医疗器械网络的安全隐患越发严峻,这堵防火墙将如何筑造?

医疗器械 来源:动脉网 作者:杨雪

随着网络时代的到来,医疗设备越来越多地连接到互联网。医院通过网络可以改善医疗服务,但是相应地也会面对网络安全风险。和其他的计算机系统一样,医疗设备也很容易受到安全漏洞的影响,医疗器械网络安全出现问题不仅可能会侵犯患者隐私,而且可能会产生医疗器械非预期运行的风险,导致患者或使用者受到伤害或死亡。因此,医疗器械网络安全是医疗器械安全性和有效性的重要组成部分之一。

威胁和漏洞无法消除,如何降低风险显得尤为重要。国内外的医疗设备网络安全问题处于什么样的环境中?这个赛道又哪些创业公司以全新的方法论和技术可以构筑防火墙?

医疗器械将成为网络攻击下一个目标

动脉网曾持续关注过医疗网络安全问题,据2017年的数据显示,美国2010-2015年医疗信息泄露事件次数每年发生200多起。而今,形势甚至变得更为严峻,2018就发生503起医疗保健数据泄露事件。(数据来源:美国卫生与公民服务部)

FortiGuard的实验室报告称,2017年医疗保健平均每个组织平均每天有近32,000次入侵攻击,而在其他行业这个数字是超过14,300次。显然,医疗行业受到了更多的攻击。

在国内,情况也不容乐观,2017年,《法制日报》发布了一篇名为《7亿条个人信息遭泄露 浙江判决特大侵犯公民信息案》的报道,曝出黑客入侵了某部委的医疗服务信息系统,大量孕检信息遭到泄露和买卖。

然而有一个值得关注的趋势,黑客们不再满足于提取医疗记录和患者数据。他们把手伸向了医疗设备,威胁患者的安全。

多年来,医疗机构一直在保护患者的个人健康信息(PHI)。随着物联网时代的到来,医疗行业将面临新的挑战。医疗物联网涵盖输液泵、核磁共振成像仪、x光机、心脏监护仪等医疗设备,它们都可能成为被攻击勒索的对象。

尽管医疗物联网可以提高医疗保健的效率,但是如果没有安全保护的医疗物联网设备,它也会导致更大风险暴露。随着5G技术的飞速发展,物联网的到来正在加速,而还没有设置网络安全保护的医疗设备宛如在网络攻击面前“裸奔”。

一个例子就是2017年5月WannaCry勒索病毒攻击英国国家医疗服务体系(NHS)。

在2018年2月,《The Naked Security 》报道了WannaCry是如何影响英国国家医疗服务体系(NHS)的。报道中阐述勒索软件针对的是运行在Windows XP工作站的MRI和CT扫描仪。虽然这次攻击的影响仅仅是勒索钱财以释放设备,但更大的担忧是,恶意软件可能会影响设备的操作,干扰设备的移动方式,干扰扫描信号,甚至改变结果。

2017年,《福布斯》也报道了美国一家医院的拜耳Medrad设备被感染。拜耳的一位发言人证实,该公司已收到两份来自美国客户的报告,报告显示设备受到了勒索软件的攻击,但没有透露具体是哪些产品受到了影响。两个站点也在24小时候恢复了运作。

黑客可以直接攻击医疗设备,进行勒索,除此之外,医疗设备还可能成为他们的帮凶,成为窃听的工具。

在2017年8月,FDA召回了近50万个心脏起搏器,原因是担心无线窃听。就连美国前副总统迪克切尼(Dick Cheney)也对他的心脏起搏器进行了修改,以确保它不受攻击。

史密斯医疗公司的Medfusion 4000无线注射器输液泵也是一个例子。这种输液泵在全球范围内使用,用于在疾病护理环境中从注射器中输送小剂量药物。据ICS-CERT在2017年9月报道,这些设备包含8个可以远程利用的漏洞。

据Gartner Research称,到2020年,25%的医疗保健攻击将来自物联网设备。SANS报告称,医院中大约17%的网络攻击来自医疗终端,报告中77%的医院表示医疗设备的安全风险是他们最关心的问题。

动脉网也就医疗器械的网络安全问题采访了广州市妇女儿童医疗中心数据中心副主任曹晓均,广州市妇女儿童医疗中心在2017年就通过HIMSS住院和门诊EMRAM 双7级评审。

