9月2018

医疗设备安全
萨拉·埃尔金斯
郑重声明
第三十卷第八页

黑客有了新的目标,但目标还是一样的。

这是一个好莱坞的情节:邪恶的黑客进入了一位世界领导人的心脏起搏器,并威胁要暗杀他,除非他把1000万美元汇到一个离岸账户上。这是个似曾相识的情节,不是吗?电视惊悚片国土2012年也发生过类似事件。或许你还隐约记得2007年的头条新闻,当时的副总统迪克·切尼(Dick Cheney)担心他的起搏器可能被黑客入侵,于是关闭了其无线功能。

切尼的起搏器从未被黑过,但事实仍然是它可能被黑过。虽然到目前为止,医疗设备漏洞的人类风险已经被降级到屏幕上,但这并非不可能。越来越多的安全专家警告说,医疗设备特别容易受到攻击。

“医疗设备是下一个安全噩梦”、“当医疗设备被黑客攻击时,医院往往不知道”和“黑客对患者构成威胁”等标题证明了这一点,警钟正在敲响。不过,很难辨别真正的风险。

网络安全公司梅林国际(Merlin International)的首席技术官布莱恩•威尔斯(Brian Wells)引用了去年进行的一项研究,该研究发现,来自四家供应商的七款起搏器存在8000多个可攻击漏洞。

研究人员在两个起搏器中发现了未加密的患者数据,其中一个包括姓名、电话号码、医疗信息和社会安全号码。所有的起搏器都安装了过时的软件,存在已知的漏洞。”

这指出了人们对医疗设备脆弱性的真正担忧。游戏的核心仍然是数据。虽然这更像是一部戏剧性的电影情节,但黑客们并没有针对个人或特定设备——至少现在还没有。

“设备不一定是他们想要的——这是他们一旦进入网络就能在网络上找到的东西,”多功能公司(Versatile)的联合创始人兼首席技术官凯文·米尼(Kevin Meany)说。多功能公司是一家医疗保健和其他行业的IT提供商。“在暗网上,医疗记录是一种巨大的商品。”

电子医疗网络认证委员会(EHNAC)的审稿人、n - integrity Solutions Group的HITRUST从业人员Lesley Berkeyheiser对此表示赞同。“主要原因还是钱。在黑市上,PHI(受保护的健康信息)仍然值很多钱。网络犯罪分子的目标是获取更大的金钱和更大的人口问题。”

为什么是医疗设备?
由于无法更新,医疗设备更容易受到损害。“这些设备没有代理商。你不能在上面安装杀毒软件。你不能在它们上面安装反恶意软件,”米尼说。

在哥伦布合作实验室(Columbus Collaboratory)副总裁兼首席网络安全创新者杰夫•施密特(Jeff Schmidt)看来,植入式设备体现了这些互联、不可访问的医疗设备固有的弱点。

“这是一种你可能无法实际接触到的设备,它们也不是由软件工程师设计的。它们不是由考虑远程修补和可升级性的人设计的,”他说。“如果你发现了一个缺陷,你会怎么做?”要求每个人都去医院做手术?”

当然,有些设备比其他设备更容易受到攻击。Wells指出,厂商开发的设备不能在Windows、Mac或Linux等标准操作系统上运行。当被问及组织如何知道非标准供应商正在更新他们的设备时,他坦率地回答说:“嗯,他们不知道。”

施密特对此表示赞同,他指出,对信息安全影响最大的是微软Windows的自动更新。他说:“操作系统的自我更新能力对安全性产生了巨大的积极影响。”

根据美国医院协会的说法,“软件公司通常优先考虑创建一个系统的方法来分享及时的更新,并提供如何完成更新的指导。类似的方法尚未被医疗设备制造商采用。”

简而言之,必须要求医疗器械制造商遵循相同的自动补丁原则。施密特说:“在2018年,没有人应该购买任何他们要远程部署的东西,这些东西不能以某种合理的方式远程更新。”他建议组织利用他们的购买力,以积极影响制造商负责任的安全开发。他以梅奥诊所(Mayo Clinic)为例,该诊所要求所有医疗设备在购买前进行安全测试。

它是如何发生的
好消息(如果可以称之为好消息的话)是,黑客们没有什么新花招了。医疗设备受到破坏的方式与传统网络遭到破坏的方式相同。

正如Wells所说,“坏人使用通常的方法——打开防火墙端口、网络钓鱼等——进入网络,然后转移到设备上。”

施密特附和威尔斯说:“他们正在用网络钓鱼扼杀我们。我们期望会计部门的梅布尔能够区分恶意和非恶意电子邮件附件,这是不合理的。这是我所在行业的一个失败,我们一直无法缓解。”

Meany说明了这些妥协是多么容易发生。最近,他带着14岁的儿子去做身体检查。当他在医生候诊室时,他决定用手机“在无线网络上搜索一下”。他对自己的发现并不感到惊讶。

“基本上,他们在自己的无线空间里投放了太多的ssid(服务站点标识符)广告。”Meany发现的是网络上的几个打印机,这是一个已知的漏洞,即打印机在网络上宣传自己可以直接打印。

“供应商这样做是为了方便用户,但这并不安全,”他继续说,“一旦你越过了这个界限,它可能会非常开放。”

可以想象,米尼可能侵入了一台打印机,并探测了该诊所的整个网络,寻找有价值的数据。虽然大多数人都知道在电脑上设置强密码的重要性,但在同一网络上运行的许多设备都没有相同级别的密码保护——如果有的话。扁平、未分段的网络上易受攻击的设备已成为打开这个王国的钥匙。

