盡管網(wǎng)絡(luò)攻擊在針對性很強(qiáng)的醫(yī)療保健領(lǐng)域持續(xù)增長���,但物聯(lián)網(wǎng)醫(yī)療設(shè)備仍然在不受支持的操作系統(tǒng)上運(yùn)行且未打補(bǔ)丁�����。
醫(yī)療物聯(lián)網(wǎng)安全之
護(hù)士呼叫系統(tǒng)
以護(hù)士呼叫系統(tǒng)為例�����,該系統(tǒng)允許患者在需要幫助時與護(hù)士溝通��。安全專家 Armis 監(jiān)控全球超過 30 億資產(chǎn)����,報告稱 48% 的護(hù)士呼叫系統(tǒng)存在未修補(bǔ)的常見漏洞和暴露 (CVE)。略多于三分之一 (39%) 的 CVE 嚴(yán)重程度非常嚴(yán)重����,Armis 通過分析其平臺上的互聯(lián)醫(yī)療和物聯(lián)網(wǎng)設(shè)備獲得了這一見解。
Armis 表示����,這種程度的漏洞使得護(hù)士呼叫系統(tǒng)成為“風(fēng)險最高”的醫(yī)療物聯(lián)網(wǎng) (IoT) 設(shè)備。在 Armis 分析的所有互聯(lián)醫(yī)療和物聯(lián)網(wǎng)設(shè)備中����,高風(fēng)險系統(tǒng)在未修補(bǔ)的嚴(yán)重嚴(yán)重 CVE 中所占比例最大。
用于以機(jī)械或電力方式向患者提供液體的輸液泵是第二大風(fēng)險的物聯(lián)網(wǎng)醫(yī)療設(shè)備���,其中近三分之一 (30%) 的 CVE 未打補(bǔ)丁���。此外,其中 27% 的設(shè)備帶有未修補(bǔ)的嚴(yán)重嚴(yán)重性 CVE�。
就藥物分配系統(tǒng)而言�����,86% 的系統(tǒng)存在未修補(bǔ)的 CVE�,其中 4% 的嚴(yán)重程度非常嚴(yán)重�����。其中不到三分之一 (32%) 的設(shè)備運(yùn)行不再受支持的 Microsoft Windows 版本�。Armis 表示,總共有 19% 的醫(yī)療物聯(lián)網(wǎng)設(shè)備運(yùn)行在不受支持的操作系統(tǒng)版本上���。
Armis 在臨床環(huán)境中監(jiān)控的 IP 攝像機(jī)中,超過一半 (59%) 具有未修補(bǔ)的 CVE��,其中 56% 的嚴(yán)重程度非常嚴(yán)重����。
Armis 醫(yī)療保健首席解決方案架構(gòu)師 Mohammad Waqas 表示:“技術(shù)進(jìn)步對于提高醫(yī)療服務(wù)的速度和質(zhì)量至關(guān)重要�,因?yàn)樵撔袠I(yè)面臨醫(yī)療服務(wù)提供者短缺的挑戰(zhàn)����,但隨著醫(yī)療服務(wù)互聯(lián)程度的不斷提高,攻擊面也隨之?dāng)U大����。” �����。
“通過全面的可見性和持續(xù)的情境監(jiān)控來保護(hù)各種類型的連接設(shè)備�、醫(yī)療、物聯(lián)網(wǎng)�����,甚至是建筑管理系統(tǒng),是確?���;颊甙踩年P(guān)鍵要素?�!?/span>
醫(yī)療保健行業(yè)
越來越依賴物聯(lián)網(wǎng)設(shè)備
隨著醫(yī)療保健行業(yè)繼續(xù)面臨新的網(wǎng)絡(luò)安全風(fēng)險���,未受保護(hù)的設(shè)備普遍存在����。Armis 援引其情報平臺的 數(shù)據(jù)稱��,2023年 1 月至 3 月����,該行業(yè)的威脅活動較上一季度增長了 31% �����。
其他證據(jù)表明醫(yī)療保健行業(yè)越來越依賴物聯(lián)網(wǎng)設(shè)備��。Juniper Research 2022 年的一項(xiàng) 研究估計(jì),到 2026 年���,全球智能醫(yī)院將部署 740 萬臺醫(yī)療物聯(lián)網(wǎng)設(shè)備��,每家醫(yī)院平均運(yùn)行超過 3,850 臺聯(lián)網(wǎng)設(shè)備��。
預(yù)計(jì)到 2026 年�����,中國將處于領(lǐng)先地位����,其智能醫(yī)院將占物聯(lián)網(wǎng)設(shè)備的 41%��,其次是美國�����,占 21%��。
新加坡擴(kuò)大
網(wǎng)絡(luò)安全標(biāo)簽計(jì)劃
由于醫(yī)療保健是勒索軟件攻擊的首要目標(biāo)之一 �����,新加坡等國家一直致力于增強(qiáng)其關(guān)鍵信息基礎(chǔ)設(shè)施行業(yè)的網(wǎng)絡(luò)彈性。
去年十月�,新加坡擴(kuò)大了其網(wǎng)絡(luò)安全標(biāo)簽計(jì)劃,將醫(yī)療設(shè)備納入其中�,特別是那些處理敏感數(shù)據(jù)并可以與其他系統(tǒng)通信的設(shè)備。
該計(jì)劃包括四個評級級別���,每個級別都表示產(chǎn)品測試和評估的附加級別��。例如�,一級標(biāo)簽表明醫(yī)療器械已達(dá)到基線監(jiān)管要求�,目前與健康科學(xué)局批準(zhǔn)的醫(yī)療器械注冊要求保持一致。
新加坡網(wǎng)絡(luò)安全局 (CSA) 還警告說��,關(guān)鍵的物聯(lián)網(wǎng)設(shè)備是勒索軟件攻擊的潛在目標(biāo)���,網(wǎng)絡(luò)犯罪分子認(rèn)識到這些設(shè)備的感染可能會導(dǎo)致重大的停機(jī)成本和損害��。CSA 表示:“如果醫(yī)療保健等關(guān)鍵�、時間敏感行業(yè)的組織 受到勒索軟件感染��,可能會造成嚴(yán)重的�、危及生命的后果?����!?/strong>
