我們在去年看到了許多關于醫療設備受到攻擊的消息,其中就包括了關于Trojan.Kwampirs和KRACK的報道。4月23日,軟件廠商賽門鐵克公司稱,他們對網絡犯罪團夥Orangeworm的Kwampirs後門程序進行了分析,發現39%的該後門程序被植入到了醫療設備中,如X光機、核磁共振成像設備以及用于幫助完成患者同意書的系統。KRACK雖然沒有攻擊設備,但是它們讓設備之間連接的WPA2協議在安全性上大打折扣。
奧古斯塔大學網絡研究院信息安全教授MichaelNowatkowski指出:“在網絡連接出現以前,這些設備受到了物理保護,僅獲得授權的醫務人員才被允許進入病人房間。如果要對輸液泵進行調整,則需要通過按壓設備上的按鈕進行操作。現在一切都被連接起來了,這使得醫院和醫療保健系統變得混亂不堪。”據畢馬威會計師事務所稱,41%的醫療機構采取的措施是完善自己的管理與策略,另有33%則将設備安全外包給了第三方。
對于那些負責管理内部醫療設備安全的人員,專家給出了以下建議:
1.提高整體安全性
如果你相信在電視上看到的東西,那麼你應該知道對醫療設備攻擊的目的是傷害病人。例如,《神探夏洛克》和《國土安全》等影視劇都有這樣的情節,那就是患者會被自己的起搏器謀殺。畢馬威會計師事務所網絡實踐合作夥伴MichaelEbert指出,在現實生活中,這些攻擊并不真實,雖然今天的網絡攻擊有可能會傷害患者,但大多數針對醫療設備制造商的攻擊都是為了竊取他們的技術,以便複制設備或是避免開發産品工作走入死胡同。
換句話說,設備攻擊者想得到的是大多數黑客都想要的東西:信息。Nowatkowski認為,黑客在嘗試竊取信息時可能并沒有意識到自己入侵的是醫療設備。“因為這些設備中運行的很多操作系統類似于普通的計算機,所以攻擊者可能認為自己入侵的隻是計算機而不是醫療設備。”
提高整體安全性可以阻止這類黑客造成的損害。醫療設備要執行與普通計算機相同的最佳安全實踐。底特律HenryFord健康系統公司首席移動架構師AliYoussef稱:“要确保數據被加密。設備軟件應當将支持EAPTLS身份驗證和WPA2加密作為基本要求。”安全集成公司Optiv的應用顧問EricDiPietro則指出,要對漏洞進行監控,如果發現了漏洞,必須及時進行修補。他說:“用戶要制定并執行成熟的修補計劃,以保持系統和設備處于最新狀态。”
2.隔離有風險的患者
在攻擊中,黑客會尋找病人的數據,他們通常想要的是病人的個人身份信息(PII)。他們有時會盡可能多地獲得病人個人身份信息,無論病人是誰。在有的攻擊中,黑客會尋找特定人員的數據。Nowatkowski說:“知名人士可能比普通大衆面臨的風險更大。特别是政治家、商界領袖,以及可能會支付勒索金的名人或富人。”
為了找到這種人,黑客通常需要攻擊多台機器。“黑客可能完全不會意識到他們正在入侵哪種設備,”Nowatkowski說。“攻擊者或許并不十分清楚他們的攻擊目标附屬于哪個設備。”換句話說,網絡罪犯分子可能知道914房間住着名人,但他們無法分辨哪台輸液設備或心髒監視器在這個房間裡。為此,他們會攻擊整個樓層。雖然隔離這些知名的患者并不會使他們的信息更加安全,但這将會縮小攻擊範圍,降低發生個人身份信息洩露事件發生的可能性。
3.通過“不收集數據”來保護數據
DiPietro建議醫院停止收集患者社會保障号碼(SSN)和其他的個人身份信息。他說:“通過删除敏感數據來更好地保護患者數據。例如,用非敏感的标識符替換患者的社會安全号碼。”
自2014年以後,保險報銷不再需要社會保障号碼,那麼你的醫院為什麼仍然要求收集這些數據呢?你的設施還收集哪些并不需要的其他個人信息呢?黑客無法通過醫療設備或任何其他方式竊取你并沒有的數據。
不幸的是,這個小貼士可能在業務方面難以被接受:因為要接受就得做出改變。據美國廣播公司的報道稱,許多醫院要求提供社會保障号僅僅是因為表格中有一欄要求其填入這些信息,而關閉這欄需要多個部門的合作。
管理層不會一直關注安全問題,但他們會關注HIPAA(健康保險流通與責任法案)。因此這也使得你有機會向管理層展示,如何通過最低限度的數據收集來幫助進行管理。
DiPietro稱:“醫務人員有時會在公共場所(例如候診室)詢問病人個人身份信息。這是違反HIPAA的行為,因為這些地方可能會有人偷聽。限制信息請求可為你和病人解決了一個問題,同時也可讓患者更快地被分流。”
4.讓所有的人都樹立安全意識
檢查輸液設備的護士不一定是網絡安全專家,但是她們必須要能夠識别是否發生了黑客攻擊。這樣她們不僅能夠在設備異常時打電話給IT部門,而且還能夠防止在無意中為黑客提供了便利。“如果有人想攻擊X光機,”DiPietro解釋說,“他們可能不會從一開始就對操作系統下手或嘗試入侵網絡。他們可能會從研究機器開始,如多長時間更新一次,誰在使用它們,以及誰負責管理或監督。他們可能會先假冒X光機公司的業務代表身份緻電給醫院,試圖找出負責該機器的人員。醫院可能會無意中透露給攻擊者一個名字,然後攻擊者通常會利用社交工程來通過電子郵件實施‘釣魚’攻擊。一旦攻擊得手,他們就不必真正‘破解’網絡,因為他們可以使用竊取的登錄證書。”
根據畢馬威的調查顯示,38%的受訪者會對所有高管進行關于信息安全的培訓,同時34%的受訪者會針對特定員工開展網絡應急響應演練。但是研究顯示,大多數安全培訓工作僅限于IT和管理部門,那麼未受培訓的其他員工仍是網絡釣魚攻擊的薄弱環節。
5.使用新興的“欺騙技術”
安全公司AttivoNetworks的CarolynCrandall表示:“醫療保健IT團隊需要各種工具來保護網絡邊界,同時幫助他們快速高效地檢測并響應網絡中的威脅。”這些工具包括Attivo的欺騙軟件。
不要僅僅因為Crandall是一名供應商就迅速回絕她的建議。她解釋道:“欺騙是一種新興的安全控制措施。由于需要縮短攻擊者停留時間,所以催生出了這一技術。黑客入侵未被發現的時間在美國是平均100天。一些醫院使用下一代防火牆提供安全防護,但是這些措施都是以簽名或數據庫匹配為中心的,無法應對證書盜用。”正如DiPietro指出的那樣,一旦黑客擁有正确的證書,那麼他們就可以暢通無阻。
Crandall解釋說:“欺騙技術會創建一個端點,然後将欺騙性證書和誘餌策略性地放在能夠誘惑攻擊者竊取它們的位置上”。這一技術可幫助安全團隊設置一個抓捕醫療設備黑客的陷阱,在黑客竊取信息前将他們抓獲。
本文作者TerenaBell為自由撰稿人,長期關注聊天機器人、自然語言處理和人工智能技術。
原文網址
https://www.csoonline/article/3276657/healthcare/5-tips-tothwart-medical-deviceattacks.html