醫療裝置是安全重災區,搞不好身體會被黑客控制
編者按:植入身體內的醫療裝置,有很多具有聯接其他裝置的功能。這些裝置對病人的身體有著至關重要的影響。但是,它們真的安全嗎?如果它們被黑客攻擊了,我們該怎麼辦?
黑客侵入醫療裝置造就了今天的駭人頭條。Dick Cheney要求更換他的心臟起搏器,為的是更好地避免黑客侵入。Johnson&Johnson(強生)在去年秋天提醒他們的顧客,他們的胰島素泵存在著一個安全隱患。St.Jude(聖裘德)已經在處理公司的除顫器、起搏器和其他電子醫療產品的漏洞上花了數月的時間。你可能會想,現在這些電子醫療設施的製造廠商已經開始學到了安全改革(的重要性)。但是,專家們警告說,他們並沒有。
由於電子式植入醫療裝置存在著潛在的安全隱患,黑客們正在不斷增加對這些裝置的攻擊。為了保衛這些醫療器械(的安全性),需要在兩個方面都採取緊急措施。我們需要保護病人,以使得黑客們不能入侵一個胰島素泵來注射致死的劑量。這些脆弱的醫療裝置還連線到大量的感測器和監視器,使其成為更大的醫院網路的潛在切入點。這反過來可能意味著偷竊敏感的醫療記錄,或一個毀滅性的勒索軟體攻擊,威脅著被攻擊的人質,直到管理人員支付贖金。
威脅研究公司Trend Micro的首席網路安全官Ed Cabrera說:“整個勒索的世界都已經改變了。你確實可能陷入到這種生死狀況——要命(交贖金)或死亡(不交贖金)。”
健康行業和網際網路
對植入式醫療裝置的攻擊是如此的值得警惕,因為這些裝置太隱私了。 你肯定不會想要你的身體或你的皮膚上的東西被一個犯罪分子遙控。 不幸的是,許多型別的這些裝置易受攻擊。 例如,在12月對新一代植入式心臟除顫器的調查中,英國和比利時的研究人員發現,目前市場上10個植入型心律除顫器的專有通訊協議中存在安全缺陷。
具有無線連線、遠端監控、近場通訊技術這些功能的醫療裝置,允許衛生專業人員調整和微改動,無需手術開創面調整。 這本是一件很好的事情, 但這些便利也創造了潛在的接觸點。 這些裝置上的專有程式碼,意味著對於製造商之外的其他任何人,需要精心地逆向程式設計軟體(如研究人員所做的植入式心臟除顫器)才能評估裝置的安全性,更不要說發現缺陷。
鑑於互聯醫療裝置的普及,這些裝置暴露的機會增多了。 雖然植入式裝置引起了最大的關注,但更廣泛的醫療保健小工具,在醫療行業中造成了嚴重的曝光和潛在的危險。 根據物聯網安全公司Zingbox最近的研究,美國醫院目前平均每床連線10到15臺具有這些功能的醫療裝置。而一個大型醫院系統,如邁阿密的傑克遜紀念醫院,可以有超過5000張床。
“我們傾向於認為醫療保健行業是非常保守的,要想享受醫療保險是非常慢的,主要因為法規和責任問題。但是由於使用物聯網裝置的巨大好處,醫院正在部署越來越多的這些裝置。” Zingbox的技術長May Wang這樣說道, “在過去三年中,醫療行業被黑客入侵的次數,甚至超過了金融業。 越來越多的黑客攻擊開始針對醫療裝置。”
這種情況產生的部分原因,是因為有這麼多容易攻擊的目標。 根據最新Trend Micro的調查,僅在美國就有超過36,000個醫療保健相關裝置,很容易在Shodan上發現——這是一種用於搜尋已連線裝置的搜尋引擎。 當然,並不是所有的這些目標都是易被攻破的,但由於這些裝置的公開暴露,攻擊者更有可能針對他們。 研究還表明,暴露的醫療保健裝置系統中,很多的部分仍然使用過時的作業系統,這可能會使其易受攻擊。 例如,在調查中,超過3%的已暴露裝置仍然使用Windows XP,這是一個已停用的Microsoft作業系統,不會再接收安全更新。 “目前的挑戰,是識別所有易受攻擊的裝置,並制定一個保護它們的計劃。”Cabrera說。
