保護醫療裝置資料安全醫院也需出把力
隨著聯網醫療裝置愈加普及,醫療服務模式得以創新,可以實現遠端監測患者,但同時也帶來了一些安全隱患:網路犯罪分子正在通過惡意軟體,突破醫院的網路系統。
2016年,安全研究機構MedSec聯手投資研究機構Muddy Waters Capital公開披露聖猶達醫療公司(St. Jude Medical) 心臟起搏器存在安全漏洞,容易被網路犯罪分子進行攻擊。隨後美國食品和藥物管理局(FDA)對其進行調查,併發布了一條安全警告:聖猶達醫療公司Merlin@home傳輸系統使用的射頻加密技術存在安全漏洞,未經授權的使用者可以通過這一漏洞訪問患者植入的心臟裝置。
隨後,聖猶達醫療公司釋出了一項修復補丁,以期降低這個所謂的“極低”的黑客風險。此外,該公司宣佈正在建立一個醫療顧問委員會(Medical Advisory Board),專注於聯網醫療器械的網路安全問題。為了引起重視,FDA將網路安全評為《2017年監管科學優先事項》中的十大事項之一。
風險的識別
“網路安全最大的威脅在於黑客的入侵,使患者的生命受到了威脅,”位於舊金山的網路安全公司Arxan首席營銷官曼迪普·凱拉(Mandeep Khera)說,“雖然現在還沒有體現出來,但是隨著網際網路醫療裝置普及,這一問題遲早會發生。”他還指出,黑客入侵系統後經常會潛伏一段時間,再尋找合適的時機進行攻擊。
醫院網路系統中的惡意入侵也會將胰島素泵及其他聯網器械置於危險境地。
許多醫療裝置連線到特殊保留系統,可將遙測和檢查結果發回至中央伺服器。如果該系統被勒索軟體攻擊,這些資料將立即凍結,醫生則無法進行臨床決策。溫哥華的Absolute Software公司全球安全戰略官理查德·亨德森(Richard Henderson)說:“如果一家醫院系統陳舊,他們通常更願意支付贖金,因為這比更換保留系統便宜得多,也比處理事件的費用便宜。事件處理費用包括替換所有資料的費用,而且還要建立在資料可以備份的基礎上。”
因為醫療裝置直接有患者參與其中,當它出現故障時,醫院將面臨一系列的網路安全問題。亨德森說:“為了降低風險,IT部門需要密切注意這些裝置收集的資料,並確保資料傳輸正確。”
“另一個風險是當連線的醫療裝置應用第三方圖書館和其他開源軟體時,就可能出現易被黑客攻擊的漏洞。如果發生這種情況,裝置可能面臨著拒絕服務(denial-of-service,DDoS)攻擊的風險。” 像去年名為“Mirai(日語‘未來’的意思)”的殭屍網路病毒軟體,導致上百萬使用者的系統遭受感染和破壞。同時由於物聯網醫療裝置可能無法正常工作,這也構成了一定的危險。
評估製造商
“選擇怎樣的解決方案,是醫療機構需要與其合作的製造商協商的問題之一。”亨德森說。製造商應有能力制定修補軟體,快速修補漏洞。此外,醫療裝置應該具有正確的身份驗證,以便修復時可以進行跟蹤和訪問。
加州Antelope Valley Hospital臨時首席資訊保安官馬克·卡德里奇(Mark Kadrich)說:“還應確保製造商執行相關軟體保證。很多公司會進行一些功能測試,稱之為質量保證,但軟體保證遠勝於此,它通過軟體的開發、報告錯誤,解決缺陷以及實際的安全測試來分析和跟蹤相應的功能請求。軟體開發時,進行軟體分析是為了發現軟體的衝突、編碼不當、架構不佳等問題。”
FDA已經發布了上市前要提交管理器械網路安全的指導檔案草案(Design Considerations and Premarket Submission Recommendations for Interoperable Medical Devices)和上市後醫療器械網路安全的管理指南草案(Postmarket Management of Cybersecurity in Medical Devices)。 凱拉表示:“FDA非常重視黑客入侵醫療裝置所帶來的威脅,任何不符合其要求的產品不予批准。這迫使製造商竭盡全力處理安全問題。下一代產品比如聯網的胰島素泵和起搏器等,釋出時一定要考慮安全問題。”此外,從製造商到供應商的所有工作人員都需要進行安全培訓,而凱拉認為很多公司沒有花費足夠的時間或金錢進培訓。
