随着联网医疗设备愈加普及,医疗服务模式得以创新,可以实现远程监测患者,但同时也带来了一些安全隐患:网络犯罪分子正在通过恶意软件,突破医院的网络系统。
2016年,安全研究机构MedSec联手投资研究机构Muddy Waters Capital公开披露圣犹达医疗公司(St. Jude Medical) 心脏起搏器存在安全漏洞,容易被网络犯罪分子进行攻击。随后美国食品和药物管理局(FDA)对其进行调查,并发布了一条安全警告:圣犹达医疗公司Merlin@home传输系统使用的射频加密技术存在安全漏洞,未经授权的用户可以通过这一漏洞访问患者植入的心脏装置。
随后,圣犹达医疗公司发布了一项修复补丁,以期降低这个所谓的“极低”的黑客风险。此外,该公司宣布正在创建一个医疗顾问委员会(Medical Advisory Board),专注于联网医疗器械的网络安全问题。为了引起重视,FDA将网络安全评为《2017年监管科学优先事项》中的十大事项之一。
风险的识别
“网络安全最大的威胁在于黑客的入侵,使患者的生命受到了威胁,”位于旧金山的网络安全公司Arxan首席营销官曼迪普·凯拉(Mandeep Khera)说,“虽然现在还没有体现出来,但是随着互联网医疗设备普及,这一问题迟早会发生。”他还指出,黑客入侵系统后经常会潜伏一段时间,再寻找合适的时机进行攻击。
医院网络系统中的恶意入侵也会将胰岛素泵及其他联网器械置于危险境地。
许多医疗设备连接到特殊保留系统,可将遥测和检查结果发回至中央服务器。如果该系统被勒索软件攻击,这些数据将立即冻结,医生则无法进行临床决策。温哥华的Absolute Software公司全球安全战略官理查德·亨德森(Richard Henderson)说:“如果一家医院系统陈旧,他们通常更愿意支付赎金,因为这比更换保留系统便宜得多,也比处理事件的费用便宜。事件处理费用包括替换所有数据的费用,而且还要建立在数据可以备份的基础上。”
因为医疗设备直接有患者参与其中,当它出现故障时,医院将面临一系列的网络安全问题。亨德森说:“为了降低风险,IT部门需要密切注意这些设备收集的数据,并确保数据传输正确。”
“另一个风险是当连接的医疗设备应用第三方图书馆和其他开源软件时,就可能出现易被黑客攻击的漏洞。如果发生这种情况,设备可能面临着拒绝服务(denial-of-service,DDoS)攻击的风险。” 像去年名为“Mirai(日语‘未来’的意思)”的僵尸网络病毒软件,导致上百万用户的系统遭受感染和破坏。同时由于物联网医疗设备可能无法正常工作,这也构成了一定的危险。
评估制造商
“选择怎样的解决方案,是医疗机构需要与其合作的制造商协商的问题之一。”亨德森说。制造商应有能力制定修补软件,快速修补漏洞。此外,医疗设备应该具有正确的身份验证,以便修复时可以进行跟踪和访问。
加州Antelope Valley Hospital临时首席信息安全官马克·卡德里奇(Mark Kadrich)说:“还应确保制造商执行相关软件保证。很多公司会进行一些功能测试,称之为质量保证,但软件保证远胜于此,它通过软件的开发、报告错误,解决缺陷以及实际的安全测试来分析和跟踪相应的功能请求。软件开发时,进行软件分析是为了发现软件的冲突、编码不当、架构不佳等问题。”
FDA已经发布了上市前要提交管理器械网络安全的指导文件草案(Design Considerations and Premarket Submission Recommendations for Interoperable Medical Devices)和上市后医疗器械网络安全的管理指南草案(Postmarket Management of Cybersecurity in Medical Devices)。 凯拉表示:“FDA非常重视黑客入侵医疗设备所带来的威胁,任何不符合其要求的产品不予批准。这迫使制造商竭尽全力处理安全问题。下一代产品比如联网的胰岛素泵和起搏器等,发布时一定要考虑安全问题。”此外,从制造商到供应商的所有工作人员都需要进行安全培训,而凯拉认为很多公司没有花费足够的时间或金钱进培训。
凯拉说:“公司应该尽其所能提高安全保障,使黑客无法入侵。当软件的安全性足够强大,一切的工作都能正确进行,毋须过度关注这些的规章制度,也会符合FDA的要求。”
分离医院网络
对于供应商而言,面临的挑战是能否为患者提供最先进和有效的设备,并确保这些设备足够安全,可以保护用户的隐私数据。
亨德森说:“医院应该考虑从物理上或逻辑上将网络系统进行分割,使这些医疗器械系统与医院内的其他系统分离开来。”如果医院的网络系统受到入侵,可以保证其他系统不受影响。同时,还应限制医院外访问医院的内部系统。虽然这可能对修复漏洞时带来一定的困难,但也会使黑客更难入侵网络。
卡德里奇说:“网络安全的一个关键因素是精心设计的架构及分区。”如果把这比作一个体育场,有座位和台阶的划分,便于金属探测器进行检查。虽然分区不会消除风险,但是便于管理。
亨德森说:“这也有助于新的联网设备的规划和部署。医院应该关注以下几个问题:包括防火墙、病毒防护和数据加密,医疗网络有哪些常见的安全控制措施?这些措施可以应用于医疗器械吗?此外,联网设备的采购决定应有IT部门参与。经常会出现这种情况:IT部门由于没有参与联网设备的采购,而对设备缺乏了解。”
卡德里奇提出另一个建议:设计一个“专用”网络。他说:“通过制定一系列规则和指南,有助于我们更好地接受新技术,并可以理解新技术常与风险并存。”
本文转自d1net(转载)