医院的黑客把病人的健康置于危险之中

最近针对医院的勒索软件攻击不仅暴露了病人数据的风险，更重要的是病人的健康

通过Kacy Zurkus

作家,方案 |

该报告强调了医疗设备的脆弱性及其对患者健康构成的风险独立安全评估过去一个月的情况表明，医院正成为犯罪分子的目标。

独立安全评估机构的执行合伙人泰德·哈林顿说:“从很多方面来说，这都是一份可怕的报告，但我们的希望是组织一个行业认识到这些问题。我们正试图让整个行业开始改变，尤其是一个监管非常严格和复杂的行业。对话需要开始。”

该报告还证明，在保护患者数据的严格规定的指导下，医疗保健行业“几乎完全专注于保护患者数据，而不是患者的健康”。重点完全在于确保病人的记录得到保护而不被篡改，但这与保护病人没有直接关系。”哈林顿说。

安全专家比利·里奥斯表示，这些发现并不完全是新的。他说，他已经为提高医疗设备的安全性而奋斗了五六年。里奥斯去年揭露的输液泵漏洞只是一个例子。

“Telmed泵甚至不是一个弱点。这是糟糕的设计，糟糕的架构。这是没有补丁的。你无法弥补水泵在运转的事实。它需要重大的配置更改，”Rios说。

监管并不是解决网络安全问题的灵丹妙药，里奥斯说他不喜欢监管。但问题是，除非供应商被迫做些什么，否则他们不会这么做。

Ellen Derrico，卫生保健和生命科学高级主任，RES

里奥斯说:“他们对所谓的上市前解决方案有正式的指导。你必须遵循这些得到清除出售你的产品。他们有指导，但是否听从指导取决于你自己。”

医院正在尽其所能将这些设备的风险降到最低，但对于小医院来说，预算的限制是有限的。“他们没有预算，也没有员工，而设备制造商并不关心这些人，”他说。

里奥斯说，一般的指导是把设备放在自己的网络上。问题是医院有成千上万的医疗设备。Rios说:“将所有设备隔离开来给交付组织带来了负担。”

里奥斯说，许多医疗设备供应商建议医院对设备进行细分，但他说:“这并不意味着每家医院都在这么做。一家小医院不会这么做相反，所有的设备都是相连的。更成熟的医院才是真正进行细分的医院。”

“那些有资金和员工的医院正在尽可能地细分设备。从架构的角度来看，试图对这些设备进行细分是很笨拙的。任何理智的人都不会这样设计他们的网络，”里奥斯说。

BUFFERZONE的首席执行官Israel Levy不同意当今的技术允许非常灵活的网络。列维指出，一些国家的银行业规定，所有与金融和货币有关的活动都必须在一个没有直接连接到互联网的网络上执行。还有一些人执行子网策略，这允许他们把最重要的组件保持在一个单独的位置。

“这些分开的地点创造了更好的安全。然后将子网视为不安全的，并采取措施从外部网络传输到安全网络。这些技术现在已经可以使用了。只要我们的策略是把所有的设备都放在一个单独的网络上，它们也将需要允许信息传递的技术。

尽管记者未能联系到任何一家医疗设备供应商发表评论，但安全行业专家提出了一些技术解决方案，以减轻对患者健康的风险。

Partners HealthCare System的企业网络安全风险官Jason K. Marchant说:“大多数医疗设备都可以连接到医院的网络，可以是有线的，也可以是无线的，并与电子健康记录(EHR)通信。”Hospitals, in allowing this communication, might inadvertently subvert security controls.

例如，马尔尚说，“可以在防火墙中打开端口，允许医疗设备系统与EHR通信，但这些端口也可能被发现用于传播恶意软件。”

为了最好地降低这些风险，Marchant说，“设备应该被分配到它们自己的IP空间，并在它们自己的虚拟局域网中运行。这允许对可以和不可以相互通信的系统进行更细粒度的控制。它还可能加速监测网络上的异常活动。”

拥有健康的网络安全

这里有五种策略可以从安全从业者那里保护患者数据和患者健康。

保持所有系统和软件的更新。“攻击者正在使用已知的漏洞，当IT经理没有或不能给这些系统打补丁时，他们就面临更高的风险，”Carbonite高级副总裁克里斯道格特(Chris Doggett)说。
了解安全控制。设备公司可能会实施更宽松的安全控制，以加快系统的安装和支持。医院工作人员应该了解系统配置的风险，”Partners HealthCare system企业网络安全风险官Jason K. Marchant说。
为长远考虑。“增加预算，重组组织，重新架构网络，或者雇佣额外的人员，都是长期的努力。这些长期计划应该尽快制定，并随着技术、威胁和防御环境的演变而更新。”独立安全评估人员写道。
创建一个缓冲区。在一台机器上运行两个环境。BUFFERZONE Security公司的首席执行官Israel Levy说:“服务器的一边连接到医疗设备，另一边能够提取文件并发送给医生。”
教育全体员工。“确保他们不知道他们正在接受“安全培训”——给他们提供个人帮助的培训，他们会把这些带到工作中去，”RES的高级主管Ellen Derrico说。

虽然马尔尚认为安全是大家共同的责任，但他说:“医疗保健行业，特别是没有专门网络安全人员的医院，可以从供应商提供的详细文件中获益，这些文件描述了医疗设备系统默认配置和未配置的安全控制。”

Ellen Derrico，卫生保健和生命科学高级主任RES他说:“事实上，每家医院的景观设计都有些不同。如果设备都在网络上好莱坞长老会，你就会有弱点。”

随着网络连接设备数量的增加，每个人都需要了解网络连接设备的风险，因为“设备和系统之间的任何地方都存在漏洞，”Derrico说。

在2016年HIMSS互联健康大会上，Derrico谈到了对加密技术的需求。“医院需要一个黑白的可执行文件列表。他们需要提高特权，以便不是每个人都能获得管理权限，他们需要非常谨慎地根据角色进行控制，”Derrico说。

安全团队采取行动保护网络和患者健康的其他方式，Derrico说，“有覆盖保护网络和只读设备，这样黑客就不能在设备上写东西。”锁定设备端口，这样某人就无法从棍子上获取信息。”

这其中既有技术方面的，也有教育方面的，因为如果它们受到攻击，整个网络都可能受到感染，影响设备。这是否意味着，保护患者数据所在的网络，就能反过来保护设备?

Carbonite高级副总裁克里斯•道格特(Chris Doggett)表示，他并不想对ISE的调查提出批评，因为它是一个全面的蓝图，但“他们有些偏离目标。”有个人或小团体的行动者使用非目标和非特定的威胁来获取资金。这些都会直接影响到病人的健康。”

的各种威胁和恶意的演员在报告中认为,道根说,“重点领域及其突出的对手——有组织犯罪、恐怖主义、民族国家——而在理论上是正确的,你会很难找到现实生活中的例子迄今为止在病人健康影响那些以这种方式威胁演员。”

尽管关注网络安全对患者健康的影响很重要，道格特说，“如今还有其他一些更普遍的类别，它们会无意中针对患者的健康。”Rasomware的可能性比有组织犯罪单位或国家针对某家医院的可能性要高。”

这篇文章，“医院黑客把病人的健康置于危险之中”最初由方案。

加入网络世界社区有个足球雷竞技app脸谱网和LinkedIn对最重要的话题发表评论。

安全

Kacy Zurkus是CSO的特约作者，涵盖了各种安全和风险主题。

工资调查:结果在