...
诸多不确定的安全威胁错综复杂的交织在一起就像是一个移动迷宫
如今互联网医院风起云涌医疗信息化从业者们如何与这些潜在的威胁斗智斗勇?
本篇文章将详细探讨 带你一网打尽
人为因素
① 医疗系统配置错误
设备不更改出厂默认密码是最常见的错误之一,一旦攻击者获得对网络的访问权限,就可以通过它们来访问设备。除此之外,还有我们经常容易忽视的,例如:允许任何地址接入设备,或者允许使用未加密的通讯协议。
② 缺少审核日志
日志是安全测试、分析改进安全策略的重要部分之一。假设医院的系统迟早会被破坏,那么日志就是我们追踪溯源的重要参考工具。我们可以利用它评估有多少信息受到破坏。因此日志是安全工作中最重要的任务之一,即使没有它也不会对现有的安全性产生破坏。
③ 不合规的工作方式(BYOD)
如今,组织机构内部越来越多的员工在任何时间,任何地点、使用任何设备自由地工作。虽然使用 BYOD 方式工作是一项有利的策略,但也可能会给组织带来更大的风险。对于 IT 部门来说,寻找让 BYOD 办公更加安全的策略是一项具有挑战性的任务。如果不改善组织现状,可能会导致恶意软件爆发、个人设备被盗后暴露隐私信息等一系列问题。
④ 医务人员/患者的信息错误
电子医嘱的录入是医生护士每天必须接触的工作。电子医嘱录入代替了传统的手工书写,具有字迹清晰、查阅方便、清晰美观、效率较高等优点。可是,当电子医嘱出现输入错误时,如“甲”患者医嘱输在“乙”患者医嘱上,不仅给工作带来了不便,同时对患者的正常诊断治疗、医疗机构的声誉带来影响。
恶意行为
① 恶意软件:病毒/勒索软件/BYOD
(1)在医疗组织机构中,IT系统之间紧密相连、系统没有发生服务中断的时候很难独立隔离,为恶意软件创造了合适的环境;
(2)设备数量众多的企业可能会因成本上升而难以更新其许可证;
(3)广告作为分发恶意软件最简单的方式之一,经常容易被用户忽视;
(4)勒索软件可能是医疗机构最广为人知的威胁,如恶名昭著的 Wannacry ,它们常常会进行随意的低成本攻击,且医疗保健基础设施极易中招;
(5)允许员工在没有合适的网络风险应对策略时,自带设备办公(BYOD) 的企业将面临额外的风险。
② 劫持:加密劫持/医疗劫持
(1)医疗设备需要实时进行通信,临床医生在搜索患者的数据以及测试信息时也需获得快速的响应。但当处理器等资源被挖矿工具利用时,不仅影响性能,同时影响医院提供服务。
(2)加密劫持和医疗劫持的区别在于所涉及的硬件类型,加密劫持影响的是通用的 IT基础设施;医疗劫持影响的是IT医疗设备。
③ 社会工程:网路钓鱼/欺诈/设备克隆
(1)电子邮件(钓鱼、垃圾邮件以及鱼叉式网络钓鱼)是恶意软件感染的主要攻击载体。根据 Verizon 发布的 DBIR 报告显示,在检测到的恶意软件中,含有 92.4%是由于电子邮件泄漏造成的。即使这样,目前依然有许多组织机构允许员工在医院的 PC 电脑中登陆个人的邮件账户。
(2)大家很容易能够在医院的开放目录中以及互联网等渠道中搜集到临床医生的邮件地址。经调研发现,目前众多医院依然存在员工使用工作邮箱账户处理个人事务,以及使用个人邮件处理工作事务的情况。
(3)对抗钓鱼攻击并不是一件简单的事情: 医院信息化管理部门很难让组织人员保持足够的安全意识。这背后原因很多:如许多医疗领域的员工并没有信息技术背景、 需要面对高压力的环境、三班倒、员工轮流值班、临床医生与 IT 团队之间缺乏了解。
(4)设备克隆(身份证)需要有超高的技术、同时需要与受害者足够接近才能够克隆其身份证。双因素识别使得这类威胁不大可能会发生。
④ 盗窃:数据/设备
(1)医疗器械因其高价值,使得盗窃医疗设备成为一项常见的犯罪行为,这些设备经常在不发达国家的二手市场出售,或者以廉价出售给兽医使用。超声波设备、EKG、除颤器、输液泵或生命体征监护仪等中小型便携式设备是被盗窃最多的器械。
(2)在设备正常运行的过程中,除非经过充分的授权登陆,否则医疗数据不应该随便被泄漏。但事与愿违,医疗器械设备大多使用出厂设置,使得攻击更加容易。
(3)信息安全部门未直接参与设备的安全配置和管理、员工缺乏安全意识都可能导致信息泄漏,从而影响医院的声誉、患者的隐私、受到行政处罚、甚至威胁患者的生命安全。
⑤ 医疗器械篡改
医疗设备和服务器之间的通信如果没有足够的保护机制将会造成信息被篡改。复杂的中间人攻击(MITM)可以改变生命体征监视器、实验室、病理报告的数据,甚至是进入 PACS 服务器中修改 CT 扫描、MRI 或超声系统的 DICOM 图像的数据。
⑥ Skimming