凱拉說:“公司應該盡其所能提高安全保障,使黑客無法入侵。當軟體的安全性足夠強大,一切的工作都能正確進行,毋須過度關注這些的規章制度,也會符合FDA的要求。”
分離醫院網路
對於供應商而言,面臨的挑戰是能否為患者提供最先進和有效的裝置,並確保這些裝置足夠安全,可以保護使用者的隱私資料。
亨德森說:“醫院應該考慮從物理上或邏輯上將網路系統進行分割,使這些醫療器械繫統與醫院內的其他系統分離開來。”如果醫院的網路系統受到入侵,可以保證其他系統不受影響。同時,還應限制醫院外訪問醫院的內部系統。雖然這可能對修復漏洞時帶來一定的困難,但也會使黑客更難入侵網路。
卡德里奇說:“網路安全的一個關鍵因素是精心設計的架構及分割槽。”如果把這比作一個體育場,有座位和臺階的劃分,便於金屬探測器進行檢查。雖然分割槽不會消除風險,但是便於管理。
亨德森說:“這也有助於新的聯網裝置的規劃和部署。醫院應該關注以下幾個問題:包括防火牆、病毒防護和資料加密,醫療網路有哪些常見的安全控制措施?這些措施可以應用於醫療器械嗎?此外,聯網裝置的採購決定應有IT部門參與。經常會出現這種情況:IT部門由於沒有參與聯網裝置的採購,而對裝置缺乏瞭解。”
卡德里奇提出另一個建議:設計一個“專用”網路。他說:“通過制定一系列規則和指南,有助於我們更好地接受新技術,並可以理解新技術常與風險並存。”
本文轉自d1net(轉載)
相關文章
- 共建“醫療合規科技實驗室”,美創科技實力護航醫療資料安全
- 醫療資料安全防護,這家三甲醫院的做法值得學習
- 智慧醫療BI助你釋放醫療大資料潛力大資料
- FDA釋出聯網醫療裝置製造商安全指南草案
- 大資料醫療時代的人工智慧與隱私保護大資料人工智慧
- 助力智慧醫療,杉巖資料為醫療資訊化建設護航加速
- 聚焦醫療電子票據改革,護航醫療行業票據業務安全行業
- 復旦大學附屬中山醫院錢琨:健康醫療大資料時代下的智慧醫院建設大資料
- 醫學影像大資料與智慧醫療大資料
- KVM切換裝置搭建智慧醫療業務系統 提升醫院智慧化運營管理水平
- 報告顯示:醫院一半以上聯網裝置易遭駭客攻擊,聚銘攜醫療安全賦能方案重拳出擊
- 醫療資料安全實力派 | 美創科技品牌案例入選《2022年醫療行業網路安全報告》行業
- 從落地實踐看三甲醫院資料安全進階防護——南陽醫專一附院案例
- 從智慧護理到診後疾病管理,背靠醫院的網際網路醫療更具生命力| 愛分析洞見
- 醫療行業防禦勒索病毒的三原則 ——美創醫療資料安全11行業
- 醫療裝置管理系統-智慧裝置管理系統平臺
- 構築數字底座,同濟醫院提速智慧醫療
- 宣武醫院:讓物聯網為智慧醫療添翼
- 醫療大資料APP開發的發展潛力大資料APP
- “VR+醫療”更好的創造“智慧醫療”醫療模式VR模式
- 智慧醫療+精準醫療打造全新的醫療健康時代
- 智慧醫療擔起協調醫療資源重任
- 美創科技受邀為阿勒泰地區醫療衛生機構開展醫療資料安全培訓
- 醫療資料的概念框架 - PICU框架
- 醫療裝置是安全重災區,搞不好身體會被黑客控制黑客
- 能迪科技醫院空調自控系統案例|行業領先的醫療智慧控制裝置與解決方案行業
- 區塊鏈讓醫療資料儲存變得安全區塊鏈
- 智慧醫療正逐步解決醫療資源短缺困擾
- 凱度:智慧醫療裝置中美使用差別顯著
- 護士上門醫療服務合法化,輕鬆體驗家庭智慧醫療!
- 醫療資訊化建設實踐丨一體化安全能力建設,助力醫院安全能力提升
- 智慧醫療新時代能解決2030年的醫護荒?
- 醫療大資料Topic推薦-AMiner大資料
- 達夢資料與塞力醫療簽署戰略合作協議 共同打造醫院SPD智慧管理“航母級”信創標杆協議
- 區塊鏈成為改善醫療資料安全的良藥區塊鏈
- 蘋果ResearchKit醫學軟體釋出:改善醫療發展蘋果
- 可穿戴裝置進軍醫療行業:很好很實用行業
- 醫療裝置製造商如何在軟體供應鏈中提高網路安全