目标,因为攻击者可以将医院作为勒索软件的人质,或者在设备托管患者的敏感个人健康信息(PHI)时窃取有价值的数据。
Palo Alto Networks(派拓网络)的Unit 42威胁研究发现,医疗设备是医院网络中最薄弱的环节,因为它们存在严重漏洞:
• 参与研究的输液泵中,有75%的输液泵存在至少一个漏洞或发出至少一个安全警报。
• X光机、MRI和CT扫描仪等成像设备尤其容易受到攻击,51%的X光机暴露于非常严重的常见漏洞(CVE-2019-11687)。
• 20%的常见成像设备运行的是不受支持的Windows版本。
• 44%的CT扫描仪和31%的MRI机器暴露于非常严重的CVE。
设备及其漏洞的数量只是冰山一角。从最近对CommonSpirit、美国列克星敦的CHI圣约瑟夫医院、法国巴黎的CHSF医院和印度德里的AIMS医院的网络攻击中可以看出,确保联网医疗设备的安全不仅仅是一项挑战。2022年10月,CISA向医疗保健提供商发布了一份咨询意见,警告称有一个勒索软件和数据勒索团伙以医疗保健和公共卫生部门为目标。这个团伙特别关注访问网络中的数据库、成像和诊断系统。
这些现代医疗设备很难被保护,原因包括:
• 缺乏对非托管联网医疗设备的可视性,对了解真实的攻击面产生了不良影响。
• 由于缺乏设备情境,导致未发现的漏洞让医院暴露于未知威胁。
• 使用具有扁平网络的传统安全架构和易出错的手动方法创建安全策略,可能导致无法遵守HIPPA等监管要求。
• 管理多点安全产品十分复杂,会产生安全缺口。
医疗保健企业需要一个全面的零信任网络安全解决方案来支持他们的数字化转型之旅,从而在确保患者数据隐私和监管合规性的同时带来更好的患者治疗效果。零信任是一种网络安全策略,可通过不断验证数字交互的每个阶段来消除隐性信任。零信任坚持“从不信任,始终验证”的原则,旨在保护现代数字医疗环境。这个原则应用最低访问权限控制和策略以及持续的信任验证和设备行为监控来阻止零日攻击。
医疗物联网安全采用零信任应对医疗行业的网络威胁
Palo Alto Networks(派拓网络)采用久经考验的物联网安全技术,并基于零信任安全方法,推出了医疗物联网安全解决方案,使用机器学习(ML)为医疗保健提供商提供专门为医疗设备设计的物联网安全产品。该解决方案有助于快速发现和评估每台设备,轻松分段和实施最低权限访问,并通过简化操作防范已知和未知的威胁。此外,新产品还支持医疗保健提供商提高安全性并减少漏洞:
• 验证网络分段:显示联网设备的整个地图,并确保每个设备都位于其指定的网络分段中。适当的网络分段可以确保设备只与授权系统通信。
• 根据规则自动化安全响应:创建监视设备行为异常的策略规则,并自动触发适当的响应。例如,如果一个通常只在夜间发送少量数据的医疗设备突然开始使用大量带宽,预定义的规则可以自动断开设备的网络连接,并通知安全团队。
• 自动化零信任最佳实践策略和执行:一键式根据受支持的实施技术为设备实施建议的最小权限访问策略。这消除了容易出错且耗时的手动策略创建,并可轻松扩展到具有相同配置文件的一组设备。
• 了解设备漏洞和风险状况:立即了解每台设备的风险状况,包括生命周期结束状态、召回通知、默认密码警报和未经授权的外部网站通信。访问每个医疗设备的软件材料清单(SBOM)并将它们映射到常见漏洞暴露(CVE)。此映射有助于识别医疗设备上使用的软件库和任何相关漏洞。
• 改善合规性:轻松了解医疗设备漏洞、补丁状态和安全设置,然后获取相关建议,使设备符合《健康保险便携性与责任法案》(HIPAA)、《通用数据保护条例》(GDPR)和类似法律法规等规则和准则。
• 简化运营:两个不同的仪表板允许IT和生物医学工程团队各自查看对其角色至关重要的信息。与现有医疗保健信息管理系统(如AIMS和Epic系统)集成有助于自动化工作流程。
• 满足数据驻留要求:医疗物联网安全使Palo Alto Networks(派拓网络)在美国、德国、新加坡、日本和澳大利亚的客户更容易采用本地云托管的物联网安全。区域医疗物联网安全服务可用性可确保满足本地数据驻留和本地化需求,例如GDPR。
医疗物联网安全提供的可操作指南
随着医疗保健行业通过转型为患者提供更好的服务,联网医疗设备将继续增加。基于强大的零信任框架的医疗物联网安全,通过提供可操作的指南来保护其整个生命周期,使行业能够安全地使用联网临床设备。医疗物联网安全提供的可视性和操作,使医疗保健系统能够实现对所有联网医疗设备和应用程序的零信任。