发布:1月29日2021年1月29日

如何建立医疗设备网络安全:原则和最佳实践

当涉及到您的医疗设备时,强大的网络安全是非常重要的:这些设备不仅是房屋敏感的患者数据,还可以连接到更广泛的系统,这意味着任何设备上的违规可能会损害您的整个组织。

更糟糕的是,黑客知道这一点,他们每次都会利用医疗器械漏洞。根据黑书市场研究的调查“2020年医疗保健网络安全行业”报告,估计超过1,500个医疗保健提供者容易受到2021年的500个或更多记录的数据泄露,占2020年增加300%。这意味着预计违规是三重 - 和75%的医疗保健提供者不觉得为来了什么。

以下是如何建立医疗设备网络安全,因此您不会成为这些统计数据之一。

网络安全在2021年

医疗器械网络安全:安全性并未跟上黑客或推进设备技术

今天的医疗设备和软件应用程序比以往任何时候都更先进,技术互联。正如BSI解释的那样,“曾经存在的非联网和隔离设备现在存在于具有双向通信,远程访问,无线连接和软件的完全网络设备。更重要的是,在医疗保健空间中引入物联网(物联网)允许医院企业系统/信息技术(IT),临床工程(CE)和供应商之间的更多集成通过远程连接。

在许多感官中,这为远程监控和诊断等事物创造了新的机会,使患者照顾更快,更安全,更方便。例如,可以远程监测植入心脏装置的患者,因此他们不必定期访问他们的心脏病学家。同样,糖尿病患者可以使用葡萄糖仪和胰岛素泵自主地管理它们的血糖。

然而,这种互连也呈现出新的和不断增加的网络安全风险。毕竟,这些医疗设备(以及他们所房屋的敏感数据)通过有线或无线连接彼此连接到互联网和更广泛的医院网络 - 并且这种互连使得它们容易受到网络威胁的影响。

当您还考虑有遗留技术,安全漏洞和设备管理不足时,这一问题甚至更加紧迫,所有这些都使医疗器械更容易发育巨大的安全差距。

好消息?如果监管机构,制造商和医疗保健组织了解如何有效管理和减少网络安全风险,则可以减少许多这些网络安全威胁和漏洞。以下是要遵循的一些最佳实践。

改善2021年医疗设备网络安全的最佳实践

bob官方官网Accruent  - 博客帖子 - 如何建立您的医疗设备网络安全:原则和最佳实践

1.纪念网络安全是一个多级进程

网络安全保护并不只是落在医疗保健送货组织(HDOS)的肩上。相反,这是一种多管的努力需要从医疗设备制造商(MDMS)和医疗保健组织的合作。

一方面,制造商必须在生产过程中识别风险,并采取必要的步骤来缓解这些风险。同样,医疗保健组织必须一致地评估其网络安全性,并确保没有漏洞才会受到忽视。

只有当两个实体都完成他们的部分时,只有网络安全威胁得到有效避免。

2.保持您的医疗设备制造商(MDMS)负责

谈到维护网络安全时,您的医疗设备制造商必须在建造这些设备时主动识别和降低风险。他们应该最少:

  • 了解在开发期间可以引入漏洞(即,在设计,实施以及通过第三方软件组件期间)以及如何防止这些漏洞。
  • 提供保证设备网络安全的合同。
  • 提供安全安装。
  • 在整个资产的生命周期中提供持续的网络安全支持。

对于不遵循当前网络安全最佳实践的设备也应该有一定程度的现场责任。

3.了解漏洞的网络安全攻击者将目标是什么

如果你知道攻击者之后,你知道你想要停下来以及那些主动措施可能需要的东西。攻击者主要针对医疗设备来访问更广泛的医院网络和其中的敏感数据 - 它们是额外的动力,因为医院表明他们愿意支付获得他们的信息和系统。

但是,请记住,这些攻击并不总是以最明显的方式发生。有许多Go-to漏洞,攻击者积极地瞄准,因为他们是开发人员或医院可能忽视的东西。这些将是他们的第一次尝试的进入点。他们包括:

