网络攻击在医疗保健行业越来越常见。随着联网医疗设备数量的增加,这些设备的制造商也迫切需要了解和减轻对设备安全的威胁。
在一个日益互联和数字化的世界里,越来越多的医疗设备包含嵌入式计算机系统,这些系统可能容易受到安全漏洞的影响,从而影响这些设备的运作。2019年3月,美国食品和药物管理局(FDA)就影响数十种植入式心律转复除颤器的两个安全漏洞发出警告。
这种警告强调了在设备开发中采用具有网络安全意识的方法的重要性。
网络攻击可以通过将恶意软件引入设备或未经授权访问配置设置和数据来启动--不仅在设备本身,而且在它们所连接的医院或其他网络。
对联网的医疗设备及其收集和传输的数据的攻击可能会造成巨大的损失。病人的安全是一个重要的问题,特别是像除颤器和胰岛素泵这样的设备,如果发生故障,可能会造成病人伤害或死亡。
对联网设备的数据进行黑客攻击,也可以揭示出有商业价值的信息,如:。
- 患者的健康数据,可以被出售,用于运行网络钓鱼计划,或与其他挖掘的数据相结合,以方便身份盗窃。
- 产品性能数据,可以出售给竞争对手或被操纵以破坏设备制造商的安全和功效声明
- 来自连接到同一网络的其他设备的数据,这可能对整个系统产生影响
判断攻击的风险
有许多因素导致了医疗设备领域的网络安全风险。这些因素包括。
- 使用现成的软件
- 物联网(IoT)的进步,模糊了公共和私人数据之间的界限,使健康信息更容易以电子方式共享。
- 可穿戴设备和家用医疗设备以及远程医疗服务的激增
- 没有规定医疗机构必须退出使用不再受制造商支持的设备
- 医疗设备制造商和实施这些设备的医疗服务机构之间的合作有限。
在过去的几年里,FDA一直强调需要加强医疗设备的网络安全。自从FDA在2014年发布其第一个上市前网络安全指南以来,该机构已经发布了另外两个指导文件。2016年,FDA发布了一份上市后指南,就制造商应如何应对上市设备的新网络安全威胁提供建议。2018年10月,FDA发布了一份更新的上市前指导草案,其中也包括一些上市后的建议。