醫院網絡安全是一個緊迫的問題,具有獨特的挑戰和無法估量的賭注。醫療保健行業加速采用復雜網絡,連接設備和數字記錄,徹底改變了臨床運營和患者護理,但也使現代醫院極易受到網絡攻擊。最近備受矚目的黑客行為使這些日益嚴重的威脅成為焦點。然而,盡管越來越多的努力和意識,許多技術,文化和監管問題使醫療保健網絡安全復雜化。
為典型的商業企業構建的安全解決方案在應用于復雜的醫院IT世界時不盡如人意,因此需要針對特定??行業的創新提出緊急,未滿足的需求。網絡安全的下一個前沿將是推進傳統的企業安全,以解決當今醫院面臨的系統性緊迫挑戰 - 尤其是與新興物聯網(IoT)相關的挑戰。
到2025年,美國的醫療支出預計將達到GDP的20%(驚人的5.5萬億美元)。而且,根據德勤的數據,全球醫療保健物聯網市場預計到2021年將以12.5%的年均復合增長率達到1360億美元。但是,這種增長市場面臨越來越大的威脅。根據美國醫學會雜志的一篇報道,自2010年以來,醫療保健違規行為已大幅增加。醫療保健服務組織(HDO)是增長最快的目標群體,占所追蹤的2,149次違規行為的70%以上。另一項研究發現,HDO去年是美國工業中88%的勒索軟件攻擊的受害者,89%的研究組織都有違規行為。
醫療保健組織如此容易受到破壞這一事實已經成為非常誘人的目標。最重要的是,他們擁有的數據的價值甚至會吸引攻擊者。黑人市場對患者病歷的需求很高,其價格比個人財務信息高20-50倍。黑客還可以使用勒索軟件來保存重要的醫療保健系統并記錄人質。在去年的WannaCry襲擊事件中,這種情況變得非常明顯,該事件擾亂了英國三分之一的國家健康服務組織,并感染了世界各地大量無擔保的互聯醫療設備。
使問題更加復雜的是,黑客只需要妥協最弱的鏈接設備,以便轉向完整的網絡漏洞。
設備制造商和HDO似乎都意識到了這個問題。但是研究表明,這種知識還沒有激發人們希望的行動程度。根據Ponemon Institute 2017年的一項研究,67%的設備制造商和56%的HDO認為可能會攻擊他們的一個或多個醫療設備。但是,只有17%的制造商和15%的HDO正在采取重大措施來防止此類攻擊。這些事實引起了警覺。2017年6月,國會特別工作組“關于改善醫療行業網絡安全的報告”給出了以下診斷:“醫療保健網絡安全處于危急狀態。”
了解問題的根源,使醫院更安全
很明顯,醫療保健行業的網絡安全需要得到認真的關注。了解行業疾病的根源是開發治療方法的關鍵第一步。
醫療保健的網絡安全滯后部分是由于其快速但不均衡地采用新技術。即使在最近的2009年,無線心臟起搏器仍然是新奇事物,成為頭條新聞,電子健康記錄(EHRs)的采用率低于10%。不到十年后,96%的醫院采用了EHR,估計有370萬家網絡醫療設備存儲和管理記錄,監控患者健康狀況,管理藥物并提供重癥監護。雖然這些創新對患者和醫療服務提供者來說是一個福音,但在大多數情況下,安全性一直是事后的想法。這種快速的技術采用已經在醫院安全中開辟了明顯的漏洞,并為惡意網絡攻擊者創造了不可抗拒的激勵。
與傳統的物聯網相比,連接的醫療設備更難以保護。這些設備通常運行在原本不打算聯網的陳舊系統上。此外,醫療設備是關鍵任務且通常基于嵌入式操作系統的事實使得軟件修補比其他行業更復雜和麻煩。醫療設備也是為耐用性而設計的,這意味著20年前制造的許多設備或更多設備 - 當Windows 95被認為是最新技術時 - 至今仍在服務中。因此,很久以前在其他行業得到糾正的漏洞仍然威脅著連接的醫療設備; 要么是因為這些設備太過時而且難以打補丁,要么被認為對于病人護理來說太過關鍵,甚至不會冒險嘗試。
過時和遺留系統不是唯一的問題。醫療保健物聯網設備提出了獨特的安全挑戰,需要臨床環境以確保滿足這些要求所需的全面可見性。根據9月份發布的KLAS調查顯示,造成醫療設備安全問題的最重要組織因素 - 參與者達成49%的共識 - 缺乏資產可見性。醫療設備的不透明系統,專有協議和復雜的交互使得它們比企業物聯網設備更難以考慮和保護。為了實現基本的可見性,醫療保健物聯網解決方案必須能夠以極大的粒度(包括制造商協議)識別每個連接的設備,并提供有關風險等級,設備利用率,軟件維護和合規性數據的最新信息。
保護這種獨特類別的設備還需要一組更專業的規則和配置來管理設備行為。專用的醫療保健物聯網解決方案將能夠檢測設備級別的異常情況,并根據臨床工作流程確定威脅的優先級。隨著醫院平均每張床連接醫療設備10-15個并且數量,自動編目,跟蹤和監控庫存的能力至關重要。大多數醫院坦誠地缺乏人員,資源和部門間的協調,以確保持續的安全性。
今天不斷增長的攻擊面,不斷變化的威脅形勢,變幻無常的法規和系統性挑戰需要一種專門的創新方法來保護連接的醫療設備。醫院是網絡安全創新的下一個前沿,因為傳統的物聯網安全本身是不夠的。
