過去12年里(2010~2022年),相較于其他行業(yè),醫(yī)療行業(yè)一直是平均違規(guī)成本最高的行業(yè)之一。聯(lián)網(wǎng)醫(yī)療設備是一個有利可圖的目標,因為攻擊者可以將醫(yī)院作為勒索軟件的人質,或者在設備托管患者的敏感個人健康信息(PHI)時竊取有價值的數(shù)據(jù)。
Palo Alto Networks(派拓網(wǎng)絡)的Unit 42威脅研究發(fā)現(xiàn),醫(yī)療設備是醫(yī)院網(wǎng)絡中最薄弱的環(huán)節(jié),因為它們存在嚴重漏洞:
• 參與研究的輸液泵中,有75%的輸液泵存在至少一個漏洞或發(fā)出至少一個安全警報。
• X光機、MRI和CT掃描儀等成像設備尤其容易受到攻擊,51%的X光機暴露于非常嚴重的常見漏洞(CVE-2019-11687)。
• 20%的常見成像設備運行的是不受支持的Windows版本。
• 44%的CT掃描儀和31%的MRI機器暴露于非常嚴重的CVE。
設備及其漏洞的數(shù)量只是冰山一角。從最近對CommonSpirit、美國列克星敦的CHI圣約瑟夫醫(yī)院、法國巴黎的CHSF醫(yī)院和印度德里的AIMS醫(yī)院的網(wǎng)絡攻擊中可以看出,確保聯(lián)網(wǎng)醫(yī)療設備的安全不僅僅是一項挑戰(zhàn)。2022年10月,CISA向醫(yī)療保健提供商發(fā)布了一份咨詢意見,警告稱有一個勒索軟件和數(shù)據(jù)勒索團伙以醫(yī)療保健和公共衛(wèi)生部門為目標。這個團伙特別關注訪問網(wǎng)絡中的數(shù)據(jù)庫、成像和診斷系統(tǒng)。
這些現(xiàn)代醫(yī)療設備很難被保護,原因包括:
• 缺乏對非托管聯(lián)網(wǎng)醫(yī)療設備的可視性,對了解真實的攻擊面產(chǎn)生了不良影響。
• 由于缺乏設備情境,導致未發(fā)現(xiàn)的漏洞讓醫(yī)院暴露于未知威脅。
• 使用具有扁平網(wǎng)絡的傳統(tǒng)安全架構和易出錯的手動方法創(chuàng)建安全策略,可能導致無法遵守HIPPA等監(jiān)管要求。
• 管理多點安全產(chǎn)品十分復雜,會產(chǎn)生安全缺口。
醫(yī)療保健企業(yè)需要一個全面的零信任網(wǎng)絡安全解決方案來支持他們的數(shù)字化轉型之旅,從而在確保患者數(shù)據(jù)隱私和監(jiān)管合規(guī)性的同時帶來更好的患者治療效果。零信任是一種網(wǎng)絡安全策略,可通過不斷驗證數(shù)字交互的每個階段來消除隱性信任。零信任堅持“從不信任,始終驗證”的原則,旨在保護現(xiàn)代數(shù)字醫(yī)療環(huán)境。這個原則應用最低訪問權限控制和策略以及持續(xù)的信任驗證和設備行為監(jiān)控來阻止零日攻擊。
醫(yī)療物聯(lián)網(wǎng)安全采用零信任應對醫(yī)療行業(yè)的網(wǎng)絡威脅
Palo Alto Networks(派拓網(wǎng)絡)采用久經(jīng)考驗的物聯(lián)網(wǎng)安全技術,并基于零信任安全方法,推出了醫(yī)療物聯(lián)網(wǎng)安全解決方案,使用機器學習(ML)為醫(yī)療保健提供商提供專門為醫(yī)療設備設計的物聯(lián)網(wǎng)安全產(chǎn)品。該解決方案有助于快速發(fā)現(xiàn)和評估每臺設備,輕松分段和實施最低權限訪問,并通過簡化操作防范已知和未知的威脅。此外,新產(chǎn)品還支持醫(yī)療保健提供商提高安全性并減少漏洞:
• 驗證網(wǎng)絡分段:顯示聯(lián)網(wǎng)設備的整個地圖,并確保每個設備都位于其指定的網(wǎng)絡分段中。適當?shù)木W(wǎng)絡分段可以確保設備只與授權系統(tǒng)通信。
• 根據(jù)規(guī)則自動化安全響應:創(chuàng)建監(jiān)視設備行為異常的策略規(guī)則,并自動觸發(fā)適當?shù)捻憫@纾绻粋€通常只在夜間發(fā)送少量數(shù)據(jù)的醫(yī)療設備突然開始使用大量帶寬,預定義的規(guī)則可以自動斷開設備的網(wǎng)絡連接,并通知安全團隊。
• 自動化零信任最佳實踐策略和執(zhí)行:一鍵式根據(jù)受支持的實施技術為設備實施建議的最小權限訪問策略。這消除了容易出錯且耗時的手動策略創(chuàng)建,并可輕松擴展到具有相同配置文件的一組設備。
• 了解設備漏洞和風險狀況:立即了解每臺設備的風險狀況,包括生命周期結束狀態(tài)、召回通知、默認密碼警報和未經(jīng)授權的外部網(wǎng)站通信。訪問每個醫(yī)療設備的軟件材料清單(SBOM)并將它們映射到常見漏洞暴露(CVE)。此映射有助于識別醫(yī)療設備上使用的軟件庫和任何相關漏洞。
• 改善合規(guī)性:輕松了解醫(yī)療設備漏洞、補丁狀態(tài)和安全設置,然后獲取相關建議,使設備符合《健康保險便攜性與責任法案》(HIPAA)、《通用數(shù)據(jù)保護條例》(GDPR)和類似法律法規(guī)等規(guī)則和準則。
• 簡化運營:兩個不同的儀表板允許IT和生物醫(yī)學工程團隊各自查看對其角色至關重要的信息。與現(xiàn)有醫(yī)療保健信息管理系統(tǒng)(如AIMS和Epic系統(tǒng))集成有助于自動化工作流程。
• 滿足數(shù)據(jù)駐留要求:醫(yī)療物聯(lián)網(wǎng)安全使Palo Alto Networks(派拓網(wǎng)絡)在美國、德國、新加坡、日本和澳大利亞的客戶更容易采用本地云托管的物聯(lián)網(wǎng)安全。區(qū)域醫(yī)療物聯(lián)網(wǎng)安全服務可用性可確保滿足本地數(shù)據(jù)駐留和本地化需求,例如GDPR。
醫(yī)療物聯(lián)網(wǎng)安全提供的可操作指南
隨著醫(yī)療保健行業(yè)通過轉型為患者提供更好的服務,聯(lián)網(wǎng)醫(yī)療設備將繼續(xù)增加。基于強大的零信任框架的醫(yī)療物聯(lián)網(wǎng)安全,通過提供可操作的指南來保護其整個生命周期,使行業(yè)能夠安全地使用聯(lián)網(wǎng)臨床設備。醫(yī)療物聯(lián)網(wǎng)安全提供的可視性和操作,使醫(yī)療保健系統(tǒng)能夠實現(xiàn)對所有聯(lián)網(wǎng)醫(yī)療設備和應用程序的零信任。
