医院黑客将病人的健康置于危险之中

最近针对医院的勒索软件攻击不仅暴露了病人数据的风险，更重要的是暴露了病人健康的风险

通过卡西·祖尔库斯

作家，CSO公司 |

由独立安全评估公司恰逢上个月，医院正成为犯罪分子的目标。

独立安全评估公司的执行合伙人泰德·哈林顿说:“从很多方面来说，这都是一个可怕的报告，但我们希望通过组织整个行业来认识到这些问题。我们正试图让整个行业开始改变，尤其是一个非常规范和复杂的行业。对话需要开始了。”

报告还证明，在严格保护患者数据的法规指导下，医疗行业“几乎完全专注于保护患者数据，而不是患者健康。哈林顿说：“重点是确保病人的记录得到保护，而不是被篡改，但这与保护病人没有直接关系。”。

安全专家比利·里奥斯(Billy Rios)表示，这些发现并不完全是新发现。他说，他已经为加强医疗设备的安全斗争了五六年。里奥斯去年曝光的输液泵漏洞只是一个例子。

“Telmed泵甚至不是一个漏洞。这是糟糕的设计，糟糕的建筑。这是没有补丁的。你无法弥补水泵正在运转的事实。它需要进行重大的配置更改，”Rios说。

监管并不是解决网络安全问题的灵丹妙药，里奥斯说他不喜欢监管。但问题是，除非供应商被迫采取行动，否则他们不会采取行动。

Ellen Derrico，卫生保健和生命科学高级主管，RES

里奥斯说:“他们对所谓的上市前解决方案有正式的指导。你必须遵循这些来获得销售你的产品的许可。他们有指导，但指导是由您来遵循的。”

医院正在尽其所能将这些设备的风险降到最低，但对于较小的医院来说，预算限制是有限的。“他们没有预算和员工，设备制造商不关心这些人，”他说。

里奥斯说，总的指导方针是把设备放在它们自己的网络上。问题是医院有成千上万的医疗设备。Rios说:“将所有设备隔离开来会给交付组织带来负担。”

据里奥斯说，许多医疗器械供应商建议医院对这些设备进行细分，但他说，“这并不意味着每家医院都在这样做。一家小医院不会这么做。相反，所有设备都已连接。更成熟的医院才是真正进行细分的医院。”

“那些有钱有员工的医院，他们正在尽可能地对设备进行细分。从架构的角度来看，试图分割尽可能多的这些设备变得很困难。没有理智的人会这样设计他们的网络，”里奥斯说。

BUFFERZONE首席执行官Israel Levy不同意今天的技术允许非常灵活的网络的观点。列维指出，一些国家的银行业规定，与金融和货币有关的所有活动必须在与互联网不直接相连的网络上进行。还有一些公司采用子网策略，将最重要的组件放在单独的位置。

“这些独立的地点创造了更好的安全。然后，您将子网视为不安全的，并采取措施从外部传输到安全网络。这些技术现在已经有了。只要策略是将所有设备保持在一个单独的网络上，它们也将需要允许信息传递的技术，”利维说。

尽管联系的医疗设备供应商都没有发表评论，但安全行业专家提出了一些技术解决方案，以减轻对患者健康的风险。

Partners HealthCare System的企业网络安全风险官Jason K.Marchant说，“大多数医疗设备可以通过有线或无线方式连接到医院的网络，并与电子健康记录（electronic health record，EHR）进行通信。”医院在允许这种通信时，可能会无意中破坏安全控制。

例如，Marchant说，“可能会在防火墙中打开端口，以允许医疗设备系统与EHR通信，但这些端口也可能会传播恶意软件。”

为了最好地降低这些风险，Marchant说，“设备应该分配到自己的IP空间，并在自己的虚拟局域网中运行。这可以允许对能够和不能相互通信的系统进行更细粒度的控制。它还可以加快对网络上异常活动的检测。”

拥有健康的网络安全

以下是从安全从业人员那里确保患者数据和患者健康的五种策略。

使所有的系统和软件保持最新。Carbonite高级副总裁Chris Doggett说:“攻击者使用已知的漏洞，当IT经理不修补这些系统时，他们的风险就会增加。”
了解安全控制。“设备公司可能会实施更宽松的安全控制，以加快系统的安装和支持。医院工作人员应了解系统配置的风险，”Partners HealthCare system的Jason K.Marchant enterprise网络安全风险官说。
从长远考虑。“增加预算、重组组织、重新组织网络或雇用更多的人员，都是长期的努力。这些长期计划应尽快制定，并随着技术、威胁和防御环境的发展而更新，”独立安全评估人员写道。
创建缓冲区。在一台机器上运行两个环境。一方连接到医疗设备，另一方能够提取文件并将其发送给医生，”BUFFERZONE Security首席执行官Israel Levy说。
教育全体员工。“确保他们不知道自己正在接受‘安全培训’——给他们提供有助于他们个人的培训，他们将把这些培训带到工作中，”卫生保健和生命科学高级主任Ellen Derrico说。

尽管Marchant认为安全是一种共同的责任，他说，“医疗行业，特别是没有专门的网络安全人员的医院，可以从供应商提供的详细文档中获益，这些文档描述了医疗设备系统中默认配置的安全控制和未配置的安全控制。”

Ellen Derrico，来自RES他说：“实际上，每家医院的景观设计都有点不同。如果设备都在网络上好莱坞长老会你会变得脆弱。”

每个人都需要了解网络连接设备数量不断增长的风险，因为“任何设备和系统之间存在入口点的地方都存在漏洞，”Derrico说。

在2016年HIMSS Connected Health大会上，Derrico谈到了加密技术的必要性。“医院需要有一份可执行文件的黑白名单。他们需要提高特权，这样不是每个人都能获得管理权限，他们需要根据角色非常小心地进行控制，”Derrico说。

德里科说，安全团队可以采取其他措施保护网络和患者健康，“有保护网络和只读设备的保护层，这样黑客就不能在设备上写东西。锁定设备端口，以便有人无法从棍子上获取信息。”

既有技术部分，也有教育部分，因为如果它们受到攻击，整个网络都会受到感染并影响设备。这是否意味着保护患者数据所在的网络，反过来又将保护设备？

Carbonite的高级副总裁Chris Doggett说，他并没有试图对ISE的调查提出批评，因为这是一份全面的蓝图，但“他们有点漏洞百出。有个别或小团体的行为体利用非针对性和不具体的威胁来获取资金。这些都会直接影响患者的健康。”

多吉特说，报告中假设的威胁和恶意行为体类型，“重点领域和他们强调的对手——有组织犯罪、恐怖分子、民族国家——虽然这些理论上是正确的，但到目前为止，你很难找到这些威胁行为体以这种方式影响患者健康的真实例子。”

虽然关注网络安全对病人健康的影响很重要，道格特说，“今天还有其他更猖獗的类别，它们将无意中针对病人健康。”Rasomware比有组织犯罪组织或国家针对特定医院的可能性更高。”

这篇文章，“医院黑客置病人健康于危险之中”最初发表于CSO公司 .

加入网络世界社区吧足球竞猜app软件脸谱网和领英对大家最关心的话题发表评论。

安全

Kacy Zurkus是CSO的特约撰稿人，涉及各种安全和风险主题。

工资调查:结果是