【獨(dú)家焦點(diǎn)】面對(duì)性命攸關(guān)的時(shí)刻,如何實(shí)現(xiàn)可靠的醫(yī)療物聯(lián)網(wǎng)安全

2023-01-20 07:01:52來(lái)源:中關(guān)村在線  

聯(lián)網(wǎng)醫(yī)療設(shè)備正在通過(guò)更快、更準(zhǔn)確的診斷幫助增強(qiáng)患者體驗(yàn)、降低運(yùn)營(yíng)成本、通過(guò)自動(dòng)化提高效率以及改善患者的整體治療效果,從而徹底改變醫(yī)療行業(yè)。聯(lián)網(wǎng)臨床和操作物聯(lián)網(wǎng)設(shè)備被用于從患者監(jiān)視到辦公系統(tǒng)的各個(gè)方面,但這也導(dǎo)致了攻擊面的擴(kuò)大,是攻擊者滲透醫(yī)院網(wǎng)絡(luò)的最薄弱環(huán)節(jié)。

過(guò)去12年里(2010~2022年),相較于其他行業(yè),醫(yī)療行業(yè)一直是平均違規(guī)成本最高的行業(yè)之一。聯(lián)網(wǎng)醫(yī)療設(shè)備是一個(gè)有利可圖的目標(biāo),因?yàn)楣粽呖梢詫⑨t(yī)院作為勒索軟件的人質(zhì),或者在設(shè)備托管患者的敏感個(gè)人健康信息(PHI)時(shí)竊取有價(jià)值的數(shù)據(jù)。


(相關(guān)資料圖)

Palo Alto Networks(派拓網(wǎng)絡(luò))的Unit 42威脅研究發(fā)現(xiàn),醫(yī)療設(shè)備是醫(yī)院網(wǎng)絡(luò)中最薄弱的環(huán)節(jié),因?yàn)樗鼈兇嬖趪?yán)重漏洞:

參與研究的輸液泵中,有75%的輸液泵存在至少一個(gè)漏洞或發(fā)出至少一個(gè)安全警報(bào)。X光機(jī)、MRI和CT掃描儀等成像設(shè)備尤其容易受到攻擊,51%的X光機(jī)暴露于非常嚴(yán)重的常見(jiàn)漏洞(CVE-2019-11687)。20%的常見(jiàn)成像設(shè)備運(yùn)行的是不受支持的Windows版本。44%的CT掃描儀和31%的MRI機(jī)器暴露于非常嚴(yán)重的CVE。

設(shè)備及其漏洞的數(shù)量只是冰山一角。從最近對(duì)CommonSpirit、美國(guó)列克星敦的CHI圣約瑟夫醫(yī)院、法國(guó)巴黎的CHSF醫(yī)院和印度德里的AIMS醫(yī)院的網(wǎng)絡(luò)攻擊中可以看出,確保聯(lián)網(wǎng)醫(yī)療設(shè)備的安全不僅僅是一項(xiàng)挑戰(zhàn)。2022年10月,CISA向醫(yī)療保健提供商發(fā)布了一份咨詢意見(jiàn),警告稱有一個(gè)勒索軟件和數(shù)據(jù)勒索團(tuán)伙以醫(yī)療保健和公共衛(wèi)生部門(mén)為目標(biāo)。這個(gè)團(tuán)伙特別關(guān)注訪問(wèn)網(wǎng)絡(luò)中的數(shù)據(jù)庫(kù)、成像和診斷系統(tǒng)。

這些現(xiàn)代醫(yī)療設(shè)備很難被保護(hù),原因包括:

缺乏對(duì)非托管聯(lián)網(wǎng)醫(yī)療設(shè)備的可視性,對(duì)了解真實(shí)的攻擊面產(chǎn)生了不良影響。由于缺乏設(shè)備情境,導(dǎo)致未發(fā)現(xiàn)的漏洞讓醫(yī)院暴露于未知威脅。使用具有扁平網(wǎng)絡(luò)的傳統(tǒng)安全架構(gòu)和易出錯(cuò)的手動(dòng)方法創(chuàng)建安全策略,可能導(dǎo)致無(wú)法遵守HIPPA等監(jiān)管要求。管理多點(diǎn)安全產(chǎn)品十分復(fù)雜,會(huì)產(chǎn)生安全缺口。

醫(yī)療保健企業(yè)需要一個(gè)全面的零信任網(wǎng)絡(luò)安全解決方案來(lái)支持他們的數(shù)字化轉(zhuǎn)型之旅,從而在確?;颊邤?shù)據(jù)隱私和監(jiān)管合規(guī)性的同時(shí)帶來(lái)更好的患者治療效果。零信任是一種網(wǎng)絡(luò)安全策略,可通過(guò)不斷驗(yàn)證數(shù)字交互的每個(gè)階段來(lái)消除隱性信任。零信任堅(jiān)持“從不信任,始終驗(yàn)證”的原則,旨在保護(hù)現(xiàn)代數(shù)字醫(yī)療環(huán)境。這個(gè)原則應(yīng)用最低訪問(wèn)權(quán)限控制和策略以及持續(xù)的信任驗(yàn)證和設(shè)備行為監(jiān)控來(lái)阻止零日攻擊。

