保護(hù)醫(yī)療設(shè)備現(xiàn)在比以往任何時(shí)候都更加重要。由于存儲(chǔ)有大量 PHI 和 e-PHI，黑客越來越多地瞄準(zhǔn)醫(yī)療設(shè)備、醫(yī)院和私人診所。繼續(xù)閱讀以了解 2022 年醫(yī)療設(shè)備面臨的危險(xiǎn)以及您的組織可以采取哪些措施來阻止這些威脅。

哪些醫(yī)療設(shè)備成為目標(biāo)？

呼吸機(jī)、胰島素泵、心臟除顫器、人工心臟起搏器只是救生醫(yī)療設(shè)備的幾個(gè)例子。MRI 和 CT 掃描儀、輸液泵、診所編程器和其他監(jiān)控設(shè)備都必須連接到更廣泛的醫(yī)院網(wǎng)絡(luò)才能正常運(yùn)行并幫助挽救生命。必須保護(hù)安全攝像頭、RFID 閱讀器和其他設(shè)備免受醫(yī)院或醫(yī)療機(jī)構(gòu)的網(wǎng)絡(luò)攻擊和安全漏洞。

Iron Range Cyber?? 的 Tom Rudolph 評(píng)論說，醫(yī)療設(shè)備是當(dāng)今醫(yī)療保健 IT 環(huán)境中的主要漏洞之一。根據(jù)他作為DC 網(wǎng)絡(luò)安全顧問的經(jīng)驗(yàn)，醫(yī)療保健公司最好認(rèn)真對(duì)待這一威脅。

什么是 PHI 和 e-PHI？

根據(jù) HIPAA 雜志，被稱為 PHI 的個(gè)人健康信息被定義為“可能與個(gè)人相關(guān)的任何健康信息，這包括用于提供醫(yī)療保健、醫(yī)療保健支付和醫(yī)療保健運(yùn)營的信息。PHI 存儲(chǔ)以電子方式存儲(chǔ)在硬盤、服務(wù)器、拇指驅(qū)動(dòng)器或其他設(shè)備上的信息稱為 e-PHI。

有針對(duì)性的醫(yī)療器械主要有四類：

FitBits、智能手表、Apple 手表和其他連接的消費(fèi)設(shè)備等消費(fèi)者健康設(shè)備存在泄露風(fēng)險(xiǎn)。這些設(shè)備擁有寶貴的信息寶庫，包括體重、身高、活動(dòng)、心率等 PHI。還有其他必要的設(shè)備，例如便攜式胰島素泵、連續(xù)血糖監(jiān)測儀、起搏器、除顫器和其他類似設(shè)備。糖尿病患者和心臟病患者需要這些設(shè)備才能始終如一地發(fā)揮作用，否則就會(huì)面臨危險(xiǎn)的醫(yī)療后果。HIPPA 監(jiān)管問題、敏感 PHI 的丟失、患者生命面臨的風(fēng)險(xiǎn)以及醫(yī)療機(jī)構(gòu)、組織和物聯(lián)網(wǎng)生態(tài)系統(tǒng)合作伙伴的聲譽(yù)損失只是醫(yī)療設(shè)備泄露風(fēng)險(xiǎn)中的一小部分。

MRI 機(jī)器和 CT 掃描儀等醫(yī)院設(shè)備必須保持運(yùn)行并連接到醫(yī)院網(wǎng)絡(luò)。如果這些設(shè)備出現(xiàn)故障或被黑客入侵，醫(yī)院將失去治療患者的寶貴時(shí)間，并面臨違反 HIPAA 的風(fēng)險(xiǎn)。大多數(shù)醫(yī)療設(shè)備多年來一直存在已知漏洞。最近，對(duì)這些缺陷的攻擊和知識(shí)激增。例如，美國食品和藥物管理局 （FDA） 最近發(fā)現(xiàn)了另一個(gè)醫(yī)療設(shè)備漏洞，這一次涉及常用的輸液泵。

WannaCry 勒索軟件來襲

第一次已知的針對(duì)聯(lián)網(wǎng)醫(yī)療設(shè)備的勒索軟件攻擊發(fā)生在 2017 年 5 月。此時(shí)，國際勒索軟件攻擊 WannaCry 已經(jīng)破壞了多家醫(yī)院的放射設(shè)備。由于第三方供應(yīng)商的腫瘤云服務(wù)遭到黑客攻擊而引發(fā)的軟件故障，在四家醫(yī)療機(jī)構(gòu)接受放射治療的癌癥患者不得不推遲預(yù)約。

這些示例顯示了網(wǎng)絡(luò)攻擊和數(shù)據(jù)泄露如何對(duì)嚴(yán)重依賴聯(lián)網(wǎng)醫(yī)療設(shè)備的醫(yī)療保健行業(yè)產(chǎn)生重大影響。必須保護(hù)在這些鏈接的醫(yī)療設(shè)備中捕獲和保存的 PHI。PHI 通過基于服務(wù)器的系統(tǒng)通過云傳輸，使其非常容易受到黑客攻擊。

對(duì)于在全球擁有數(shù)千名員工和客戶的醫(yī)療器械制造商 （MDM） 而言，滿足這些嚴(yán)格的標(biāo)準(zhǔn)是一個(gè)勇敢的目標(biāo)。PHI 是醫(yī)療保健業(yè)務(wù)的重要組成部分，也是黑客的誘人目標(biāo)。這一現(xiàn)實(shí)反映在已頒布的法律中。因此，MDM 將保護(hù)患者數(shù)據(jù)和遵守所有適用的隱私要求作為重中之重。

醫(yī)療設(shè)備已連接

現(xiàn)代醫(yī)療設(shè)備不是孤立的。在本地和通過 Internet，它們是相互關(guān)聯(lián)的。嵌入式醫(yī)療設(shè)備中的內(nèi)置傳感器可捕獲可通過 Internet 和其他硬件傳輸?shù)臄?shù)據(jù)。醫(yī)療物聯(lián)網(wǎng) （IoMT） 由這些設(shè)備及其數(shù)據(jù)組成，有助于通過 Internet 對(duì)患者進(jìn)行診斷、監(jiān)測和治療。因?yàn)檫@些設(shè)備連接在一個(gè)網(wǎng)絡(luò)上，如果其中一個(gè)被成功入侵，那么該網(wǎng)絡(luò)區(qū)域中的所有其他設(shè)備都可能被入侵。

安全漏洞只會(huì)隨著醫(yī)療設(shè)備變得更加互聯(lián)和相互依賴才能發(fā)揮作用而增加。在整個(gè)組織中維護(hù)患者數(shù)據(jù)安全的持續(xù)義務(wù)需要組織良好的風(fēng)險(xiǎn)管理策略。每個(gè)醫(yī)療保健公司都必須研究和理解其 IT 資產(chǎn)和醫(yī)療設(shè)備的基本要素，以及現(xiàn)有的安全程序，以及如何將它們用作患者數(shù)據(jù)的監(jiān)護(hù)人。

審核編輯：郭婷