傳統(tǒng)的醫(yī)療物聯(lián)網(wǎng)設備可能缺少安全功能�����,但是圍繞商品組件構(gòu)建的較新設備可能具有整套不同的漏洞���,攻擊者可以更好地理解這些漏洞。
對于使醫(yī)療保健網(wǎng)絡更容易受到網(wǎng)絡攻擊的損害�����,專家們的分歧在于舊的連接的醫(yī)療設備還是更新的醫(yī)療設備�。
不安全的物聯(lián)網(wǎng)的經(jīng)典敘述集中在將舊設備集成到網(wǎng)絡中。 在某些行業(yè)中�,這些設備要比Internet早一些,有時要花相當長的時間�,因此�����,在保護其免受遠程入侵的威脅方面�����,企業(yè)面臨很多挑戰(zhàn)也就不足為奇了�。
即使這些設備還不是很舊����,它們通常也缺少關(guān)鍵功能,尤其是遠程軟件更新和可配置的密碼保護��,這些功能將幫助IT人員防御現(xiàn)代威脅�。
醫(yī)療物聯(lián)網(wǎng)安全初創(chuàng)公司Cylera的首席安全策略師Richard Staynings認為,就醫(yī)療領(lǐng)域而言����,這可能并非完全正確。他認為�,近年來醫(yī)療物聯(lián)網(wǎng)設備的數(shù)量和種類呈爆炸式增長,其中許多小工具至少與該領(lǐng)域真正的傳統(tǒng)設備一樣不安全�����。
Staynings說,在某些情況下���,較舊的設備實際上可能比較新的設備安全得多��。特別是那些基于過時技術(shù)的產(chǎn)品���,例如電可擦可編程只讀存儲器(EEPROM)的舊版本。
他說:"較早的系統(tǒng)是用EEPROM編寫的-您需要一個EEPROM讀取器才能將它們弄亂�����。" "代碼庫不在Internet上供黑客查看�����,您需要對EEPROM進行物理訪問才能重寫它����。"
相反�,較新的設備經(jīng)常使用潛在攻擊者更加熟悉的軟件和硬件組件。 "他們在設計和構(gòu)造上更普遍-他們使用[消費者現(xiàn)成的]操作系統(tǒng)��,例如Windows Embedded�,無論您信不信由你�����,該操作系統(tǒng)仍在使用��,并且與傳統(tǒng)相比��,它們更容易受到攻擊系統(tǒng)"�����,Staynings說����。
當前一代醫(yī)療物聯(lián)網(wǎng)硬件的不安全性還可能帶來持續(xù)存在的問題���,而不僅僅是緊迫的問題�����。盡管IT資產(chǎn)得到快速更換�,但IoT設備的更換周期通常更長��。 Staynings說:"醫(yī)療器械具有of的半衰期��。" "他們只是不會消失。"
在Staynings對醫(yī)療物聯(lián)網(wǎng)威脅的描述中�����,其他專家則鮮為人知�,他們認為,新設備要比舊設備構(gòu)成更大威脅的想法在面對最近使它們更安全的努力時就不成立了�。基思·穆拉爾斯基(Keith Mularski)指導安永咨詢公司的網(wǎng)絡安全咨詢業(yè)務��,并將Staynings的主張描述為"令人驚訝"�,并指出互聯(lián)醫(yī)療設備的監(jiān)管格局正在朝著積極的方向迅速發(fā)展標準。
" FDA有一些相當嚴格的指導原則����,在設備投入市場之前,您需要將威脅建模放在一起����,因此要研究安全架構(gòu)�����,向量等�����,然后除了FDA準備準備要求上市前提交文件中的第三方筆測試," Mularski說����。 "使用舊版設備,這些上市前提交的申請就不那么完整了���。"
Mularski確實承認�,某些特別易受攻擊的舊設備通常在設計上通常與網(wǎng)絡更加隔離��,部分原因是它們更容易識別為易受攻擊的資產(chǎn)�����。例如�����,Windows 95老式X射線機很容易被發(fā)現(xiàn)為壞演員的潛在目標��。
他說:"在大多數(shù)情況下����,我認為在大多數(shù)醫(yī)院環(huán)境中��,他們在認識到自己擁有這些舊設備以及較脆弱的設備方面做得很好���。"
這強調(diào)了大多數(shù)專家討論的主題–對給定網(wǎng)絡上潛在的安全漏洞的簡單認識對于保護醫(yī)療網(wǎng)絡至關(guān)重要。 Greg Murphy是Ordr的首席執(zhí)行官���,Ordr是一家總部位于圣塔克拉拉的網(wǎng)絡可見性和安全性初創(chuàng)公司�����。他說�����,穆拉爾斯基和斯廷寧斯都表示贊成��。
他說:"將遺留設備問題降到最低的任何人都必須走醫(yī)院的生物醫(yī)學工程部門的步伐����,"��。 " 但是�����,另一方面�����,連接到網(wǎng)絡的新設備本身也具有巨大的漏洞����。許多制造商本身都不知道他們的設備存在哪些漏洞。"
Murphy說���,解決問題的唯一真正方法是在網(wǎng)絡級別上-試圖在設備級別上確保所有內(nèi)容的安全在許多情況下幾乎是不可能的�����,甚至無法準確了解連接到網(wǎng)絡的每個設備的情況��。通常需要使用自動化解決方案���。
他說:"這不再是人類規(guī)模的問題。"
Mularski和Staynings都同意這一點����。無論特定網(wǎng)絡上的哪些設備最容易受到攻擊,都應記住,網(wǎng)絡犯罪分子通常不會特別關(guān)注其危害�,只要他們能夠獲得訪問權(quán)限即可。
Mularski說:"可能有攻擊者橫穿這些設備��,進行掃描并偶然發(fā)現(xiàn)[漏洞]��,但我們確實還沒有看到針對醫(yī)療設備的特定目標�。" "確保具有醫(yī)療設備的公司枚舉其網(wǎng)絡,跟蹤其設備���,這一點很重要�。"