曹晓均也表示:“医疗器械与终端设备不同,可能是定制化的系统与软件,并部署在专有的网络环境中。不能按照普通终端的防护方式去执行自我保护,但是又因为系统版本老旧,部署不规范等环境的限制极易遭受攻击。”

曹晓均也指出目前在网络安全和终端安全方面薄弱的问题,他认为在终端安全上容易忽视的问题如下:

1、内网终端主机自从分发后就没有打过系统补丁,漏洞百出,恶意代码入侵长驱直入;

2、为了便于操作,终端往往使用弱口令,病毒使用暴力破解得到密码后,直接使用管理员身份登陆系统,绕开一切防护手段,在系统中为所欲为;

3、为了便于作业与办公,滥用移动存储设备,导致恶意代码有很好的传播途径;

4、因为安全意识宣贯不到位,人员安全意识缺乏,为了图方便使用热点非法外联,导致内外网互通,引入了未知风险。

而网络安全上也存在一些容易忽视的问题,包括:

1、 基础网建设杂乱,没有分区分域。当安全事件爆发后,在网络中传播速度较快,没法办做到及时封堵;

2、 网络安全设备的策略规范化,很多网络设备上线后从未更改过策略,或者都是默认放通,起不到理想的防御作用,形同虚设;

3、 没有人去定期分析总结网络中的安全日志,常常错失处理安全事件最佳的处理时间,导致事态发展到不受控制,工作一直处于被动防御状态。

关于如何防护,他给出了两点建议:

1、主机上通过限制软件最小权限的方式执行保护,只允许特定的程序与接口工作,其他操作一概阻止,这样做相当于给可信的软件做了一个保护罩,直接杜绝了恶意代码的生存与传播途径;

2、网络环境允许的情况下,把仪器设备归类到同一网段下,在该网段前部署安全网关,从网络传播途径上进行清理恶意代码,做到区域的保护。

医疗器械网络安全需要合作搭起安全网

为什么医疗组织会受到攻击。因为医疗数据价值高而保护薄弱,其次受够攻击最多的行业就是金融行业。对于医院来说,因为HIPAA法案,有关患者信息的泄露或者设备遭到攻击,医院将遭到更严重的惩罚。

在国内也不例外,2018年发布的《网络安全等级保护条例(征求意见稿)》中把信息系统的安全等级分为了5级,其中提出将“会造成特别严重损害”的情况下,信息系统应采取的保护等级提高到第三级。

如果医院发生网络安全事故将有谁负责呢?依据2011年卫生部发布的《卫生行业信息安全等级保护工作的指导意见》,其中明确了网络安全负责的责任主体是“谁主管、谁负责,谁运营、谁负责”。

医疗器械生产厂商同样有负有保证医疗器械网络安全的责任。在2017 《医疗器械网络安全注册技术审查指导原则》就明确写道:

“医疗器械产品在使用过程中常与非注册申请人预期的设备或系统相连接,这就使得注册申请人自身难以控制和保证医疗器械产品的网络安全。因此,医疗器械的网络安全需要注册申请人、用户和信息技术服务商的共同努力和通力合作才能得以保障。但是这并不意味着注册申请人可以免除医疗器械网络安全的相关责任,注册申请人应当保证医疗器械产品自身的网络安全,并明确与其预期相连设备或系统的接口要求,从而保证医疗器械产品的安全性和有效性。”

而关于国内医院应对网络安全攻击的模式,曹晓均副主任告诉动脉网:“在应对网络安全的时候,有经验的第三方公司依照医院的具体环境和情况制定安全方案,院内审批后协同执行安全建设。”

大部分医院并未达到现行最高标准

动脉网记者查阅了相关资料,发现对于医疗安全保护的标准,2018年卫健委发布的《全国医院信息化建设标准与规范(试行)》中有着规范和全面要求。

卫健委对于不同等级的医院提出了不同的标准要求。从数据中心安全(防火墙、安全审计设备、系统加固设备、数据加固设备、入侵防范设备、身份认证系统、访问控制系统、安全管理系统、);终端安全(身份认证设备、介质安全设备、客户端管理系统、终端安全管理系统);网络安全(结构安全设备、通信加密设备、网络优化设备、网络安全管理);容灾备份(基础设备灾备、备用网络灾备、数据备份与恢复、应用容灾)四个方面提供了标准和要求。