施密特解释说:“设备(不能)有默认密码。有多少个“用户名:admin,密码:admins”?有多少个共享凭据?你知道,有一个视频摄像系统需要20个人才能进入,他们都使用相同的用户名和密码。”

医疗设备和物联网
Schmidt, Meany和Wells在描述如何发生妥协时都明确地提到了非医疗设备。从打印机和安全摄像头到联网温度计和洒水系统,至少对安全专家来说,这个问题与其说是关于医疗设备,不如说是关于一般设备或物联网(IoT)中的事物。

Berkeyheiser强调了这个困难:“这真的很奇怪。你认为我的手机是医疗设备吗?视情况而定。如果我在手机上安装了卡迪亚移动应用程序呢?”

随着物联网的快速扩张,狭隘地看待任何设备子集(医疗或其他)的脆弱性可能是有限的。是的,这些设备本身很容易受到攻击,很大程度上是因为它们无法修补或更新,但它们在开放、平坦的网络上的连接可能是更大、更容易修复的问题。

“以胰岛素泵为例,”Berkeyheiser说。“如果上面的数据传送到手机,手机再传送到笔记本电脑,笔记本电脑再传送到医生办公室,你就可以看到你在追踪数据流。”她补充说,胰岛素泵本身的脆弱性是一回事,而胰岛素网络的脆弱性则完全是另一回事。

网络市场细分
每一位接受采访的专家都提出了一个每个医疗机构都应该采用的解决方案:网络分割。

Wells说:“医疗机构应该考虑实施一个全面的网络分段架构,以创建一个完全独立的网络环境,仅为医疗设备指定。”“如果攻击者入侵了一台设备,他们能造成的伤害就有限了,因为该设备与企业内部的其他一切都是‘隔离’的。”

施密特对此进行了分析:“没有理由让梅布尔会计部门的桌面能够与监控摄像头或恒温器对话,反之亦然。摄像机一旦被黑了,就没理由跟会计部梅布尔的机器通话了。然而,在许多企业中,情况就是这样。一切都是平的。”

“周界防护是不够的,”米尼说。“我们必须把它带进去。”

加密是关键。韦尔斯说:“为了使分割有效,你需要强大的加密——甚至比我们用在手机上的还要好——来关闭一切。”

发现被入侵设备
一旦黑客侵入了网络,开始四处寻找有价值的数据,关键就变成了找出漏洞已经发生并关闭它。米尼描述了为什么没有指纹识别很难发现。

“网络已经成为一个活的有机体,”他说。因此,有必要了解网络中每个设备的基线行为。超声波机器以某种方式工作。心脏监测器的表现也很独特。通过为每个设备建立一个“指纹”,Meany监控网络行为。

他描述了一种可能的情况:“有一天,心脏监测器开始与其他服务器对话,或者连接到互联网。它从来不会那样做。现在我看到的行为与指纹不符。我可以发出警报,并立即关闭它。”

施密特补充说:“人际网络上的网络流量是由人类的随机性决定的。人类并不是超级可预测的,所以他们的网络流量非常奇怪。但如果你看看医疗设备、冰箱、恒温器等任何接入网络的设备,它们都是非常、非常可预测的。”

威尔斯警告说,网络上的不良行为可能并不总是那么容易识别。“优秀的黑客通常不会表明他们在做什么——他们以保持隐秘而自豪。对他们来说,这就是他们做事的艺术。”

Meany承认,“(黑客)可以潜伏很长一段时间,就像等待命令的小特工。”诀窍是看电视;他指出,最终你会看到活动。

防御措施
作为EHNAC的审稿人,Berkeyheiser和她的同事强调了自愿认证项目的重要性。她说:“我们坚信,在隐私和安全方面制定最佳实践,遵循数据流,实施生命周期,不断使用基于风险的方法来确定问题所在,并不断缓解问题,所有这些都将在认证或认证项目中真正帮助行业。”

Berkeyheiser还指出了ONC在推动“持续质量改进和采用产品生命周期”方面所做的工作。今年1月,ONC宣布成立TEFCA(可信交换框架和共同协议),计划在今年年底前发布一份更详细的最佳实践标准自愿指南大纲。该指南将包括有关设备生命周期的语言。

“有些人担心,在灾难性事件发生之前,医疗保健部门不会认真对待医疗设备的脆弱性,”Berkeyheiser说。

对于米尼来说,他的工作就是防止此类事件的发生,他的客户的答案是“近乎零的安全信任水平”,他补充说,“不幸的是,这就是这个世界把我们带到的地方。”

“我们需要提前考虑安全问题,”施密特说。“安保人员总是这么说,我们从来不会这么做。如果有人坐下来设计一个新东西,他们应该考虑风险状况是什么,威胁模型是什么,我们需要如何保护这个东西,谁需要访问它,在什么条件下,我们如何提前更新和修补它。”

Berkeyheieser会辩称,大部分前期工作已经完成;这只是一个应用已经学过的东西的问题。“我回到了2005年和2006年实施的基本HIPAA安全措施。它仍然是一样的,”她说。“无论是医生和医院的HIPAA安全,还是医疗设备制造商的安全,都无关紧要。组织需要采用适当的技术控制。”

萨拉·埃尔金斯是西弗吉尼亚州的一名自由撰稿人。