医院网络安全是一个紧迫的问题,具有独特的挑战和无法估量的赌注。医疗保健行业加速采用复杂网络,连接设备和数字记录,彻底改变了临床运营和患者护理,但也使现代医院极易受到网络攻击。最近备受瞩目的黑客行为使这些日益严重的威胁成为焦点。然而,尽管越来越多的努力和意识,许多技术,文化和监管问题使医疗保健网络安全复杂化。
为典型的商业企业构建的安全解决方案在应用于复杂的医院IT世界时不尽如人意,因此需要针对特定行业的创新提出紧急,未满足的需求。网络安全的下一个前沿将是推进传统的企业安全,以解决当今医院面临的系统性紧迫挑战 - 尤其是与新兴物联网(IoT)相关的挑战。
到2025年,美国的医疗支出预计将达到GDP的20%(惊人的5.5万亿美元)。而且,根据德勤的数据,全球医疗保健物联网市场预计到2021年将以12.5%的年均复合增长率达到1360亿美元。但是,这种增长市场面临越来越大的威胁。根据美国医学会杂志的一篇报道,自2010年以来,医疗保健违规行为已大幅增加。医疗保健服务组织(HDO)是增长最快的目标群体,占所追踪的2,149次违规行为的70%以上。另一项研究发现,HDO去年是美国工业中88%的勒索软件攻击的受害者,89%的研究组织都有违规行为。
医疗保健组织如此容易受到破坏这一事实已经成为非常诱人的目标。最重要的是,他们拥有的数据的价值甚至会吸引攻击者。黑人市场对患者病历的需求很高,其价格比个人财务信息高20-50倍。黑客还可以使用勒索软件来保存重要的医疗保健系统并记录人质。在去年的WannaCry袭击事件中,这种情况变得非常明显,该事件扰乱了英国三分之一的国家健康服务组织,并感染了世界各地大量无担保的互联医疗设备。
使问题更加复杂的是,黑客只需要妥协最弱的链接设备,以便转向完整的网络漏洞。
设备制造商和HDO似乎都意识到了这个问题。但是研究表明,这种知识还没有激发人们希望的行动程度。根据Ponemon Institute 2017年的一项研究,67%的设备制造商和56%的HDO认为可能会攻击他们的一个或多个医疗设备。但是,只有17%的制造商和15%的HDO正在采取重大措施来防止此类攻击。这些事实引起了警觉。2017年6月,国会特别工作组“关于改善医疗行业网络安全的报告”给出了以下诊断:“医疗保健网络安全处于危急状态。”
了解问题的根源,使医院更安全
很明显,医疗保健行业的网络安全需要得到认真的关注。了解行业疾病的根源是开发治疗方法的关键第一步。
医疗保健的网络安全滞后部分是由于其快速但不均衡地采用新技术。即使在最近的2009年,无线心脏起搏器仍然是新奇事物,成为头条新闻,电子健康记录(EHRs)的采用率低于10%。不到十年后,96%的医院采用了EHR,估计有370万家网络医疗设备存储和管理记录,监控患者健康状况,管理药物并提供重症监护。虽然这些创新对患者和医疗服务提供者来说是一个福音,但在大多数情况下,安全性一直是事后的想法。这种快速的技术采用已经在医院安全中开辟了明显的漏洞,并为恶意网络攻击者创造了不可抗拒的激励。
与传统的物联网相比,连接的医疗设备更难以保护。这些设备通常运行在原本不打算联网的陈旧系统上。此外,医疗设备是关键任务且通常基于嵌入式操作系统的事实使得软件修补比其他行业更复杂和麻烦。医疗设备也是为耐用性而设计的,这意味着20年前制造的许多设备或更多设备 - 当Windows 95被认为是最新技术时 - 至今仍在服务中。因此,很久以前在其他行业得到纠正的漏洞仍然威胁着连接的医疗设备; 要么是因为这些设备太过时而且难以打补丁,要么被认为对于病人护理来说太过关键,甚至不会冒险尝试。
过时和遗留系统不是唯一的问题。医疗保健物联网设备提出了独特的安全挑战,需要临床环境以确保满足这些要求所需的全面可见性。根据9月份发布的KLAS调查显示,造成医疗设备安全问题的最重要组织因素 - 参与者达成49%的共识 - 缺乏资产可见性。医疗设备的不透明系统,专有协议和复杂的交互使得它们比企业物联网设备更难以考虑和保护。为了实现基本的可见性,医疗保健物联网解决方案必须能够以极大的粒度(包括制造商协议)识别每个连接的设备,并提供有关风险等级,设备利用率,软件维护和合规性数据的最新信息。
保护这种独特类别的设备还需要一组更专业的规则和配置来管理设备行为。专用的医疗保健物联网解决方案将能够检测设备级别的异常情况,并根据临床工作流程确定威胁的优先级。随着医院平均每张床连接医疗设备10-15个并且数量,自动编目,跟踪和监控库存的能力至关重要。大多数医院坦诚地缺乏人员,资源和部门间的协调,以确保持续的安全性。
今天不断增长的攻击面,不断变化的威胁形势,变幻无常的法规和系统性挑战需要一种专门的创新方法来保护连接的医疗设备。医院是网络安全创新的下一个前沿,因为传统的物联网安全本身是不够的。
