醫療 IoT 設備成網絡安全弱點,X 光機、MRI 及 CT 掃描儀可成攻擊目標

bed empty equipments floor
環球 IT 新聞科技新聞

通過更快、更準確的診斷,連線的醫療設備有助完善患者體驗、降低運營成本。另外,自動化運行模式可以提高醫療效率並改善患者的整體治療效果,從而徹底改變醫療行業。連線的臨床和操作 IoT 安全設備不但可用於從患者觀察,亦可用於辦公系統,但這也令攻擊面擴大,因而更容易受到針對醫院網絡的惡意攻擊。

(新聞稿)

過去 12 年(2010~2022年),相較於其他行業,醫療行業一直是最容易遭到入侵的行業之一。連線的醫療設備是一個有利可圖的目標,因為攻擊者可以利用勒索軟體來挾持醫院,或者在設備託管患者的敏感個人健康信息(PHI)時竊取有價值的數據。

Palo Alto Networks 的 Unit 42 威脅研究團隊發現,醫療設備因它們自身的嚴重漏洞成為了醫院網絡中最薄弱的環節:

  • 在本研究中,有 75% 的輸液幫浦都至少存在一個弱點或曾發出至少一次的安全警示。
  • X 光機、MRI 和 CT 掃描儀等成像設備特別容易受到攻擊,51%的 X 光機會暴露於非常嚴重的常見漏洞(CVE-2019-11687)。
  • 20% 的一般成像裝置會執行不受支援的 Windows 版本。
  • 44%的 CT 掃描儀和 31% 的 MRI 機器暴露於非常嚴重的 CVE。

然而,設備及其漏洞只是冰山一角。最近 CommonSpirit、美國列剋星敦的 CHI 聖約瑟夫醫院、法國巴黎的CHSF 醫院和印度德里的 AIMS 醫院均遭到網絡攻擊,從中可見,保障連線的醫療設備的安全至關重要。 2022年10月,CISA 向醫療保健提供商發佈了一份諮詢意見,警告稱有勒索軟件和數據勒索團體視醫療保健和公共衛生部門為目標,尤其關注訪問網絡中的數據庫、成像和診斷系統。

這些現代醫療設備很難被保護,原因包括:

  • 缺乏對非託管連線的醫療設備的能見度,無法掌握實際的攻擊範圍 。
  • 由於缺乏防禦設備,導致醫院暴露於未知威脅。
  • 使用扁平網絡的傳統安全架構和易出錯的手動安全政策創建安全策略,會妨礙對於法規需求的合規性HIPPA。
  • 管理多個單一功能安全產品容易產生安全缺口。

醫療保健企業需要全面的零信任網絡安全解決方案來支援數碼轉型,從而在確保患者數據隱私和監管合規性的同時帶來更好的患者治療成效。零信任是一種通過不斷驗證數字交互的各個階段來消除隱性信任的網絡安全策略。零信任堅持“從不信任,持續驗證”的原則,旨在保護現代數碼醫療環境。這個原則應用於最低訪問權限控制和策略以及持續的信任驗證和設備行為監控來達到阻止零日攻擊的效果。

醫療 IoT 安全服務採用零信任應對醫療行業的網絡威脅

Palo Alto Networks採用專業 IoT 安全服務技術,基於零信任安全的框架,推出醫療IoT安全服務解決方案,使用機器學習(ML)為醫療保健提供商提供專門為醫療設備設計的 IoT 安全服務產品。該解決方案有助快速發現和評估每台設備,分段和實施最低權限訪問,並通過簡化操作防範已知和未知的威脅。此外,此項新產品支援醫療保健,以幫助供應商提高安全性並減少漏洞:

  • 驗證網絡分段:顯示連線設備的整個地圖,並確保每個設備都位於其指定的網絡分段中。適當的網絡分段可以確保設備只與授權系統通信。
  • 根據規則自動化安全響應:創建監視設備行為異常的策略規則,並自動觸發適當的響應。例如,如果一個通常只在夜間發送少量數據的醫療設備突然開始使用大量帶寬,預定義的規則可以自動斷開設備的網絡連接,並通知安全團隊。
  • 自動化零信任最佳實踐策略和執行:只要按一下即可在支援的執行技術裝置上執行建議的最低權限存取政策。這可避免容易出錯且耗時的手動政策制定,並可透過相同的設定檔輕鬆地在一組裝置中調整。
  • 了解設備漏洞和風險狀況:立即了解每台設備的風險狀況,包括生命週期結束狀態、召回通知、默認密碼警報和未經授權的外部網站通信。訪問每個醫療設備的軟件庫清單(SBOM)並將它們映射到常見漏洞暴露(CVE)。此映射有助於識別醫療設備上使用的軟件庫和任何相關漏洞。
  • 改善合規性:輕鬆了解醫療設備漏洞、補丁狀態和安全設置,然後獲取相關建議,使設備符合《健康保險便攜性與責任法案》(HIPAA)、《通用數據保護條例》(GDPR)和類似法律法規等規則和準則。
  • 簡化運營:兩個不同的儀表板允許IT和生物醫學工程團隊各自查看其職務至關重要的信息。與現有醫療保健信息管理系統(如 AIMS 和 Epic 系統)集成有助於自動化工作流程。
  • 滿足數據駐留要求:醫療 IoT 安全服務使在美國、德國、新加坡、日本和澳大利亞的 Palo Alto Networks 客戶可以更容易地採用本地雲端託管的 IoT 安全服務。另外,區域醫療 IoT 安全服務可滿足本地數據駐留和本地化需求,例如 GDPR。

醫療 IoT 安全服務提供的可操作指南

隨著醫療保健行業的轉型,連線的醫療設備將繼續增加,令患者可享更佳服務。基於強大的零信任框架的醫療 IoT 安全服務,可操作的指南則能保護其整個生命週期,使行業能夠安全地使用連線的臨床設備。醫療 IoT 安全服務系統使醫療保健系統能夠實現對所有連線的醫療設備和應用程序的零信任。