“医疗保健”和“网络安全”看起来不像是在一起的,但本周的一个安全论坛强调了向电子健康记录的转变和越来越多的连接医疗设备(医疗物联网)的使用是如何使医院和患者变得脆弱的。
的讨论医疗保健信息和管理系统协会(HIMSS)在波士顿的论坛表明很明显,医院知道他们是目标,他们可能不了解危险的范围,或即使是轻微的干扰的潜在成本。
该活动吸引了来自不同领域的观众——有IT、金融和供应链高管,也有网络安全专业人士。因此,医院正在以跨职能的方式看待安全问题,这是一个积极的发展。
考虑到这一点,以下是今年会议的讨论和重要主题的总结:
- 虽然世界上的思科(Juniper, Alcatel-Lucent, Aruba等)继续改进他们的核心和外围网络分析和报告能力,但安全仍然是一个相对的事后考虑。换句话说,相对于当前的技术水平,他们的解决方案不仅“轻”,而且没有解决医疗保健的细微差别。
- 会议的发言人强调了一个主题:供应商还没有为即将到来的事情做好准备。例如,WannaCry和Petya等已知的勒索软件攻击虽然粗糙,但却造成了严重破坏。
- 尽管医疗服务提供者现在明白了窃取患者医疗保健信息(PHI)的法律和财务影响,但许多人仍然没有意识到这对患者造成的相关危险。当专家们指出“如果他们可以窃取PHI,那么他们也可以修改它”时,观众们发出了呻吟声。
- 互联医疗设备安全性的缺乏很可能是该行业最常被谈论的漏洞。鉴于护理网络日益碎片化的特性,有线和无线医疗设备安全正在成为一个热门话题,如果不是情感话题的话。一想到坏人可能会控制连接到病人身上的设备,这简直令人恐惧。
关于安全挑战和IoMT的故事占据了大量讨论。三个例子:
- 第一起事件涉及新分娩的患者监护仪。在他们安装到一家医院的网络后,他们立即开始传播恶意软件。经确定,从工厂运来的监测器“受了感染”。这个问题是在以色列一家名为Medigate的安全公司对连接医疗设备安全解决方案进行概念验证时发现的。
- 在第二个例子中,Medigate销售主管Paul Goldweitz描述了它的解决方案是如何揭示不应该相互通信的设备之间的非法流量的。戈尔维茨说:“CT扫描仪被发现与孵化器通信。”“当我们在概念验证过程中看到这种流量时,我们知道我们正在目睹一场现场攻击。”
- 一名安全顾问描述了第三起事故,最终导致医院损失远超200万美元。这是一起恶意软件的案例,它从一名工作人员的笔记本电脑上侵入了一台设备,进而将数据传输到医院的电子健康记录(EHR)系统。当医院的网络管理员发现有问题时,他关闭了网络。不幸的是,确定罪魁祸首花了两周时间。在此期间,医院被迫恢复纸质记录和使用便携式闪存驱动器(最终这两种都用完了)。除了由于一个月的大部分时间无法发送发票而导致现金流损失之外,许多it项目也陷于停顿。政府下令对病人的医疗记录进行耗资巨大的审计。
除了更专业的安全公司,如Medigate(例如,eswhole, Gigamon和Maize也会想到),IBM似乎在进行一场攻击性的比赛。IBM指出,自2010年以来,针对医疗保健组织的犯罪攻击增加了一倍多,同时谈到了“自带设备”(BYOD)现象以及公共云的采用。显然,网络连接的普及和越来越多的敏感信息现在被保存在网络和分布式系统中,被认为是黑客“扩大了入口阵列”。
IBM的策略是协调一流的、专业的解决方案提供者。IBM直接向Medigate致敬,谈到了医疗设备之间未经验证和未加密的通信如何制造漏洞,最终对患者构成难以想象的威胁。
总的来说,来自论坛演讲者和与会者的信息表明,医院将很好地更新他们的网络/数据安全方法。医院不会把头埋在沙子里,但他们的竞争计划需要精简,他们的预算可以反映出所需的紧迫感。发言者一致认为,供应商还没有为即将到来的事情做好准备。
潜在的新系统集成——如资产跟踪、外围安全和核心管理平台——正在积极探索中。越来越多的人认识到联网医疗设备造成的脆弱性和中断的总成本显然是人们感兴趣的热门话题。几位与会者表示,设备制造商在提高安全性方面可以发挥作用,但与会者并没有坐等制造商提供全面的解决方案。
讨论: