傳統(tǒng)的醫(yī)療物聯(lián)網(wǎng)設(shè)備可能缺少安全功能��,但是圍繞商品組件構(gòu)建的較新設(shè)備可能具有整套不同的漏洞���,攻擊者可以更好地理解這些漏洞。
對(duì)于使醫(yī)療保健網(wǎng)絡(luò)更容易受到網(wǎng)絡(luò)攻擊的損害���,專家們的分歧在于舊的連接的醫(yī)療設(shè)備還是更新的醫(yī)療設(shè)備�。
不安全的物聯(lián)網(wǎng)的經(jīng)典敘述集中在將舊設(shè)備集成到網(wǎng)絡(luò)中�����。 在某些行業(yè)中���,這些設(shè)備要比Internet早一些,有時(shí)要花相當(dāng)長(zhǎng)的時(shí)間���,因此��,在保護(hù)其免受遠(yuǎn)程入侵的威脅方面���,企業(yè)面臨很多挑戰(zhàn)也就不足為奇了����。
即使這些設(shè)備還不是很舊�����,它們通常也缺少關(guān)鍵功能�����,尤其是遠(yuǎn)程軟件更新和可配置的密碼保護(hù)��,這些功能將幫助IT人員防御現(xiàn)代威脅����。
醫(yī)療物聯(lián)網(wǎng)安全初創(chuàng)公司Cylera的首席安全策略師Richard Staynings認(rèn)為,就醫(yī)療領(lǐng)域而言,這可能并非完全正確����。他認(rèn)為,近年來(lái)醫(yī)療物聯(lián)網(wǎng)設(shè)備的數(shù)量和種類呈爆炸式增長(zhǎng)�����,其中許多小工具至少與該領(lǐng)域真正的傳統(tǒng)設(shè)備一樣不安全�。
Staynings說(shuō)�,在某些情況下,較舊的設(shè)備實(shí)際上可能比較新的設(shè)備安全得多��。特別是那些基于過(guò)時(shí)技術(shù)的產(chǎn)品��,例如電可擦可編程只讀存儲(chǔ)器(EEPROM)的舊版本��。
他說(shuō):"較早的系統(tǒng)是用EEPROM編寫的-您需要一個(gè)EEPROM讀取器才能將它們弄亂���。" "代碼庫(kù)不在Internet上供黑客查看���,您需要對(duì)EEPROM進(jìn)行物理訪問(wèn)才能重寫它。"
相反�,較新的設(shè)備經(jīng)常使用潛在攻擊者更加熟悉的軟件和硬件組件。 "他們?cè)谠O(shè)計(jì)和構(gòu)造上更普遍-他們使用[消費(fèi)者現(xiàn)成的]操作系統(tǒng),例如Windows Embedded����,無(wú)論您信不信由你,該操作系統(tǒng)仍在使用���,并且與傳統(tǒng)相比�����,它們更容易受到攻擊系統(tǒng)"���,Staynings說(shuō)�。
當(dāng)前一代醫(yī)療物聯(lián)網(wǎng)硬件的不安全性還可能帶來(lái)持續(xù)存在的問(wèn)題���,而不僅僅是緊迫的問(wèn)題���。盡管IT資產(chǎn)得到快速更換,但I(xiàn)oT設(shè)備的更換周期通常更長(zhǎng)�。 Staynings說(shuō):"醫(yī)療器械具有of的半衰期。" "他們只是不會(huì)消失��。"
在Staynings對(duì)醫(yī)療物聯(lián)網(wǎng)威脅的描述中,其他專家則鮮為人知�,他們認(rèn)為,新設(shè)備要比舊設(shè)備構(gòu)成更大威脅的想法在面對(duì)最近使它們更安全的努力時(shí)就不成立了���。基思·穆拉爾斯基(Keith Mularski)指導(dǎo)安永咨詢公司的網(wǎng)絡(luò)安全咨詢業(yè)務(wù)�,并將Staynings的主張描述為"令人驚訝"��,并指出互聯(lián)醫(yī)療設(shè)備的監(jiān)管格局正在朝著積極的方向迅速發(fā)展標(biāo)準(zhǔn)���。
" FDA有一些相當(dāng)嚴(yán)格的指導(dǎo)原則�����,在設(shè)備投入市場(chǎng)之前����,您需要將威脅建模放在一起�����,因此要研究安全架構(gòu),向量等�,然后除了FDA準(zhǔn)備準(zhǔn)備要求上市前提交文件中的第三方筆測(cè)試," Mularski說(shuō)��。 "使用舊版設(shè)備����,這些上市前提交的申請(qǐng)就不那么完整了。"
Mularski確實(shí)承認(rèn)���,某些特別易受攻擊的舊設(shè)備通常在設(shè)計(jì)上通常與網(wǎng)絡(luò)更加隔離�,部分原因是它們更容易識(shí)別為易受攻擊的資產(chǎn)。例如���,Windows 95老式X射線機(jī)很容易被發(fā)現(xiàn)為壞演員的潛在目標(biāo)���。
他說(shuō):"在大多數(shù)情況下,我認(rèn)為在大多數(shù)醫(yī)院環(huán)境中����,他們?cè)谡J(rèn)識(shí)到自己擁有這些舊設(shè)備以及較脆弱的設(shè)備方面做得很好��。"
這強(qiáng)調(diào)了大多數(shù)專家討論的主題–對(duì)給定網(wǎng)絡(luò)上潛在的安全漏洞的簡(jiǎn)單認(rèn)識(shí)對(duì)于保護(hù)醫(yī)療網(wǎng)絡(luò)至關(guān)重要���。 Greg Murphy是Ordr的首席執(zhí)行官,Ordr是一家總部位于圣塔克拉拉的網(wǎng)絡(luò)可見(jiàn)性和安全性初創(chuàng)公司���。他說(shuō)�,穆拉爾斯基和斯廷寧斯都表示贊成�。
他說(shuō):"將遺留設(shè)備問(wèn)題降到最低的任何人都必須走醫(yī)院的生物醫(yī)學(xué)工程部門的步伐,"��。 " 但是�����,另一方面����,連接到網(wǎng)絡(luò)的新設(shè)備本身也具有巨大的漏洞��。許多制造商本身都不知道他們的設(shè)備存在哪些漏洞��。"
Murphy說(shuō),解決問(wèn)題的唯一真正方法是在網(wǎng)絡(luò)級(jí)別上-試圖在設(shè)備級(jí)別上確保所有內(nèi)容的安全在許多情況下幾乎是不可能的���,甚至無(wú)法準(zhǔn)確了解連接到網(wǎng)絡(luò)的每個(gè)設(shè)備的情況��。通常需要使用自動(dòng)化解決方案���。
他說(shuō):"這不再是人類規(guī)模的問(wèn)題�����。"
Mularski和Staynings都同意這一點(diǎn)���。無(wú)論特定網(wǎng)絡(luò)上的哪些設(shè)備最容易受到攻擊����,都應(yīng)記住�����,網(wǎng)絡(luò)犯罪分子通常不會(huì)特別關(guān)注其危害�����,只要他們能夠獲得訪問(wèn)權(quán)限即可��。
Mularski說(shuō):"可能有攻擊者橫穿這些設(shè)備���,進(jìn)行掃描并偶然發(fā)現(xiàn)[漏洞]�����,但我們確實(shí)還沒(méi)有看到針對(duì)醫(yī)療設(shè)備的特定目標(biāo)���。" "確保具有醫(yī)療設(shè)備的公司枚舉其網(wǎng)絡(luò)�����,跟蹤其設(shè)備,這一點(diǎn)很重要����。"