  • 不安全的固件更新:许多软件更新都是不正确的,使攻击者可以轻松利用漏洞。
  • 身体攻击:物理攻击,其中通过物理点安装恶意软件,可以通过端口,闪存驱动器和其他条目进行。
  • B0B体育平台下载制造支持左启用:在制造过程中,制B0B体育平台下载造商可以访问他们用于测试和校准设备的大量命令和功能。如果启用了这些功能,则攻击者可以轻松找到命令并获得对功能的访问权限。
  • 沟通点:连接设备的东西,如蓝牙低能量(BLE)本身是不安全的 - 并且对其中一个系统的不安全配对可以打开您的设备到漏洞。必须先先检查这些配对以确认设备与正确的位置配对,并且没有安全风险。
  • 个人设备:在Covid-19之后,许多医生和医疗专业人员正在远程工作 - 大多数医疗组织都没有采取必要的步骤来保护个人设备或培训员工的安全措施。更重要的是,所有临床医院员工的40%声称在2020年没有收到网络安全培训,这只能让事情变得更糟。

4.了解攻击可能看起来像什么

bob官方官网Accruent  - 博客帖子 - 如何建立您的医疗设备网络安全:原则和最佳实践

您的员工和系统可能面临多种主动威胁。这些包括:

  • Crypto赎金软件攻击:近年来Crypto Ransomware攻击的急剧增加,犯罪分子使用恶意软件来加密重要信息(如患者数据或甚至登录到系统),然后要求付款以恢复该信息或恢复操作。这些攻击已经开始发生世界各地,他们使新闻是如此广泛传播和高成本的医疗保健提供者。
  • SQL注射:在此类攻击期间,黑客使用恶意代码来攻击数据库的后端并获得对敏感信息的访问。
  • 欺骗/冒充:在欺骗攻击期间,黑客把握硬件或软件认为请求来自合法来源,以便他们可以进入。
  • 网络钓鱼:网络钓鱼攻击使用伪造的电子邮件或网站,鼓励人员点击,给攻击者访问他们的信息。
  • 拒绝服务(DOS)攻击:拒绝服务攻击,因为姓名建议,使操作系统,硬盘或应用程序不可用。这里的目标是防止合法用户进入,从而扰乱运营和成本化的企业资金。
  • 物理毁灭:设备和组件的物理破坏可以是网络图案的一部分。
  • 知识产权威胁:这有望在2021年上升,攻击者之后有价值的知识产权如Covid-19研究。

5.了解攻击者是谁

网络安全威胁可以来自各种不同的来源。了解每个来源的可能性,动机,技术能力和资源非常重要:bob体育连串过关

  • “黑客队员”:这些是寻求令人兴奋的攻击者,可以追求你的软件以获得乐趣,换钱或考虑具体的计划。“Hacktivists”的问题是,他们使用的工具更复杂和易于使用,这意味着他们可以尝试黑客攻击而没有强大的技术背景。
  • 犯罪团体:有组织的犯罪融合通过网络钓鱼计划,间谍软件,恶意软件或垃圾邮件攻击货币游戏的医疗保健设备。目标是什么?要提交身份盗窃,勒索组织并销售对网络系统的访问或提交工业间谍活动。
  • 在黑客内:员工可以轻松(并且通常不知不觉)引入恶意软件或访问敏感信息 - 通常用于个人收益,或者如果他们是不满的。
  • 单个网络素,垃圾邮件发送者或恶意软件作者:所有这些人都可以攻击您的系统或诀窍员工进行货币收益。
  • 工业间谍:行业中的攻击者可能会通过黑客或恶意软件来获得智力知识。
  • 机器人:黑客通常可以使用机器人网络来控制多个系统并立即执行多次攻击。这些攻击通常会采取拒绝服务攻击或网络钓鱼的形式。

在许多情况下,这些攻击者在一件事之后:金钱。通过攻击医疗保健系统,还有很多钱。这就是医院的原因自从电子健康记录的出现以来,有史以来有史以来。这在大流行期间才变得更加普遍。路透社报告总体上的赎金软件攻击是50%2020年的过去几个月更高,近两倍于2020年第三季度影响的医疗保健组织的数量比上一季度。攻击者从这些袭击中获得了数百万美元,所有人都说你应该在未来为这种类型的威胁做好准备。

bob官方官网accruent可以帮助

bob官方官网accruent医疗计算机维护管理系统(CMMS)可以帮助您的组织确定和解决任何医疗设备和安全风险。为了缓解网络安全风险,正确的CMMS系统将:

  • 针对所有医疗设备,网络数据和软件分析和报告。
  • 调和MDS2数据和其他安全属性免于清单。
  • 在找到潜在的安全风险或差距时,为您的组织独特的工作流程。
  • 与网络监控工具集成。

这些功能最终可以帮助您识别安全差距,自动化缓解步骤,并在发生时跟踪这些修复。

这只是冰山一角,即CMMS如何简化您的操作并最大化您的安全性。

安排演示实时查看医疗保健CMMS如何使您的组织受益。