醫(yī)療保健提供商,制造商和監(jiān)管機(jī)構(gòu)認(rèn)為,物聯(lián)網(wǎng)醫(yī)療設(shè)備和相關(guān)遺留系統(tǒng)的網(wǎng)絡(luò)安全風(fēng)險是最重要的。
據(jù)德勤今天發(fā)布的調(diào)查顯示,近三分之一的物聯(lián)網(wǎng)醫(yī)療器械制造商,醫(yī)療保健機(jī)構(gòu),監(jiān)管機(jī)構(gòu)和用戶都將網(wǎng)絡(luò)安全問題作為首要關(guān)注點,因為它們是處理網(wǎng)絡(luò)連接的醫(yī)療設(shè)備和舊式舊設(shè)備時的首要關(guān)注點���。
這項調(diào)查顯示,與物聯(lián)網(wǎng)醫(yī)療器械行業(yè)相關(guān)的370多名專業(yè)人員查詢,過去一年中有35.6%的組織遇到網(wǎng)絡(luò)安全事件。 報告中并未衡量通過物聯(lián)網(wǎng)醫(yī)療器械進(jìn)行的攻擊次數(shù)���。
網(wǎng)絡(luò)調(diào)查是在5月份進(jìn)行的,不到兩周,WannaCry掃過150個國家,特別是英國醫(yī)療服務(wù)提供商�����。
Deloitte&Touche的德勤風(fēng)險與財務(wù)顧問合伙人羅素·瓊斯(Russell Jones)表示:“這種類型的攻擊(WannaCry)只是冰山一角,還有其他攻擊可以解決這些物聯(lián)網(wǎng)設(shè)備����。他指出,所有這一切都將是一個重大事件,一個患者處于危險之中,或者死于改變物聯(lián)網(wǎng)醫(yī)療器械制造商和醫(yī)療保健行業(yè)優(yōu)先考慮物聯(lián)網(wǎng)網(wǎng)絡(luò)安全支出的方式,而不是對資本支出和經(jīng)營預(yù)算成本進(jìn)行后期調(diào)整。
挑戰(zhàn)的一部分是確定哪些醫(yī)療設(shè)備連接到網(wǎng)絡(luò)���。“你不能保護(hù)和保護(hù)你不知道的東西,”他說�����。“這是資產(chǎn)管理問題���。”
瓊斯補(bǔ)充說,驅(qū)動這種缺乏可見性是跟蹤目前市場上和使用中的現(xiàn)場設(shè)備的組合,以及運行過時軟件的傳統(tǒng)醫(yī)療設(shè)備,使其難以系統(tǒng)地進(jìn)行存儲。
加州大學(xué)舊金山分校首席信息安全官Patrick Phelan同意在醫(yī)療領(lǐng)域跟蹤物聯(lián)網(wǎng)設(shè)備可能是一個巨大的挑戰(zhàn)��。
Phelan說:“由于許多物聯(lián)網(wǎng)設(shè)備在醫(yī)院周圍移動,從端口到端口或接入點跳到接入點,所以連接設(shè)備數(shù)量巨大 - 數(shù)萬 - 使得資產(chǎn)跟蹤具有挑戰(zhàn)性�����。
例如,UCSF醫(yī)療中心有近1 000張持照床位,去年共接待了4.3萬例住院病人和120萬門診人員����。 Phelan補(bǔ)充說,UCSF已經(jīng)投入大量的努力來建立庫存和分類設(shè)備,根據(jù)他們面臨的風(fēng)險以及潛在的存在�����。
Phelan說:“使用網(wǎng)絡(luò)分割來隔離和保護(hù)物聯(lián)網(wǎng)設(shè)備是您可以做的最重要的事情之一����。“在UCSF,我們的臨床技術(shù)和IT部門正在密切關(guān)注這個問題��。”
他指出,醫(yī)療設(shè)備對行業(yè)提出了幾個安全挑戰(zhàn)����。“制造商提供補(bǔ)丁可能很慢...安全基礎(chǔ)經(jīng)常被忽視:使用過時的操作系統(tǒng)(如Windows XP,不安全的協(xié)議和簡單的密碼)找到醫(yī)療設(shè)備并不罕見,”他說。 “而且,物聯(lián)網(wǎng)醫(yī)療設(shè)備的生命周期比大多數(shù)技術(shù)要長,10年前設(shè)計的設(shè)備可能沒有預(yù)料到2017年的威脅����。”