但是根据现实情况来说,依据腾讯智慧安全、中国医院协会信息管理专业委员会(CHIMA)联合研究发布《医疗行业安全指数报告》中指出,在卫健委指导下,全国医院信息安全建设水平不断提升。《报告》显示,国内38%的医院指数值处于良好水平,22%的医院处于优秀水平,显示出在卫健委指导下,全国医院信息安全建设水平正在不断提升 。

但是也有一些问题暴露,医疗行业信息安全建设意识薄弱,核心数据缺乏有效的安全防护。问题主要表现为:网络空间资产端口开放较多,隐患大,如开放远程登录服务的比例高达50%;外网电脑的安全风险较多,可能会给不法访问者以可乘之机;线上服务平台及第三方医疗服务平台脆弱性会提升医疗数据泄露的风险;医疗行业已经成为勒索病毒攻击的主要目标,医疗业务连续性受到挑战。

广州市妇女儿童医疗中心作为全国第四家通过HIMSS 7级认证的医院,曹晓均也分享了广州市妇女儿童医疗中心的在网络安全方面的建设经验。

他表示:“卫健委发布的《全国医院信息化建设标准与规范(试行)》中,对数据中心的安全防护从防火墙、安全审计、系统加固、数据加固等八个大方面进行提出详细的要求,在国内并不是所有的三甲医院都能完全满足所有的推荐要求,特别是在入侵防护和身份认证方面,很多医院并未做到非常完善。我院在建立云上医院的起初,就非常重视数据中心的安全防护,因为云上的数据中心更容易出现安全漏洞,导致安全事故。因此,我院按照卫健委对三甲医院的要求,对云上数据中心提出安全建设的要求,并通过多期建设逐步完善,已经初步达到《全国医院信息化建设标准与规范(试行)》八个方面安全标准。”

在容灾备份上,广州市妇女儿童医疗中心做到了高于卫健委标准:“我院在对容灾备份的建设中,特别重视高可用性对医院业务连续性的保障,从网络层、主机层、存储层等多个层次设计双活冗余架构,能实现整套信息系统平台无单点故障。同时,建立同城的异地容灾中心,异地容灾中心实现准实时的数据同步,在极端情况下,能实现RTO≦15 分钟, RPO≈0,也高于卫健委的标准和要求。”曹晓均说道。

初创公司利用AI、区块链等技术进入赛道

正如前文所言,医疗器械的网络安全问题不是能够凭借一个主体就能保证,第三方公司的介入能够帮助医院更好地应对网络攻击,目前也有一些创业公司进入这个赛道。在国外,从事医疗健康行业网络安全的创业公司超过120家,动脉网此前进行过盘点,动脉网发现其中致力于医疗设备的初创公司有9家,他们分别用AI、区块链等不同的技术帮助医院应对网络攻击。

在HIMSS19大会上,前美国首席信息安全官Greg Touhill,为医疗组织如何应对网络安全提供了一些建议,动脉网摘编了其中部分为大家提供参考:

1、采取零信任策略。“我认为我们所做的很多事情都被认为是信任,但这是非常错误的。”

2、户名和密码在1979年被认为是最先进的,但是现在应该重新考虑访问控制;

3、金融和政府等其他行业正在使用多因素身份验证来帮助个人更好地保护其信息,医疗保健行业应该比他们更加强调这些功能;

4、TCP / IP是一个薄弱的安全基础:传输控制协议/互联网协议,用于管理计算机系统与互联网的连接,在20世纪70年代后期也是最先进的,Touhill说。但它并不是一个强大的安全基础;

5、利用自动化来检测和阻止欺诈:有许多工具可用于欺诈检测,但Touhill表示最好的工具来自金融部门。医疗保健从业者应该找到金融部门的解决方案并将其带到医疗保健领域;

6、小心飞入云中:Touhill还说道了涉及与云计算相关的安全性。在与云提供商合作时,他建议组织访问日志,保留渗透测试权并保留引入独立第三方审核员的权利;

7、人工智能可能是一个黑客垂涎的入口:由于人工智能大热,很多组织投资于此类技术。但是请记住,使用人工智能会使您的组织成为网络犯罪分子的目标;

