糖尿病患者最不愿意看到的事情就是，當藥物被泵入到體內時，胰島素泵卻被黑客攻擊了。不幸的是，目前醫療設備的安全性依然還是一個很大的問題。

去年，美國網絡安全和基礎設施安全局(CISA)發布的警告中與藥物泵有關的警告就超過了半數。例如，在百特國際和Becton Dickinson Alaris System公司生產的泵中發現的漏洞，黑客就可能利用它來發動DDoS攻擊，以此來改變系統配置或竊取患者的數據。

[[377436]]

安全形勢的判斷

網絡安全成為了聯邦藥品管理局的一個重要工作。2020年，FDA發布了一連串的警告，敦促醫療設備制造商和醫院針對一系列的含有漏洞的硬件進行修復，包括SweynTooth，URGENT/11，Ripple20和SigRed。

比如Ripple20是2020年6月發現的一組bug，該漏洞影響了5.3萬個醫療設備。根據Forescout的研究，這些漏洞可以讓攻擊者執行遠程代碼。

根據Ordr的數據，通過對500萬臺醫療物聯網(IoMT)設備進行了為期一年的分析，發現有86%的醫療軟件部署在內網的被召回的醫療設備上。被召回的IoMT設備可以認為是有漏洞的，或者是會造成安全風險的設備。

潛在的風險

專家警告說，醫療設備安全是一個長期的問題，現在又由于受到COVID的影響，這一形勢又變得更加的嚴峻。為了能夠拯救更多的生命，醫院必須要優先考慮設備預算和人員的配置， 這也就意味著網絡安全常常被放置于次要的地位。更加糟糕的是，黑客們也意識到了這一點，現在他們也在利用醫療機構薄弱的網絡安全措施，進行了大量的勒索軟件和釣魚攻擊。

Universal Health Services是2020年受到勒索軟件攻擊的幾個醫院之一，由于該機構受到了網絡犯罪分子的攻擊，對美國、波多黎各和英國的400多個設施造成了重大的影響。據長期工作在醫療領域的CISO Tom August介紹，這種針對醫療設備進行攻擊的問題不容忽視。

August說："如果這些設備中的一個被攻擊，那么造成的潛在的影響真的很大，但是被攻擊的可能性很小。也許你在我的電腦上安裝了勒索軟件，對于我來說這很糟糕。但如果你在病人連接的醫療設備上安裝惡意軟件，就會對人的生命造成巨大的危害。"

醫療設備安全的歷史

我們應該認識到，如何保證醫療設備的安全性在安全領域一直是一個很有挑戰性的問題，長期以來，醫療設備的安全管理是非常艱難的。也就是說，醫療設備往往存在補丁發布和更新機制不明確，設備配置錯誤等諸多問題(比如忘記更改默認密碼)。

醫療物聯網設備被召回在并運行在內部網絡中。 Tripwire產品管理和戰略副總裁Tim Erlin說："冠狀病毒并沒有在醫療設備上制造更多的漏洞，而是將已經存在的漏洞暴露了出來"。

該領域也面臨著一些特有的挑戰。例如，由于FDA對設備的配置有嚴格要求而且機構和供應商簽訂了合同，護理機構往往必須依靠辦事效率低下的供應商進行打補丁、升級和更換，這是一個十分緩慢的過程。

August說："醫療設備是醫院的一個盲點，在許多情況下，醫院不能管理設備 ，這項工作必須由供應商來做。我們不能給它們打補丁，因為供應商不允許。我們不能安裝反惡意軟件進行保護，因為供應商說這樣會違反保修的合同。"

解決方法

減少醫療設備的網絡安全風險可能特別困難，但有一些很好的實踐案例可以幫助到我們。

清查醫療設備是確保網絡安全的第一步。Ordr研究發現，51%的IT團隊不知道什么類型的設備已經連接到了他們的網絡中。

Ordr還發現Facebook和YouTube應用程序可以在MRI和Windows XP等系統上運行。

根據報告，"使用醫療設備進行上網可能會使機構面臨著更高的安全風險，很容易受到勒索軟件和其他惡意軟件的攻擊"。

同時，提出以下的評估物聯網設備的建議：評估設備暴露在互聯網上的情況，禁用設備上不必要的或未使用的服務，并按照設備的需求來劃分網絡。

本文翻譯自：https://threatpost.com/medical-device-security/163127/