一種名為MedJack的攻擊方式
與臺式電腦和伺服器不同,物聯網裝置不能執行防毒軟體和其他的端點資料安全檢查。它們的多樣性、和一開始就對其安全性的漠視,往往使他們無法妥協。 在一個目前使用的、被稱為MedJack的攻擊方法中,攻擊者將惡意軟體注入醫療裝置,然後通過網路擴散。 在這些型別的攻擊中發現的醫療資料可用於稅務欺詐或身份盜竊,甚至可用於跟蹤藥物處方,使黑客能夠線上訂購藥物,然後在暗網(Dark Web)上銷售。
這些攻擊也在不斷髮展。 例如,根據網路透明和安全公司TrapX的調查,MedJack在最近幾個月採用了新的、更復雜的方法。 該公司使用模擬技術在醫院網路上植入假的醫療裝置,冒充如CT掃描器類的裝置。 作為黑客探測和選擇的目標,TrapX觀察到MedJack攻擊者故意使用舊的惡意軟體來瞄準過時的作業系統,如正在執行Windows XP和Windows Server 2003的醫療裝置。通過攻擊傳統技術,黑客可以避免被檢測出來。因為在網路中,執行這些作業系統的其他部分不會標記出來這些活動。 而較新的服務已經修補舊的惡意軟體,並自動將其分類為次要威脅。
TrapX營銷副總裁Anthony James說:“每次我們進入醫療機構展示我們的產品時,我們不幸地發現他們也是MedJack攻擊的受害者。” “大多數的機構沒有意識到這個問題,因為沒有人監測他們的醫療保健裝置是否存在攻擊者。 沒有人在考慮CT掃描器或MRI機器(是假的),也沒人注意到啟動板上受到的更廣泛攻擊。”
一旦黑客有了立足之地,他們可以利用他們的位置,對於多種不同型別的網路展開攻擊。越來越受歡迎的選擇是對大型醫院進行勒索軟體攻擊,讓黑客可以一次性獲得快速和慷慨的支付。像去年夏天得克薩斯州彩虹兒童診所受到攻擊的一樣,許多這樣的攻擊,採取加密數字記錄、並將其作為綁架籌碼的傳統途徑。但是,新一代的勒索軟體攻擊採取了不同的方法,破壞對數字系統的訪問入口,然後要求贖金,以便他們可以正常執行。在去年的臭名昭著的好萊塢長老會醫療中心勒索軟體攻擊中,醫院的計算機離線了一個星期。同一時間對德國醫院的勒索軟體攻擊,禁用了醫院內部的電子郵件,讓醫院員工只能被迫使用紙和傳真機。保持醫院資料或系統贖金的有效性在於重新獲得控制的緊迫性。醫院面臨失去不僅是金錢,更是關鍵的資源,以保持患者能夠活著。
提高安全性的方案
與其他物聯網裝置一樣,有兩個必要的元件來提高安全性。 首先,諸如監視表和監視器這種的醫療裝置,已經上市多年的這些裝置需要防禦,如安全掃描、以及用於下載補丁和更新的簡單機制。 然而,展望未來,還需要鼓勵未來的幾代裝置從一開始就提供更強大的安全保護。 太多的製造商在早期規劃階段忽略安全性,或者僅僅依賴可能本身就易受攻擊的第三方元件。
幸運的是,現在已經有了一些進展。 食品和藥物管理局(FDA)在大約2013年就開始更嚴格地評估裝置網路安全性,以此作為產品批准的標準,並且這個標準在不斷地更新。 FDA的標準主要基於國家標準與技術研究所(NIST)於2014年對關鍵基礎設施網路安全框架的指導。 NIST目前正在修訂版本,併發布了一個單獨的標誌性檔案,詳細介紹了開發安全、可靠數字系統的基本方法。 這不是可強制執行的,但它是一個開始。
NIST的作者之一Ron Ross說:“如果人們選擇採用這一指導檔案,就可以對所有系統的可靠性產生巨大影響,從智慧手機,到醫療裝置,到工業控制系統,甚至是發電廠。它絕對可以幫助確保醫療裝置更可靠,因為文件中的指導,可以幫助消除可能被意外、或有目的地被利用的漏洞。”
這僅僅是一個美好的願景