患者的数据泄漏是发生 Skimming 攻击(窃取信用卡信息)的一大起因。此类攻击一般不会在仅用社保卡、无需付款的公众卫生系统中出现,但私人机构通常容易发生此类事件。
⑦ Dos拒绝服务
拒绝服务是一种非常常见的网络攻击,尤其现代医疗网络应用程序让患者有机会了解更多关于诊所及其服务的情况、安排医生见面或电话会诊、购买保险或服务,并能获得在线咨询。在这些应用程序已经普遍被使用的情况下,DoS攻击不仅会损害公司的声誉,而且会对患者造成不便。
⑧ 基于网络的攻击
为了达到互操作性目的,而使用非正规的 WEB 服务、延迟更新应用、保持系统配置不变、试图减少停机时间等,会让黑客更容易利用已知漏洞进行攻击。 (互操作性,是指不同的计算机系统、网络、操作系统和应用程序一起工作并共享信息的能力。 )
⑩ web应用程序攻击
在医疗行业中SQL注入攻击和拒绝服务攻击在web应用程序攻击中占比 68.8%,而在全球政府机构中,这两者仅占 26%或 27.7%。但单就医疗行业而言,仅 SQL 注入就占了 46%,这一比例与能源和制造业公司(制造业中工业设备的使用非常常见)相似。
⑪ 身份窃取
医疗系统的身份包含两种:员工的身份、患者的身份。员工的身份被盗窃将会带来十分危险的后果,例如,假冒医生或护士身份的不法分子可以乱开处方、随意诊断患者的疾病;而患者的身份盗窃可能会被用来欺诈医疗系统,引起错误的诊断。
系统故障
① 软件故障
(1)任何软件都可能有错误。输液泵、电外科、呼吸机、医用激光器或使用电离辐射工作的设备(放射科和放射治疗设备)等都会采取特殊的安全措施,如果发生错误,可能会造成物理伤害。
(2)这些设备在进入市场之前经过广泛的测试。在极少数情况下, 制造商会更新这些软件。
(3)服务器更容易发生故障,不仅仅因为专业软件的设计问题,还与其依赖的其它软件的问题有关,如操作系统、编程框架、数据库等。事实上,经验告诉我们,软件更新后会出现诸多错误。
(4)医疗服务中的故障常常由潜在的错误引起,有时会导致服务停止。这些问题会在服务器重启后消失,而分析日志对于找到错误的原因至关重要。那些不会造成系统崩溃或者业务中断的错误(例如患者预约或患者临床信息丢失),通常在系统运行后的几个月中容易被检测出来。
(5)为了让系统按照预期的计划运行,需要在系统运行前专门准备测试。如果当这些系统运行了 7*24 小时之后,再去找时间进行测试会非常难(医疗设备不能随意停止)。
② 硬件过时
缺乏程序来更新医院中所有设备(无论医疗设备与否)中的硬件,是医疗机构和医院面临的最大威胁。遗留系统(即老系统) 和软件(旧软件)将会为恶意人员提供访问敏感医疗数据的后门。
③ 网络组件故障当组件出现了故障,可能会导致系统不可用,从而产生连锁反应而影响其它医疗系统(如患者健康记录)。因此如果对实时的数据分析有较高要求时,医院的互联生态系统必须有足够的弹性。
④ 维护不当缺乏更新或缺少补丁是另一种非常常见的威胁,会对医疗保健组织产生重大影响,比如恶意软件传播。倘若一些操作性的问题无法得到有效解决,最终会影响患者的健康。
自然因素
包括台风、火灾,洪水或地震等在内自然灾害虽然不经常发生,但这些防不胜防的“意外”对7*24小时业务不中断的医疗行业来说,一旦发生,将会对基础设施和所有的器材(包括计算机断层扫描仪、核磁共振成像设备、放射治疗设备和其他昂贵的设备、网络组件等)造成极大的伤害。
供应链故障
① 云服务提供商故障
并非所有的服务都部署在医院服务器,财务、薪酬、库存控制等系统也许是外包或托管于第三方云平台,大多物联网医疗设备也都在云上运行。此外,越多越多的区域性医院或者规模较小的医疗机构因经费问题通常会放弃自建机房选择“上云”,如果第三方服务发生故障,且在线下没有做好充分的备份工作,那么将对医疗机构自身业务运转带来严重干扰。
② 网络供应商故障
在医院网络建设中,各种网络线路互相交错,故障发生率非常高。尤其大多数医院都会在主体和分支中心建立通讯连接,如放射科、门诊或康复中心。因此,医院需充分应对这类威胁时的拓扑和冗余设计。
③ 电源故障
断电可能会对设备产生巨大的影响。通常重症监护室,手术室,服 务器和客户端都有不间断的电源/电池保护,但是如 MRI、CT 等设备就会受到影响。
④ 医疗器械制造商故障/非合同责任
所有的医疗设备往往具有天生的设计缺陷,这些潜在的缺陷会在设备正常使用的情况下出现。它们虽然是已知的,但常常因为设备不允许被更新而无法消除。如果生产设备的制造商被收购或者停业,那么设备的维修、更新都将会是问题。同时,与第三方进行通信的信息安全也会遭受到威胁。
本文译于
欧洲网络与信息安全局《医院网络安全采购指南》
浙公网安备 33010502006954号 
