隨著網(wǎng)絡(luò)攻擊者不斷將目標(biāo)對(duì)準(zhǔn)醫(yī)院��,美國(guó)食品和藥物管理局去年實(shí)施了全面的新法規(guī)�����,以加強(qiáng)對(duì)醫(yī)療器械的網(wǎng)絡(luò)安全監(jiān)督��。然而�����,監(jiān)管機(jī)構(gòu)和網(wǎng)絡(luò)專家仍在努力解決一個(gè)特定的威脅:遺留醫(yī)療器械����。
美國(guó)各地的醫(yī)院和醫(yī)療系統(tǒng)中都充斥著使用過時(shí)或即將過時(shí)軟件的醫(yī)療技術(shù),這給醫(yī)療機(jī)構(gòu)的網(wǎng)絡(luò)防御留下了漏洞��。雖然器械很少成為網(wǎng)絡(luò)攻擊的目標(biāo)�����,但不支持的遺留醫(yī)療器械仍會(huì)受到醫(yī)院網(wǎng)絡(luò)攻擊的影響���,可能需要關(guān)閉關(guān)鍵器械并危及患者安全����。
在努力確保器械安全��、保留遺留器械的經(jīng)濟(jì)性與在設(shè)備需要聯(lián)網(wǎng)的緊急情況下優(yōu)先照顧病人之間����,始終存在著矛盾。
2023 年��,美國(guó)食品及藥物管理局的器械與放射健康中心實(shí)施了新的法規(guī)和指南��,旨在最大限度地降低醫(yī)療器械的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)��。新規(guī)定優(yōu)先考慮在器械上市前制定更嚴(yán)格的網(wǎng)絡(luò)安全要求����,并在產(chǎn)品發(fā)布后制定更全面的監(jiān)控標(biāo)準(zhǔn)。
專家們稱贊這些規(guī)定開啟了一個(gè)新時(shí)代�,網(wǎng)絡(luò)安全終于得到了應(yīng)有的重視。
其中一項(xiàng)重要工作是確保進(jìn)入醫(yī)院的器械不會(huì)很快過時(shí)����,并要求制造商制定具體的監(jiān)控計(jì)劃,更新或修補(bǔ)舊軟件�����。
然而��,對(duì)于目前醫(yī)院中使用過時(shí)和不支持軟件的大量器械來說���,解決方案仍然遙遙無期���。沒有人知道醫(yī)院里有多少舊器械,因?yàn)闆]有可靠的數(shù)據(jù)�����。遺留器械是目前行業(yè)最大的問題之一,“現(xiàn)在還沒有答案”��。
一些遺留器械對(duì)病人護(hù)理至關(guān)重要����,因此醫(yī)院不能輕易關(guān)閉它們作為安全措施。同時(shí)���,一些不支持的器械價(jià)格昂貴�,一旦軟件過時(shí)���,醫(yī)院就不能簡(jiǎn)單地購(gòu)買新機(jī)器�����。
了解醫(yī)療器械制造商和醫(yī)院如何降低遺留器械帶來的風(fēng)險(xiǎn)��。
1. 識(shí)別器械
網(wǎng)絡(luò)安全專家表示���,解決遺留器械問題的第一步是醫(yī)院確定有多少器械連接到其網(wǎng)絡(luò)。由于潛在連接的器械數(shù)量龐大�����,這可能會(huì)變得復(fù)雜����。
如今,我們有大量的系統(tǒng)連接到醫(yī)院網(wǎng)絡(luò)�����,這些系統(tǒng)基本上都沒有得到管理����,或者即使得到管理,也是由醫(yī)院或第三方進(jìn)行準(zhǔn)管理�����。“我們需要做的第一件事---這也是目前醫(yī)療行業(yè)做得非常糟糕的一件事--就是了解是什么連接到了我們的網(wǎng)絡(luò)"����。
雖然第一步看似簡(jiǎn)單明了,但對(duì)于個(gè)體醫(yī)療服務(wù)提供商����、監(jiān)管機(jī)構(gòu)和器械制造商來說可能是個(gè)負(fù)擔(dān)。
識(shí)別包括遺留器械在內(nèi)的聯(lián)網(wǎng)設(shè)備“幾乎是不可能的”��。醫(yī)院可能有成千上萬(wàn)臺(tái)機(jī)器與網(wǎng)絡(luò)連接,從醫(yī)療器械到 IT 系統(tǒng)����、電話和筆記本電腦無所不包。即使在發(fā)現(xiàn)特定機(jī)器連接到網(wǎng)絡(luò)后����,識(shí)別它的工作也會(huì)變得非常復(fù)雜,因?yàn)橄癯上駜x器這樣的設(shè)備可能會(huì)顯示為“Windows 設(shè)備”����,而不是醫(yī)療器械。
