导语:医疗设备可能是攻击者窃取有价值信息最简单的途径之一,从Trojan.Kwampirs到KRACK,从来都不乏针对医疗设备的恶意软件。
医疗设备可能是攻击者窃取有价值信息最简单的途径之一,从Trojan.Kwampirs到KRACK,从来都不乏针对医疗设备的恶意软件。
2018年4月23日,软件供应商赛门铁克公司报告称,其已经分析了来自网络犯罪团伙Orangeworm所使用的Kwampirs后门程序,发现39%的木马程序用在了医疗设备上,例如控制X射线和MRI机器等高科技成像设备软件的机器,以及用于帮助患者完成所需流程同意书的系统等。另一方面,KRACK则不会攻击设备,相反地,它会影响Wi-Fi WPA2协议,通过WPA/WPA2协议在实现上的缺陷,触发密钥的重安装,使中间人攻击者获得解密无线数据包的能力。
如今,社会已经进入万物互联的时代,医疗保健系统和设备也开始变得更为脆弱。据研究提供商KPMG所言,41%的公司正在转向改善治理和政策,而33%的企业则将设备安全外包给第三方服务机构。
对于那些负责管理内部医疗设备安全的人员,专家提供了以下建议:
1.提高整体安全性
如果你相信电视上看到的东西,那你应该知道针对医疗器械的攻击目标就是伤害病人。例如,《神探夏洛克》(Sherlock)和《国土安全》(Homeland)等剧都显示,患者会被受损的起搏器等设备伤害。KPMG网络实践合作伙伴Michael Ebert表示,
这些剧中所体现的攻击目的与现实生活还是存在一定差异,如今,大多数针对医疗设备制造商的攻击活动,其目的是窃取他们的技术,还不是直接伤害患者。
换句话说,设备黑客想要获取大多数黑客想要的东西:信息。根据Nowatkowski的说法,黑客在尝试获取这些信息的时候,甚至可能没有意识到自己正在破坏医疗设备。因为这些设备所运行的操作系统类似于普通计算机,因此攻击者可能认为自己只是在入侵计算机设备而不是医疗设备。
通过提高整体安全性可以限制来自设备黑客的侵害行为。此外,也可以针对医疗设备实施与传统计算机设备相同的最佳实践。例如,底特律Henry Ford健康系统首席移动设计师Ali Youssef就曾表示,
必须确保数据是加密的。设备软件应该支持EAP TLS身份验证和WPA2加密作为基准。此外,还要监控漏洞情况,一旦发现漏洞立即对其进行修补;制定并遵循成熟的修复计划,以确保系统和设备维持在最新状态。
2.隔离“特殊”患者
在攻击医疗设备时,黑客的目的通常是想要获取患者的个人身份信息(PII)。有些攻击者会想要尽可能多地获取患者PII,不管患者身份如何。但是,有些攻击者却旨在寻找特定人员的数据。这时候,身份信息更具价值的患者就要比普通患者面临更大的风险,尤其是政治家、商界领袖以及存在勒索风险的名人或富人等。
为了找到这些“特殊”患者的PII数据,黑客通常需要攻击多台设备。因为他们可能无法知晓这些信息存储在哪些设备上。换句话说,网络犯罪分子可能知道914病房中住着“特殊”患者,但却并不知道这间房中部署的是哪台IV或心脏监视设备。所以,他们会瞄准整个楼层的设备实施攻击活动。当然,将“特殊”患者隔离并不能保证他们的信息更安全,但是此举可以缩小攻击的范围,从而将可能的PII信息泄露限制在更少的人身上。
3.通过“不收集数据”来保护数据
DiPietro建议医院应该停止收集患者的社会安全号码(SSN)和其他PII数据。他表示,
通过删除敏感数据来更好地保护患者数据,例如,用非敏感的标识符来替换患者的SSN数据。
