本文是其中的一部分TechXchange:网络安全
在过去的几年里,医院和医疗设施一直是黑客的攻击目标,他们利用医疗行业及其患者,或对其造成严重破坏。该行业在加强医疗设备和数据库抵御网络攻击方面行动迟缓,给犯罪分子提供了充足的时间,这对自己没有任何好处。
This year, at least six healthcare providers were attacked by hackers who had planted bugs in their software and threatened to effectively delete or shutdown those hospitals’ and clinics’ patient records and other vital information unless the thieves were paid off—a so-called ransomware attack. For example, this past June, NEO Urology, a urology clinic, ended up paying $75,000 in ransom to regain access to its system and data. And in February, an attack on the Southeastern Council on Alcoholism and Drug Dependence forced the organization to notify 25,148 patients that their data was potentially breached. These are just the attacks that were reported; experts assume many others have also taken place but were hushed up to avoid bad publicity.
病人的医疗数据也可以被访问、出售和用于不正当的目的。例如,据哥伦比亚广播公司新闻频道(CBS News)报道,2018年,222家医疗公司报告了黑客事件,影响了1100多万份患者记录。当病人的医疗记录和信用卡数据被卖给骗子时,遵守HIPPA是病人最不担心的隐私问题。
如果不加强安全措施,包括采取一些简单的措施,如建立一些电子邮件安全,医院和诊所可能会付出高昂的代价。FBI在2017年发现,电子邮件被盗给15690家企业造成了至少6.76亿美元的损失。
通过保护网络医疗设备,它对Outsmart Hackers也变得至关重要。例如,FDA表示,几种Medtronic胰岛素葡萄糖泵(现在召回)可能已经远程接管并强制出现故障,使患者造成致命危险。硬化医疗器械必须以设计的第一阶段开始,并在整个供应链中继续,从设备内的处理器和组件到在空中更新的软件。
网络安全风险也延伸到了患者安全。例如,如果iWatch或类似的个人健康监测设备错误地显示出一个人的心跳过慢或过快,最坏的情况就是病人可能会变得不必要的担心。然而,如果心脏起搏器被劫持,它可能会加速或减慢来自心脏的电脉冲,改变心脏起搏器的输出,从而造成危险的后果。在糖尿病患者的血糖监测仪中,血糖水平的错误指示,加上不正确的胰岛素“自动”剂量,可能是致命的。
通过将安全控制建设到每个设备中,医疗制造商可以防止源自互联网的攻击,并确保其设备在设计或制造期间无法携带隐藏的恶意软件。
首先,公司应该使用数字证书和在线安全政策,为网站、网络和数据库安全建立更好的实践。它们可以帮助确保使用互联网传输和存储信息、进行在线交易和提供个人数据的医疗机构免受最常见黑客的攻击。通过确保每个网站、服务器、移动设备、应用程序和设备都有经过认证的数字身份(实现加密通信),公司可以极大地阻止黑客。让黑客远离IT网络可以降低医疗设备和网络内其他系统受到攻击的风险。
电子邮件安全方面的进步,例如使用安全/多用途Internet邮件扩展(S/MIME)证书来确保电子邮件通信安全,防止网络钓鱼攻击和商业电子邮件折衷(BEC)攻击。它们还能防止员工无意中打开欺诈者的恶意邮件。确保电子邮件安全为黑客又关上了一扇门,否则他们就会进入存放个人和财务数据的网络,或者使系统瘫痪并索要赎金。
同样重要的是在设备中“嵌入”安全性。这就需要具备能够保护设备免受攻击、保护设备完整性和启用设备身份的安全特性。好消息是,医疗行业的制造商、供应商和开发人员正在越来越多地采用最佳实践来验证和保护连接设备。这些包括:
安全启动.它提供嵌入式软件api,以确保软件从最初的“上电”到应用程序执行过程中没有被篡改。它还允许开发人员安全地编写标志引导加载程序、微内核、操作系统、应用程序代码和数据。
设备身份证书.在制造期间将数字证书添加到设备,让设备在安装在网络上以及与网络中的其他设备通信之前进行身份验证。这可以防止伪造设备被引入网络。
嵌入式防火墙.通过使用实时操作系统(RTOS)和Linux来配置和强制过滤规则,这些防火墙防止与未经授权的设备进行通信并阻止恶意消息。
安全元素.OEM和医疗设备制造商应使用安全元素,例如可信平台模块(TPM)或嵌入式安全元件,用于受保护的密钥存储。安全密钥存储允许使用安全元件内生成的键对的PKI注册,从而提供高水平的攻击。
安全远程更新。在安装设备固件之前,确认设备固件没有被修改是很重要的。这些更新确保组件没有被修改,并且是来自OEM的经过身份验证的模块。
使用安全措施的医疗设备开发商和制造商在防止远程攻击用恶意软件感染他们的设备和网络或招致勒索软件攻击方面取得了巨大进展。通过采用这些现代安全方法,该行业可以使组件和组件免受黑客攻击。
保持医疗设备和信息免受网络攻击的安全并不简单,永远不会完美。这是一个正在进行的战斗。网络罪犯始终改善他们的方法和开发新的聪明攻击策略。但是,使用CyberSecurity保持电流,并使用经过验证的安全程序和软件意味着制造商和医疗设施 - 他们的患者 - 获得最佳的黑客免疫可用。
艾伦·格劳是Sectigo物联网/嵌入式解决方案副总裁,世界上最大的商业证书颁发机构和专用自动化PKI解决方案提供商。有关Sectigo和Cybersecurity的更多信息,点击这里.