Deloitte的Jones說,通過監(jiān)控設(shè)備周圍的任何異常行為以及制定有效的事件響應(yīng)計劃,可以完成對傳統(tǒng)物聯(lián)網(wǎng)設(shè)備的處理安全。
瓊斯說:“我已經(jīng)看到事件響應(yīng)計劃的發(fā)展,但他們沒有做任何戰(zhàn)爭游戲或壓力測試來測試這個計劃,這個測試應(yīng)該是計劃的一部分���。
雖然制造商可能首先承擔(dān)使傳統(tǒng)物聯(lián)網(wǎng)設(shè)備安全的責(zé)任,但是進(jìn)入市場的新型物聯(lián)網(wǎng)設(shè)備具有更多的安全性能,而保持安全性的責(zé)任已轉(zhuǎn)移到醫(yī)療保健提供商,Jones指出�����。
他說:“資產(chǎn)管理是網(wǎng)絡(luò)風(fēng)險管理最重要的一件事�����。” “你想把這個問題縮小到最大的風(fēng)險會影響最多的人����。”
一起玩很好
為了對醫(yī)療行業(yè)中物聯(lián)網(wǎng)設(shè)備的網(wǎng)絡(luò)安全作出重大改變,Jones指出,這需要制造商,醫(yī)療保健提供者和監(jiān)管機(jī)構(gòu)之間的協(xié)作����。
瓊斯說,物聯(lián)網(wǎng)醫(yī)療設(shè)備制造商需要在開發(fā)設(shè)備時建立網(wǎng)絡(luò)安全,并在其生命周期內(nèi)繼續(xù)支持設(shè)備更新和補(bǔ)丁。與此同時,醫(yī)療行業(yè)需要向制造商提供產(chǎn)品開發(fā)討論的投入,監(jiān)管機(jī)構(gòu)可協(xié)助起草解決方案指南����。
12月,美國食品和藥物管理局(FDA)發(fā)布了關(guān)于在設(shè)備離開制造工廠后如何處理醫(yī)療設(shè)備的網(wǎng)絡(luò)安全的最終指導(dǎo)。該文件建立在FDA于2014年完成的上市前網(wǎng)絡(luò)安全指導(dǎo)�。
科學(xué)和戰(zhàn)略副主任Suzanne Schwartz說:“FDA在過去幾年里擴(kuò)大了網(wǎng)絡(luò)安全工作的范圍,我們一直在努力地將醫(yī)療保健社區(qū)聯(lián)合在一起,提出和實施解決網(wǎng)絡(luò)安全問題的共享解決方案。”在FDA的設(shè)備和放射健康中心的伙伴關(guān)系��。
她說,該中心將醫(yī)療器械網(wǎng)絡(luò)安全作為2017年度的監(jiān)管科學(xué)研究重點,FDA將重點放在推動在整個內(nèi)部設(shè)備生態(tài)系統(tǒng)中采用指南���。
“我們也預(yù)計今年會有越來越多的制造商來到我們這里,提交會議的要求包括關(guān)于在他們的設(shè)備中建立網(wǎng)絡(luò)安全控制的討論,我們歡迎我們今年將進(jìn)行的互動,幫助整個社區(qū)轉(zhuǎn)向一個更好的地方,“她說��。
Schwartz補(bǔ)充說,解決網(wǎng)絡(luò)安全和公共衛(wèi)生需要許多利益相關(guān)者的投入和努力,而主動多方利益相關(guān)方的參與是FDA針對醫(yī)療設(shè)備網(wǎng)絡(luò)安全的方法的基石�。
然而,FDA的努力卻受到了一些混合的反應(yīng)�。
Phelan說:“FDA已經(jīng)為制造商發(fā)布了穩(wěn)固的前后市場網(wǎng)絡(luò)安全指南,但沒有嚴(yán)格的合規(guī)性要求。 “糖尿病技術(shù)協(xié)會在2016年發(fā)布了一項關(guān)于糖尿病相關(guān)設(shè)備的安全標(biāo)準(zhǔn)(DTSec),希望今后能夠看到更多的獨立設(shè)備認(rèn)證�。
他說:“好消息是醫(yī)療器械的安全性日益增加�����。