同样,曹晓均也给国内医院一些网络安全建设的建议:

1、建立医院信息安全管理组织机构,明确各安全管理员、机房管理员、网络管理员、应用管理员、主机管理员等安全管理相关岗位及职责,建立健全信息安全管理责任制,使得信息安全各项职责落实到人;

2、对医院信息安全管理体系进行定期地内审和管理评审,对各项安全控制措施实施后的有效性进行测量,并实施相应的纠正和预防措施,以保证信息安全管理体系持续的充分性、适宜性、有效性。对医院信息系统中所存在的安全风险进行有计划的评估和管理;

3、医院业务信息系统分等级保护。按照国家等级保护有关要求,对医院信息系统及信息确定安全等级,并根据不同的安全等级实施分等级保护;

4、规范医院信息资产(包括硬件、软件、服务等)管理流程,建立信息资产管理台帐,明确资产所有者、使用者与维护者,对所有信息资产进行标记,实现对信息资产购买、使用、变更、报废整个周期的安全管理;

5、保障机房物理与环境安全。实施包括门禁、视频监控、报警等安全防范措施,确保机房物理安全。部署机房专用空调、UPS等环境保障设施,对机房设施运转情况进行定期巡检和维护。严格对机房人员和设备的出入管理, 进出需登记,外来人员需由相关管理人员陪同方能访问机房;

6、加强对信息系统外包业务与外包方的管理,在与信息系统外包方签署的服务协议中,对信息系统安全加以要求。通过审批、访问控制、监控、签署保密协议等措施,加强外部方访问业务信息系统的管理,防止外部方危害信息系统安全;

7、在医院网络中统一部署网络防恶意代码软件,并进行恶意代码库的统一更新,防范恶意代码、木马等恶意代码对业务信息系统的影响。通过强化恶意代码防范的管理措施,如加强介质管理,严禁擅自安装软件,加强人员安全意识教育,定期进行恶意代码检测等,提高业务信息系统对恶意代码的防范能力;

8、对重要的信息和信息系统进行备份,并对备份介质进行安全地保存,以及对备份数据定期进行备份测试验证,保证各种备份信息的保密性、完整性和可用性,确保所有重要信息系统和重要数据在故障、灾难后及其它特定要求下进行可靠的恢复;

9、采用技术和管理两方面的控制措施,加强对网络的安全控制,不断提高网络的安全性和稳定性。医院办公网络与互联网进行逻辑隔离。通过实施网络访问控制等技术防范措施,对接入进行严格审批,加强使用安全管理,加强对网络使用的安全培训和教育,确保网络信息的安全;

10、按照“仅知”原则,通过功能和技术配置,对重要信息系统、数据等实施访问控制。进一步推广数字证书的使用,以及安全的授权管理制度,并落实授权责任人。对系统特殊权限和系统实用工具的使用进行严格的审批和监管;

11、进一步重视软件开发安全。在医院各业务信息系统立项和审批过程中,同步考虑信息安全需求和目标。应保证系统设计、开发过程的安全,重点加强对软件代码安全性的管理。属于外包软件开发的,应与服务提供商签署保密协议。系统开发完成后,应要求通过第三方安全机构对软件安全性的测评;

12、在符合国家密码管理相关规定的条件下,合理使用密码技术和密码设备,严格密钥生成、分发、保存等方面的安全管理,保障密码技术使用的安全性;

13、重视对IT服务连续性的管理,建立对各类信息安全事件的预防、预警、响应、处置、恢复机制,编写针对业务外网等重要系统的应急预案,并定期进行测试和演练,在信息系统发生故障或事故时,能迅速、有序地进行应急处置,最大限度地降低因信息系统突发事件或意外灾害给医院业务信息系统所带来的影响;

14、对所适用的国家信息安全相关法律法规进行定期的识别、记录和更新,并对医院信息安全管理现状与法律法规的符合性进行检查,确保各项信息安全工作符合国家信息安全相关法律法规要求。

来源:动脉网   作者:杨雪

医谷,分享创业的艰辛与喜悦,如果您是创业者,期望被更多的人关注和了解,请猛点这里  寻求报道

意见
反馈

扫码
关注

扫码关注医谷微信

手机访问

扫码访问手机版

返回顶部