這個(gè)問題其實(shí)并不像人們希望的那樣清晰�����。
一旦識(shí)別出器械����,就需要對(duì)醫(yī)院網(wǎng)絡(luò)進(jìn)行持續(xù)監(jiān)控,以識(shí)別新器械和威脅���,并發(fā)現(xiàn)是否需要補(bǔ)丁或更新���。
2. 了解漏洞
下一步是了解網(wǎng)絡(luò)連接器械可能帶來的風(fēng)險(xiǎn)���。有些機(jī)器可能需要更新補(bǔ)丁��,或者一旦操作系統(tǒng)不支持就需要更新�,而有些機(jī)器可能已經(jīng)過時(shí),沒有補(bǔ)丁可用�����。
了解漏洞所在非常重要�,這樣醫(yī)療機(jī)構(gòu)才能做好應(yīng)急準(zhǔn)備,尤其是用于治療或診斷病人的醫(yī)療器械�����。勒索軟件或其他形式的網(wǎng)絡(luò)攻擊可能會(huì)蔓延到醫(yī)院的整個(gè)系統(tǒng)����,導(dǎo)致 CT 掃描儀和核磁共振成像儀等醫(yī)療器械以及其他依賴于醫(yī)院網(wǎng)絡(luò)的功能癱瘓����。
一些遺留技術(shù)沒有基本的安全功能,如數(shù)據(jù)加密和傳輸加密。其中一些器械仍然沒有密碼或硬編碼密碼����,你可以在互聯(lián)網(wǎng)上查找技術(shù)人員手冊(cè)。這些器械仍能按設(shè)計(jì)正常工作��。它們被設(shè)計(jì)成經(jīng)久耐用......過時(shí)或充滿漏洞的是操作系統(tǒng)和軟件�����。
軟件物料清單 (SBOM) 是醫(yī)療器械制造商可以用來幫助醫(yī)療服務(wù)提供商了解器械可能需要哪些更新或補(bǔ)丁的一種工具���,使他們能夠更好地了解潛在的漏洞。SBOM 是構(gòu)成器械的所有軟件組件的清單���。
器械公司提供的詳細(xì) SBOM 還可以幫助醫(yī)院識(shí)別連接到其網(wǎng)絡(luò)的機(jī)器�����,以及在需要時(shí)如何修補(bǔ)或更新它們����。SBOM 可以引發(fā)器械制造商和醫(yī)院之間的對(duì)話����,討論機(jī)器是否存在漏洞�����,以及有哪些控制措施來管理這些風(fēng)險(xiǎn)����。
“Some of the legacy technology does not have basic security features such as encryption of data, encryption of transmission. Some of them still have no passwords or hard-coded passwords you can look up on the internet in the technician’s manual.”
根據(jù)去年實(shí)施的法規(guī)��,F(xiàn)DA 現(xiàn)在要求制造商為器械提供 SBOM�����。雖然有些人稱贊這比以前的標(biāo)準(zhǔn)有所改進(jìn)����,但專家們強(qiáng)調(diào)����,制造商在銷售器械之前,仍需開發(fā)盡可能安全的器械�,而不應(yīng)將補(bǔ)丁作為開發(fā)的拐杖。
一旦了解了它們的工作原理����,就可以開始鎖定這些器械��,從而提高網(wǎng)絡(luò)安全性���。“讓我們假設(shè)我們永遠(yuǎn)無法為遺留器械打補(bǔ)丁--有些可以,有些不能---但假設(shè)最壞的情況�����,通過這種方式�����,我們所能做的就是保護(hù)病人的安全以及醫(yī)療網(wǎng)絡(luò)的完整性和安全性����。”
3. 使用網(wǎng)絡(luò)分段
在識(shí)別遺留器械并了解潛在風(fēng)險(xiǎn)后,一些器械可能會(huì)構(gòu)成足夠的威脅����,需要將其控制在自己的網(wǎng)絡(luò)中,這一過程被稱為網(wǎng)絡(luò)分段�。這一步驟是一項(xiàng)安全措施,可防止網(wǎng)絡(luò)上的網(wǎng)絡(luò)威脅到達(dá)易受攻擊的器械��,或在設(shè)備受到攻擊時(shí)擴(kuò)散開來。
網(wǎng)絡(luò)分段是一項(xiàng)至關(guān)重要的策略�,因?yàn)榫W(wǎng)絡(luò)攻擊會(huì)迅速蔓延,在攻擊期間或之后沒有時(shí)間保護(hù)機(jī)器���。
