連網醫療設備目前正透過更快且更精確的診斷、較低的營運成本、透過自動化提升的效率以及整體病患成效的改善來強化病患體驗,因而徹底改變整個醫療產業。連網的臨床和營運 IoT 裝置可被應用在包括病患監控到辦公室系統在內的各種領域。不過,同樣的裝置卻也會擴大攻擊範圍而淪為最脆弱的一環,並且會遭到攻擊者利用而滲透到醫院網路中。
在過去 12 年 (2010-2022) 中,醫療業相較於其他產業,一直以來都是最容易遭到入侵以及入侵損失平均成本最高的產業。連網的醫療裝置是一種有利可圖的目標,因為攻擊者會利用勒索軟體來挾持醫院,或竊取病患位於裝置中的敏感個人醫療資訊 (PHI) 等重要數據。
Palo Alto Networks Unit 42 威脅情報小組的調查發現,醫療裝置會因為本身的嚴重弱點而成為醫院網路中最脆弱的環節:
‧在本研究中,有 75% 的注射幫浦都至少存在一個弱點或曾發出至少一次的安全警示。
‧例如 X 光、核磁共振 (MRI) 和電腦斷層 (CT) 掃描儀等成像裝置特別容易受到攻擊,就以 X 光機來說,其中有 51% 會暴露在高嚴重性的一般弱點(CVE-2019-11687) 中。
‧另外,有 20% 的一般成像設備會執行不受支援的 Windows 版本。
‧而有 44% 的 CT 掃描儀和 31% 的 MRI 機器會暴露在高嚴重性的 CVE 中。
然而上述的裝置數量及其弱點還只是冰山一角而已。這些現代化醫療裝置也會因為以下原因而難以進行保護:
‧由於缺乏對於未受管理、已連網之醫療裝置的可視性,無法掌握實際的攻擊範圍。
‧因缺乏裝置脈絡而看不見弱點,讓醫院暴露在未知的威脅當中。
‧傳統安全架構 (具有扁平式網路且容易發生錯誤、手動制定安全政策的方式) 會妨礙對於法規需求的合規性,例如健康保險可攜性和責任法案 (HIPAA)。
‧在管理多個單一功能安全產品時會增加複雜度並產生安全漏洞。
醫療組織需要全面的零信任網路安全解決方案來支援他們的數位轉型過程、導向更理想的病患照護結果,同時可確保病患數據隱私權和法規合規性。零信任的網路安全策略可透過持續驗證數位互動的各個階段來消除隱藏式信任。零信任採取「永不信任,持續驗證」的原則,藉以保護現代數位醫療環境。該原則會採用最低存取控制權和政策,並透過持續信任驗證和監控裝置行為來封鎖零日攻擊。
唯有 Palo Alto Networks 才能提供最全面且快速的零信任安全方法,讓醫療組織得以無後顧之憂地提供病患最佳照顧
Palo Alto Networks 推出的醫療 IoT 安全建構在目前經證實的 IoT 安全技術上並以零信任方法為基礎,同時使用機器學習 (ML) 向醫療服務業者提供專為醫療裝置設計的 IoT 安全產品。該解決方案會快速探索及評估每個裝置,輕鬆地區隔及執行最低存取權,並透過簡化的作業來防禦各種已知和未知的威脅。此外,此一新產品可讓醫療服務業者提升安全性並減少弱點:
‧驗證網路區隔:視覺化呈現完整的連線裝置概圖,並確保每個裝置都位於規劃的網路區段中。適當的網路區隔可確保裝置只會與授權的系統進行通訊。
‧根據規則自動進行安全回應:建立政策規則以查看裝置是否有任何行為異常並自動觸發適當的回應。例如,正常情況下只會在夜間傳送少量數據的醫療裝置若突然開始使用大量頻寬,則預先設定的規則會自動中斷裝置的網際網路連線並向安全團隊發出警示。
‧零信任最佳實踐政策和執行自動化:只要按一下即可在支援的執行技術裝置上執行建議的最低權限存取政策。這可避免容易出錯且耗時的手動政策設定,並可透過相同的設定檔輕鬆地在同一組裝置中調整。
‧了解設備弱點和風險狀況:立即掌握每個設備的風險狀況,包括生命週期結束狀態、FDA 召回通知、預設密碼警示和未授權外部網站通訊、MDS2、CVE、行為異常、Unit42 威脅研究等等。額外存取每個醫療設備的軟體材料清單 (SBOM) 並將其對應至一般弱點和暴露 (CVE)。此對應會識別用於醫療設備和任何相關弱點的軟體程式庫。
‧提升合規性:輕鬆地了解醫療裝置弱點、修補狀態和安全設定,然後取得建議以使裝置能符合各種規則和指南,例如健康保險可攜性和責任法案 (HIPAA)、一般數據保護法規 (GDPR) 以及類似的法律和規範。
‧簡化作業:兩種不同的儀表板可讓 IT 和生物醫學工程團隊各自查看與其職務有關的重要資訊。與 AIMS 和 Epic 系統等現有的醫療資訊管理系統整合以自動化工作流程。
符合數據存放要求:醫療 IoT 安全可讓我們位於美國、德國、新加坡、日本和澳洲等地的客戶透過本機雲端託管來採用 IoT 安全服務。區域性醫療 IoT 安全服務可用性可確保能符合如 GDPR 等當地數據存放和本地化要求。
醫療 IoT 安全提供可採取行動的指南
隨著醫療產業自行轉型來為病患提供更好的服務,連線的醫療裝置將會持續成長。以零信任架構為基礎的醫療 IoT 安全提供可採取行動的指南來保護其完整的生命週期,使整個產業能以更安全的方式使用連網的臨床裝置。醫療 IoT 安全提供可視性、風險和行動,使醫療系統能針對所有連網的醫療裝置和應用程式實施零信任政策。