自2014年以来,保险报销就不再需要使用社保号码,那么为什么医院仍然要求获取这些数据呢?医疗设施还在收集哪些没有必要收集的个人信息?黑客无法通过医疗设备或任何其他方式来窃取您并不具备的数据。
不幸的是,想要完成这一操作可能需要多方的共同努力才能实现。据美国广播公司(ABC)新闻报道称,许多医院之所以要求获取患者的社会安全号码,只是因为他们的表格中有一处空格要求其填入这些信息。而关闭这项空格可能需要多个部门的支持。
医疗行业管理层也许并不会始终关注安全问题,但他们会关注HIPAA(健康保险流通与责任法案),因为按照规定,任何医疗机构或人身保险机构,无论是存储、处理或传输个人健康信息,都必须遵守HIPAA法案,并保障所有受保护数据的安全。这一因素可能会促进医疗机构通过最小化数据收集来增强数据安全性。
据悉,HIPAA 将以下信息定义为需要保密的信息:健康档案信息——治疗/随访文件、实验诊断结果、患者的预约就诊日期/时间、患者的治疗花费、影像学片子和报告、病史和查体信息、患者的个人信息。
实际上,患者的姓名、地址、生日、入院、出院、死亡日期,电话和传真号码,电子邮件地址、病历号、健康计划受益人、身份证号码、银行帐号、证书/许可证号、患者驾驶的车辆或其他驾驶牌照、网页网址、IP 地址、手指指纹或声纹信息、患者照片、病史及治疗信息,财务信息(保险,信用卡/借记卡号码)雇主信息、驾照号码、网络的用户ID和密码都可以是保密信息,在没有必要无关治疗的时候都需要保密不能泄露。
4.树立全员安全意识
负责查看IV机器的护士不一定要是网络安全专家,但是她必须要了解黑客攻击的手段并掌握基础的防御措施。具备一定的知识基础,不仅可以帮助他们识别威胁,在第一时间将设备问题反馈给IT人员,而且可以避免他们的行为在无意中为黑客攻击提供“切入口”。
DiPietro解释称,
如果黑客想要攻击x-ray设备,他们很可能并不会直接入侵操作系统或网络。相反地,他们可能会先去研究目标设备,了解其多久更新一次?操作者是谁?监控者是谁?他们会以x-ray设备供应商代表的身份致电医院,并试图套出目标设备的负责人员信息,而医院可能会不经意地透露给攻击者一个名字,然后攻击者就会利用社会工程手段获取目标人员的电子邮箱地址,再通过钓鱼邮件获取相关设备操作者的登录凭证,如此就可以轻易地破解目标网络。
根据KPMG发布的调查结果显示,38%的受访企业对信息安全领域的所有高级领导进行过安全培训;而34%的受访者为特定员工开展过网络应急响应演习。但是,所有那些没有接受过安全培训的员工仍然易受网络钓鱼攻击的威胁,成为攻击者入侵企业的薄弱环节,所以,组织全面的安全培训项目至关重要。
5.投资欺骗(deception)技术
安全公司Attivo Networks首席欺骗官(chief deception officer)Carolyn Crandall表示,
医疗保健IT团队需要各种工具来保护网络周边,同时帮助他们快速、有效且高效地检测并响应网络中的威胁。
这些工具当然要包括欺骗技术。Gartner曾将“欺骗技术”列入2017年“11大顶尖信息安全技术”。所谓“欺骗(Deception)技术”,顾名思义,这是一种用来摆脱攻击者的自动化工具,或为对抗攻击争取更多时间的一种欺骗手段。本质就是通过使用欺骗手段阻止或者摆脱攻击者的认知过程,扰乱攻击者的自动化工具,延迟攻击者的行为或者扰乱破坏计划。
例如,欺骗功能会制造假的漏洞、系统、分享和缓存,诱骗攻击者对其实施攻击,从而触发攻击告警,因为合法用户是不应该看到或者试图访问这些资源的。
Gartner预测,到2018年有10%的企业将采用欺骗工具和策略,参与到与黑客的对抗战争中。