互聯(lián)醫(yī)療設(shè)備的監(jiān)管格局正在朝著積極的方向迅速發(fā)展

傳統(tǒng)的醫(yī)療物聯(lián)網(wǎng)設(shè)備可能缺少安全功能，但是圍繞商品組件構(gòu)建的較新設(shè)備可能具有整套不同的漏洞，攻擊者可以更好地理解這些漏洞。

對于使醫(yī)療保健網(wǎng)絡(luò)更容易受到網(wǎng)絡(luò)攻擊的損害，專家們的分歧在于舊的連接的醫(yī)療設(shè)備還是更新的醫(yī)療設(shè)備。

不安全的物聯(lián)網(wǎng)的經(jīng)典敘述集中在將舊設(shè)備集成到網(wǎng)絡(luò)中。 在某些行業(yè)中，這些設(shè)備要比Internet早一些，有時(shí)要花相當(dāng)長的時(shí)間，因此，在保護(hù)其免受遠(yuǎn)程入侵的威脅方面，企業(yè)面臨很多挑戰(zhàn)也就不足為奇了。

即使這些設(shè)備還不是很舊，它們通常也缺少關(guān)鍵功能，尤其是遠(yuǎn)程軟件更新和可配置的密碼保護(hù)，這些功能將幫助IT人員防御現(xiàn)代威脅。

醫(yī)療物聯(lián)網(wǎng)安全初創(chuàng)公司Cylera的首席安全策略師Richard Staynings認(rèn)為，就醫(yī)療領(lǐng)域而言，這可能并非完全正確。他認(rèn)為，近年來醫(yī)療物聯(lián)網(wǎng)設(shè)備的數(shù)量和種類呈爆炸式增長，其中許多小工具至少與該領(lǐng)域真正的傳統(tǒng)設(shè)備一樣不安全。

Staynings說，在某些情況下，較舊的設(shè)備實(shí)際上可能比較新的設(shè)備安全得多。特別是那些基于過時(shí)技術(shù)的產(chǎn)品，例如電可擦可編程只讀存儲(chǔ)器（EEPROM）的舊版本。

他說：“較早的系統(tǒng)是用EEPROM編寫的-您需要一個(gè)EEPROM讀取器才能將它們弄亂?！?“代碼庫不在Internet上供黑客查看，您需要對EEPROM進(jìn)行物理訪問才能重寫它。”

相反，較新的設(shè)備經(jīng)常使用潛在攻擊者更加熟悉的軟件和硬件組件。 “他們在設(shè)計(jì)和構(gòu)造上更普遍-他們使用［消費(fèi)者現(xiàn)成的］操作系統(tǒng)，例如Windows Embedded，無論您信不信由你，該操作系統(tǒng)仍在使用，并且與傳統(tǒng)相比，它們更容易受到攻擊系統(tǒng)”，Staynings說。

當(dāng)前一代醫(yī)療物聯(lián)網(wǎng)硬件的不安全性還可能帶來持續(xù)存在的問題，而不僅僅是緊迫的問題。盡管IT資產(chǎn)得到快速更換，但IoT設(shè)備的更換周期通常更長。 Staynings說：“醫(yī)療器械具有of的半衰期。” “他們只是不會(huì)消失?！?/p>

在Staynings對醫(yī)療物聯(lián)網(wǎng)威脅的描述中，其他專家則鮮為人知，他們認(rèn)為，新設(shè)備要比舊設(shè)備構(gòu)成更大威脅的想法在面對最近使它們更安全的努力時(shí)就不成立了?；肌つ吕瓲査够↘eith Mularski）指導(dǎo)安永咨詢公司的網(wǎng)絡(luò)安全咨詢業(yè)務(wù)，并將Staynings的主張描述為“令人驚訝”，并指出互聯(lián)醫(yī)療設(shè)備的監(jiān)管格局正在朝著積極的方向迅速發(fā)展標(biāo)準(zhǔn)。

“ FDA有一些相當(dāng)嚴(yán)格的指導(dǎo)原則，在設(shè)備投入市場之前，您需要將威脅建模放在一起，因此要研究安全架構(gòu)，向量等，然后除了FDA準(zhǔn)備準(zhǔn)備要求上市前提交文件中的第三方筆測試，” Mularski說。 “使用舊版設(shè)備，這些上市前提交的申請就不那么完整了。”

Mularski確實(shí)承認(rèn)，某些特別易受攻擊的舊設(shè)備通常在設(shè)計(jì)上通常與網(wǎng)絡(luò)更加隔離，部分原因是它們更容易識(shí)別為易受攻擊的資產(chǎn)。例如，Windows 95老式X射線機(jī)很容易被發(fā)現(xiàn)為壞演員的潛在目標(biāo)。

他說：“在大多數(shù)情況下，我認(rèn)為在大多數(shù)醫(yī)院環(huán)境中，他們在認(rèn)識(shí)到自己擁有這些舊設(shè)備以及較脆弱的設(shè)備方面做得很好?！?/p>

這強(qiáng)調(diào)了大多數(shù)專家討論的主題–對給定網(wǎng)絡(luò)上潛在的安全漏洞的簡單認(rèn)識(shí)對于保護(hù)醫(yī)療網(wǎng)絡(luò)至關(guān)重要。 Greg Murphy是Ordr的首席執(zhí)行官，Ordr是一家總部位于圣塔克拉拉的網(wǎng)絡(luò)可見性和安全性初創(chuàng)公司。他說，穆拉爾斯基和斯廷寧斯都表示贊成。

他說：“將遺留設(shè)備問題降到最低的任何人都必須走醫(yī)院的生物醫(yī)學(xué)工程部門的步伐，”。 “ 但是，另一方面，連接到網(wǎng)絡(luò)的新設(shè)備本身也具有巨大的漏洞。許多制造商本身都不知道他們的設(shè)備存在哪些漏洞?！?/p>

Murphy說，解決問題的唯一真正方法是在網(wǎng)絡(luò)級(jí)別上-試圖在設(shè)備級(jí)別上確保所有內(nèi)容的安全在許多情況下幾乎是不可能的，甚至無法準(zhǔn)確了解連接到網(wǎng)絡(luò)的每個(gè)設(shè)備的情況。通常需要使用自動(dòng)化解決方案。

他說：“這不再是人類規(guī)模的問題?！?/p>

Mularski和Staynings都同意這一點(diǎn)。無論特定網(wǎng)絡(luò)上的哪些設(shè)備最容易受到攻擊，都應(yīng)記住，網(wǎng)絡(luò)犯罪分子通常不會(huì)特別關(guān)注其危害，只要他們能夠獲得訪問權(quán)限即可。

Mularski說：“可能有攻擊者橫穿這些設(shè)備，進(jìn)行掃描并偶然發(fā)現(xiàn)［漏洞］，但我們確實(shí)還沒有看到針對醫(yī)療設(shè)備的特定目標(biāo)。” “確保具有醫(yī)療設(shè)備的公司枚舉其網(wǎng)絡(luò)，跟蹤其設(shè)備，這一點(diǎn)很重要。”
責(zé)任編輯：tzh