醫(yī)療物聯(lián)網(wǎng)安全采用零信任應(yīng)對(duì)醫(yī)療行業(yè)的網(wǎng)絡(luò)威脅

Palo Alto Networks(派拓網(wǎng)絡(luò))采用久經(jīng)考驗(yàn)的物聯(lián)網(wǎng)安全技術(shù),并基于零信任安全方法,推出了醫(yī)療物聯(lián)網(wǎng)安全解決方案,使用機(jī)器學(xué)習(xí)(ML)為醫(yī)療保健提供商提供專門(mén)為醫(yī)療設(shè)備設(shè)計(jì)的物聯(lián)網(wǎng)安全產(chǎn)品。該解決方案有助于快速發(fā)現(xiàn)和評(píng)估每臺(tái)設(shè)備,輕松分段和實(shí)施最低權(quán)限訪問(wèn),并通過(guò)簡(jiǎn)化操作防范已知和未知的威脅。此外,新產(chǎn)品還支持醫(yī)療保健提供商提高安全性并減少漏洞:

驗(yàn)證網(wǎng)絡(luò)分段:顯示聯(lián)網(wǎng)設(shè)備的整個(gè)地圖,并確保每個(gè)設(shè)備都位于其指定的網(wǎng)絡(luò)分段中。適當(dāng)?shù)木W(wǎng)絡(luò)分段可以確保設(shè)備只與授權(quán)系統(tǒng)通信。根據(jù)規(guī)則自動(dòng)化安全響應(yīng):創(chuàng)建監(jiān)視設(shè)備行為異常的策略規(guī)則,并自動(dòng)觸發(fā)適當(dāng)?shù)捻憫?yīng)。例如,如果一個(gè)通常只在夜間發(fā)送少量數(shù)據(jù)的醫(yī)療設(shè)備突然開(kāi)始使用大量帶寬,預(yù)定義的規(guī)則可以自動(dòng)斷開(kāi)設(shè)備的網(wǎng)絡(luò)連接,并通知安全團(tuán)隊(duì)。自動(dòng)化零信任最佳實(shí)踐策略和執(zhí)行:一鍵式根據(jù)受支持的實(shí)施技術(shù)為設(shè)備實(shí)施建議的最小權(quán)限訪問(wèn)策略。這消除了容易出錯(cuò)且耗時(shí)的手動(dòng)策略創(chuàng)建,并可輕松擴(kuò)展到具有相同配置文件的一組設(shè)備。了解設(shè)備漏洞和風(fēng)險(xiǎn)狀況:立即了解每臺(tái)設(shè)備的風(fēng)險(xiǎn)狀況,包括生命周期結(jié)束狀態(tài)、召回通知、默認(rèn)密碼警報(bào)和未經(jīng)授權(quán)的外部網(wǎng)站通信。訪問(wèn)每個(gè)醫(yī)療設(shè)備的軟件材料清單(SBOM)并將它們映射到常見(jiàn)漏洞暴露(CVE)。此映射有助于識(shí)別醫(yī)療設(shè)備上使用的軟件庫(kù)和任何相關(guān)漏洞。改善合規(guī)性:輕松了解醫(yī)療設(shè)備漏洞、補(bǔ)丁狀態(tài)和安全設(shè)置,然后獲取相關(guān)建議,使設(shè)備符合《健康保險(xiǎn)便攜性與責(zé)任法案》(HIPAA)、《通用數(shù)據(jù)保護(hù)條例》(GDPR)和類似法律法規(guī)等規(guī)則和準(zhǔn)則。簡(jiǎn)化運(yùn)營(yíng):兩個(gè)不同的儀表板允許IT和生物醫(yī)學(xué)工程團(tuán)隊(duì)各自查看對(duì)其角色至關(guān)重要的信息。與現(xiàn)有醫(yī)療保健信息管理系統(tǒng)(如AIMS和Epic系統(tǒng))集成有助于自動(dòng)化工作流程。滿足數(shù)據(jù)駐留要求:醫(yī)療物聯(lián)網(wǎng)安全使Palo Alto Networks(派拓網(wǎng)絡(luò))在美國(guó)、德國(guó)、新加坡、日本和澳大利亞的客戶更容易采用本地云托管的物聯(lián)網(wǎng)安全。區(qū)域醫(yī)療物聯(lián)網(wǎng)安全服務(wù)可用性可確保滿足本地?cái)?shù)據(jù)駐留和本地化需求,例如GDPR。

醫(yī)療物聯(lián)網(wǎng)安全提供的可操作指南

隨著醫(yī)療保健行業(yè)通過(guò)轉(zhuǎn)型為患者提供更好的服務(wù),聯(lián)網(wǎng)醫(yī)療設(shè)備將繼續(xù)增加?;趶?qiáng)大的零信任框架的醫(yī)療物聯(lián)網(wǎng)安全,通過(guò)提供可操作的指南來(lái)保護(hù)其整個(gè)生命周期,使行業(yè)能夠安全地使用聯(lián)網(wǎng)臨床設(shè)備。醫(yī)療物聯(lián)網(wǎng)安全提供的可視性和操作,使醫(yī)療保健系統(tǒng)能夠?qū)崿F(xiàn)對(duì)所有聯(lián)網(wǎng)醫(yī)療設(shè)備和應(yīng)用程序的零信任。

標(biāo)簽: 企業(yè)安全

相關(guān)閱讀

精彩推薦

相關(guān)詞

推薦閱讀