無黨派關鍵基礎設施技術研究所的高階研究員,James Scott說:“FDA向醫療器械技術社群提供的建議基本上只不過是一個小提醒。 事實上,這個行業需要做出些真正的努力。”
FDA確實有一些可行的權威理念。FDA的“裝置和放射健康中心”的科學和戰略合作伙伴主任Suzanne Schwartz說,如果醫療裝置不符合該機構的網路安全標準,該機構已經推遲甚至阻止了它們上市。她補充說,FDA已經看到了基礎網路安全保護的改進,這些改進正在應用於審查新產品。但由於裝置可能需要多年的開發,而FDA在只有過去幾年裡才開始專注於網路安全問題,該機構知道可能需要一些時間才能看到結果。
“安全不是一個可選項,”Schwartz說, “製造商應當選擇一個替代方法(注重安全性),而他們有能力這樣做。但‘保證安全’這一想法對他們來說只是一個可選的考慮。這樣是不對的。”
即使已經實施了這些措施,但確保現有裝置的安全並保護新裝置是一個漸進的過程。 同時,醫療保健行業作為一個整體還暴露在威脅之下,連累著無辜的患者。
本文轉自d1net(轉載)
相關文章
- 醫療裝置製造商如何在軟體供應鏈中提高網路安全
- 醫療裝置管理系統-智慧裝置管理系統平臺
- 騰訊安全:新型挖礦木馬“快Go礦工”猛攻企業裝置 IT行業成重災區Go行業
- 為什麼遊戲會是DDoS攻擊的重災區呢?遊戲
- 原型裝置使用使用者的身體來防止可穿戴裝置和植入物遭黑客攻擊原型黑客
- Wearable2016可穿戴醫療裝置及技術峰會曁展示會在上海閉幕
- 能迪科技醫院空調自控系統案例|行業領先的醫療智慧控制裝置與解決方案行業
- 區塊鏈讓醫療資料儲存變得安全區塊鏈
- 美創科技受邀為阿勒泰地區醫療衛生機構開展醫療資料安全培訓
- 政策扶持32種醫療裝置加速進首臺套目錄
- ICU會是醫療AI走出邊緣的切入點嗎?AI
- 超 10 億張患者醫學影象被洩漏,但始終沒引起醫療機構重視
- 醫療刺激裝置如何使用外部儲存器來支援高階功能
- 華米科技的AI“芯”與醫療可穿戴裝置的未來AI
- Cynerio:醫院中一半的聯網裝置容易受到黑客攻擊黑客
- 醫療資訊化建設實踐丨零信任夯實醫療機構網路安全保障體系
- 易觀:2022中國可穿戴醫療裝置發展洞察(附下載)
- 醫療資訊化再加速,電子病歷、區域醫療、醫保支付成熱點
- 亞馬遜修復智慧家居13個漏洞:防止黑客完全控制裝置亞馬遜黑客
- 製造業成網路安全重災區 如何防範成難題
- 聚焦醫療電子票據改革,護航醫療行業票據業務安全行業
- EHR供應商披露安全問題 警示醫療系統軟體安全風險
- 醫療廢水處理裝置遠端監控物聯網管理系統
- KVM切換裝置搭建智慧醫療業務系統 提升醫院智慧化運營管理水平
- 體重控制
- 為什麼說遊戲行業是DDOS的攻擊重災區?遊戲行業
- 報告顯示:醫院一半以上聯網裝置易遭駭客攻擊,聚銘攜醫療安全賦能方案重拳出擊
- 乾元通多卡聚合裝置助力構建“智慧醫療”精準防控疫情
- 10.14 | “區塊鏈+智慧醫療”應用與未來(線上)研討會區塊鏈
- 醫療資訊化建設實踐丨一體化安全能力建設,助力醫院安全能力提升
- 騰訊安全《2020年DDoS威脅報告》:海外攻擊大幅增長,遊戲行業是重災區遊戲行業
- 智慧醫療健康峰會議程終曝光
- 共建“醫療合規科技實驗室”,美創科技實力護航醫療資料安全
- 醫療行業防禦勒索病毒的三原則 ——美創醫療資料安全11行業
- 什麼是整體裝置效率(OEE)?
- 醫療資料安全實力派 | 美創科技品牌案例入選《2022年醫療行業網路安全報告》行業
- 區域醫療移動醫療影像解決方案1-基於HTML5的PACSHTML
- 中西醫診療與軟體測試
- TUV南德釋出新版白皮書:人工智慧在醫療裝置中的應用人工智慧