医疗设备安全挑战

关键要点

• 随着医疗设备的数字化，医疗行业面临着日益增长的安全风险。
• 最新研究表明，医疗设备的风险评估仍需改进，尤其是在医疗影像设备和其他易受攻击的设备上。
• 医疗行业的设备与IT网络的连接使得患者安全面临更大隐患。

几乎所有行业，包括医疗行业，都面临着因互联网连接设备的扩展而增加的安全攻击面。在德克萨斯州桑霍斯顿堡的布鲁克陆军医疗中心，一名生物医学工程技术人员正在测试便携式X光机的电力。

在医疗保健领域，确保医疗设备生态系统的安全性面临广泛挑战。随着医疗行业不断推进数字化和互操作性，需对设备库存和连接有清晰的了解，以评估对患者安全的潜在风险，Forescout公司的研究副总裁ElisaCostante在接受SC媒体采访时指出：“了解网络上究竟有哪些设备，对于医疗保健安全领导者制定针对性的环境策略、采取降低风险的措施至关重要。”

Forescout的Vedere实验室最近发布的一份报告研究了所有行业设备的不断扩展，特别是在医疗设备安全的情况。在医疗行业中，如果医疗设备被攻击，可能会对医疗服务和患者安全产生显著影响。

尽管行业中最危险设备的排名没有显著变化，但报告确认几乎每个行业都因信息技术（IT）、物联网（IoT）和操作技术（OT）的快速发展而面临日益扩大的安全攻击面，医疗行业也独特地包括了医疗物联网（IoMT）设备。

设备风险评估

为了编写此报告，Vedere实验室的研究人员分析了Forescout的设备云中自1月1日至4月30日的数据，共涉及近1900万台设备。数据显示，医疗与零售行业的风险相对较低，仅有20%的设备被评估为中或高风险；而政府机构的风险比例为43%，金融行业为37%。在证明设备复杂性挑战的研究背景下，这一统计数据显得尤为突出。

然而，Costante指出，这一数据并不完全反映医疗设备的风险较低，反而是因为“能够获得此类信息的机会和对易受攻击设备的可见性仍然很少。”

这一声明相当引人注目，尤其在近年来多项报告和国会证词中，研究人员日益关注医疗设备的漏洞问题。

报告指出，由于医疗设备通常以默认配置运行且很多设备在生产商配置时开放默认端口或凭证，这使得这些设备易受到攻击，这在医疗保健领域尤其突出。

挑战与漏洞

除了长使用寿命、依赖数十年前的代码以及未修补设备等安全挑战外，Costante还补充道：“医疗设备的升级程序复杂，往往延误了补丁的发布。由于许多医疗设备运行的是专用的软件和固件，因此补丁安装的程序并不像传统计算机那样简便。不仅补丁的安装更具挑战性，甚至对影响第三方组件的漏洞是否有补丁也不一定有保障。”

与其他行业相比，在那些设备漏洞可能仅导致商业中断和数据泄露的情况下，医疗设备漏洞可能影响到患者。

WannaCry是一个典型的勒索软件攻击的例子，其初步影响已在健康系统的企业IT网络中显现，并“波及医疗设备，导致其无法使用。”2019年，一起针对阿拉巴马州医院的攻击干扰了胎儿监护设备，而对Elekta的网络攻击则使癌症患者多周无法接受治疗。

然而，研究者指出，在医疗保健领域，最危险的医疗设备排名并不如“反映医疗数字化趋势的重要性”来得重要，因医疗设备与IT网络相连，能够生成和交换患者数据与其他系统。

医疗影像设备的安全隐患

医疗保健面临的一个重要挑战是使用脆弱设备，尤其是那些与医疗影像相关的设备。此前的SC媒体独家报道曾调查过美国卫生部门在2019年ProPublica报告后未采取行动，并指出数百万医疗影像通过不安全的PictureArchiving and Communication Systems（PACS）暴露于网络。

据报道，美国继续使用PACS而未先关闭重大安全漏洞，而采用不安全PACS的同一医疗系统