惡意軟件可以在網(wǎng)絡(luò)上橫向傳播��,在你意識(shí)到之前���,整個(gè)醫(yī)院都癱瘓了。救護(hù)車會(huì)改道��,病人會(huì)被送往附近的其他醫(yī)院��,恢復(fù)和復(fù)原的成本很快就會(huì)達(dá)到數(shù)百萬(wàn)美元����。
分段并不總是意味著完全關(guān)閉設(shè)備��。
被分隔的儀器仍然可以與系統(tǒng)中的其他設(shè)備連接����。例如,一臺(tái)成像工作站需要與其他三四臺(tái)設(shè)備進(jìn)行對(duì)話才能運(yùn)行����,而這些設(shè)備可以進(jìn)行分段����,使其能夠與“臨床相關(guān)”的設(shè)備進(jìn)行通信���。這樣�����,管理員就可以繼續(xù)監(jiān)控機(jī)器的行為���,與醫(yī)療器械公司溝通,并在必要時(shí)對(duì)風(fēng)險(xiǎn)采取行動(dòng)����。
還可以對(duì)脆弱的遺留器械進(jìn)行 “air-gapped”處理,將其與網(wǎng)絡(luò)完全隔離�。“air-gapped”允許軟件繼續(xù)運(yùn)行,這一步驟可以使機(jī)器在支持結(jié)束后繼續(xù)使用��。
“air-gapped”設(shè)備仍有可能受到 USB 連接和記憶棒等的威脅����,但“如果你在“air-gapped”設(shè)備周圍設(shè)置了強(qiáng)大的訪問控制和物理安全策略�����,那么你應(yīng)該能夠避免”許多隱患�����。
“There’s this constant tension between trying to secure the device, the economics of keeping older devices, and the priority of taking care of patients in urgent situations where the devices need to be network-connected.”
4. 關(guān)閉設(shè)備
如果某臺(tái)器械在分段后仍存在太大風(fēng)險(xiǎn)�����,或已被網(wǎng)絡(luò)攻擊破壞��,醫(yī)院可以將其從網(wǎng)絡(luò)和互聯(lián)網(wǎng)上完全斷開�����。然而,這并不總是一個(gè)容易做出的決定���。決定關(guān)閉醫(yī)療器械需要權(quán)衡威脅的風(fēng)險(xiǎn)與器械對(duì)病人護(hù)理的重要性�����,而且更換器械的成本很高���。
關(guān)閉器械是“最后的選擇”�����。如果必須關(guān)閉器械�����,醫(yī)院需要制定應(yīng)急計(jì)劃����,其中可能包括將病人轉(zhuǎn)到其他設(shè)施�����。他們還必須與醫(yī)療器械制造商就實(shí)施控制措施進(jìn)行溝通�����。
我們需要關(guān)注的是����,在技術(shù)缺失 30 天或更長(zhǎng)時(shí)間的情況下,我們將如何照顧病人�����,因?yàn)檫@是我們看到的勒索軟件受害者---醫(yī)院---至少需要重新啟動(dòng)核心系統(tǒng)所需的平均時(shí)間。
無論風(fēng)險(xiǎn)管理多么完善�����,也無論新法規(guī)如何解決這些問題���,過時(shí)和不支持的機(jī)器始終會(huì)對(duì)市場(chǎng)構(gòu)成挑戰(zhàn)��,原因很簡(jiǎn)單��,軟件會(huì)老化�����,技術(shù)會(huì)不斷進(jìn)步�����。
問題的復(fù)雜性在于涉及的各方眾多。器械公司開發(fā)和制造產(chǎn)品����,醫(yī)院監(jiān)控設(shè)備并負(fù)責(zé)連接網(wǎng)絡(luò)����,各種監(jiān)管機(jī)構(gòu)監(jiān)督醫(yī)療保健行業(yè)的不同方面--所有這些都需要防范網(wǎng)絡(luò)攻擊���。
專家們認(rèn)為��,盡管有了新法規(guī)�,但仍需努力應(yīng)對(duì)當(dāng)前的挑戰(zhàn)��,尤其是解決目前醫(yī)院使用的遺留器械的策略����。
更嚴(yán)格的監(jiān)督將有所幫助,但“可能需要一代人的時(shí)間才能讓所有老舊的遺留技術(shù)停止使用”����。
京公網(wǎng)安備11010802046783號(hào)
