挫败医疗设备攻击的5个小贴士

　　医疗设备可能是黑客窃取有价值信息的一条简单途径。本文所提的建议可降低发生这种情况的风险。

　　我们在去年看到了许多关于医疗设备受到攻击的消息，其中就包括了关于Trojan.Kwampirs和KRACK的报道。4月23日，软件厂商赛门铁克公司称，他们对网络犯罪团伙Orangeworm的Kwampirs后门程序进行了分析，发现39%的该后门程序被植入到了医疗设备中，如X光机、核磁共振成像设备以及用于帮助完成患者同意书的系统。KRACK虽然没有攻击设备，但是它们让设备之间连接的WPA2协议在安全性上大打折扣。

　　奥古斯塔大学网络研究院信息安全教授Michael Nowatkowski指出：“在网络连接出现以前，这些设备受到了物理保护，仅获得授权的医务人员才被允许进入病人房间。如果要对输液泵进行调整，则需要通过按压设备上的按钮进行操作。现在一切都被连接起来了，这使得医院和医疗保健系统变得混乱不堪。”据毕马威会计师事务所称，41%的医疗机构采取的措施是完善自己的管理与策略，另有33%则将设备安全外包给了第三方。

　　对于那些负责管理内部医疗设备安全的人员，专家给出了以下建议：

　　1.提高整体安全性

　　如果你相信在电视上看到的东西，那么你应该知道对医疗设备攻击的目的是伤害病人。例如，《神探夏洛克》和《国土安全》等影视剧都有这样的情节，那就是患者会被自己的起搏器谋杀。毕马威会计师事务所网络实践合作伙伴Michael Ebert指出，在现实生活中，这些攻击并不真实，虽然今天的网络攻击有可能会伤害患者，但大多数针对医疗设备制造商的攻击都是为了窃取他们的技术，以便复制设备或是避免开发产品工作走入死胡同。

　　换句话说，设备攻击者想得到的是大多数黑客都想要的东西：信息。Nowatkowski认为，黑客在尝试窃取信息时可能并没有意识到自己入侵的是医疗设备。“因为这些设备中运行的很多操作系统类似于普通的计算机，所以攻击者可能认为自己入侵的只是计算机而不是医疗设备。”

　　提高整体安全性可以阻止这类黑客造成的损害。医疗设备要执行与普通计算机相同的最佳安全实践。底特律Henry Ford健康系统公司首席移动架构师Ali Youssef称：“要确保数据被加密。设备软件应当将支持EAPTLS身份验证和WPA2加密作为基本要求。”安全集成公司Optiv的应用顾问Eric DiPietro则指出，要对漏洞进行监控，如果发现了漏洞，必须及时进行修补。他说：“用户要制定并执行成熟的修补计划，以保持系统和设备处于最新状态。”

　　2.隔离有风险的患者

　　在攻击中，黑客会寻找病人的数据，他们通常想要的是病人的个人身份信息（PII）。他们有时会尽可能多地获得病人个人身份信息，无论病人是谁。在有的攻击中，黑客会寻找特定人员的数据。Nowatkowski说：“知名人士可能比普通大众面临的风险更大。特别是政治家、商界领袖，以及可能会支付勒索金的名人或富人。”

　　为了找到这种人，黑客通常需要攻击多台机器。“黑客可能完全不会意识到他们正在入侵哪种设备，”Nowatkowski说。“攻击者或许并不十分清楚他们的攻击目标附属于哪个设备。”换句话说，网络罪犯分子可能知道914房间住着名人，但他们无法分辨哪台输液设备或心脏监视器在这个房间里。为此，他们会攻击整个楼层。虽然隔离这些知名的患者并不会使他们的信息更加安全，但这将会缩小攻击范围，降低发生个人身份信息泄露事件发生的可能性。

　　3.通过“不收集数据”来保护数据

　　DiPietro建议医院停止收集患者社会保障号码（SSN）和其他的个人身份信息。他说：“通过删除敏感数据来更好地保护患者数据。例如，用非敏感的标识符替换患者的社会安全号码。”

　　自2014年以后，保险报销不再需要社会保障号码，那么你的医院为什么仍然要求收集这些数据呢？你的设施还收集哪些并不需要的其他个人信息呢？黑客无法通过医疗设备或任何其他方式窃取你并没有的数据。

　　不幸的是，这个小贴士可能在业务方面难以被接受：因为要接受就得做出改变。据美国广播公司的报道称，许多医院要求提供社会保障号仅仅是因为表格中有一栏要求其填入这些信息，而关闭这栏需要多个部门的合作。

　　管理层不会一直关注安全问题，但他们会关注HIPAA（健康保险流通与责任法案）。因此这也使得你有机会向管理层展示，如何通过最低限度的数据收集来帮助进行管理。

　　DiPietro称：“医务人员有时会在公共场所（例如候诊室）询问病人个人身份信息。这是违反HIPAA的行为，因为这些地方可能会有人偷听。限制信息请求可为你和病人解决了一个问题，同时也可让患者更快地被分流。”

　　4.让所有的人都树立安全意识

　　检查输液设备的护士不一定是网络安全专家，但是她们必须要能够识别是否发生了黑客攻击。这样她们不仅能够在设备异常时打电话给IT部门，而且还能够防止在无意中为黑客提供了便利。“如果有人想攻击X光机，”DiPietro解释说，“他们可能不会从一开始就对操作系统下手或尝试入侵网络。他们可能会从研究机器开始，如多长时间更新一次，谁在使用它们，以及谁负责管理或监督。他们可能会先假冒X光机公司的业务代表身份致电给医院，试图找出负责该机器的人员。医院可能会无意中透露给攻击者一个名字，然后攻击者通常会利用社交工程来通过电子邮件实施‘钓鱼’攻击。一旦攻击得手，他们就不必真正‘破解’网络，因为他们可以使用窃取的登录证书。”

　　根据毕马威的调查显示，38%的受访者会对所有高管进行关于信息安全的培训，同时34%的受访者会针对特定员工开展网络应急响应演练。但是研究显示，大多数安全培训工作仅限于IT和管理部门，那么未受培训的其他员工仍是网络钓鱼攻击的薄弱环节。

　　5.使用新兴的“欺骗技术”

　　安全公司Attivo Networks的Carolyn Crandall表示：“医疗保健IT团队需要各种工具来保护网络边界，同时帮助他们快速高效地检测并响应网络中的威胁。”这些工具包括Attivo的欺骗软件。

　　不要仅仅因为Crandall是一名供应商就迅速回绝她的建议。她解释道：“欺骗是一种新兴的安全控制措施。由于需要缩短攻击者停留时间，所以催生出了这一技术。黑客入侵未被发现的时间在美国是平均100天。一些医院使用下一代防火墙提供安全防护，但是这些措施都是以签名或数据库匹配为中心的，无法应对证书盗用。”正如DiPietro指出的那样，一旦黑客拥有正确的证书，那么他们就可以畅通无阻。

　　Crandall解释说：“欺骗技术会创建一个端点，然后将欺骗性证书和诱饵策略性地放在能够诱惑攻击者窃取它们的位置上”。这一技术可帮助安全团队设置一个抓捕医疗设备黑客的陷阱，在黑客窃取信息前将他们抓获。

　　作者/Terena Bell 编译/陈琳华

　　本文作者Terena Bell为自由撰稿人，长期关注聊天机器人、自然语言处理和人工智能技术。

　　原文网址

　　https：//www.csoonline.com/article/3276657/healthcare/5-tips-to-thwart-medical-device-attacks.html