为什么对IT和设备安全的投资往往“与实际的挑战不一致”

一位具有丰富医疗保健专业知识的安全专业人士提供了他对医疗设备补丁的看法,并预测了2022年的网络安全趋势。
通过 比尔Siwicki
11:23我

迈克·默里,范围安全公司的创始人兼首席执行官

照片:安全范围

Mike Murray是Scope Security的创始人兼首席执行官。Murray之前是GE医疗的安全主管,他创立了Scope,专注于保护医疗设备和网络。他在HIMSS21上就这个问题发表了讲话,还在最近的DefCon黑客活动上与FDA组织了一个小组,讨论有争议的医疗设备补丁问题。

欧宝娱乐是黑平台最近与Murray讨论了医疗安全环境——尤其是医疗设备安全——以及2022年网络安全面临的问题。

问:请描述一下你如何看待今天的医院和卫生系统IT环境,特别是在计算机和医疗设备的安全方面。

一个。传统的面向it的企业(例如,银行、支付者、初创企业)有一个单一的技术环境。他们所有的系统都是执行传统IT功能的通用多用途计算机。

然而,当医院或卫生系统必须像其他业务一样管理传统IT环境时,他们面临另外两个环境的额外困难:提供护理所涉及的临床技术和现代电子卫生记录系统及其相关技术。每一种都为现代医疗保健提供者组织提出了其独特的安全挑战。

医院拥有与其他垂直公司相同的传统IT技术(例如,笔记本电脑、交换机、路由器、服务器等),并且保护这些资产的方式与其他地方类似。但Scope的研究表明,在给定的收入水平下,医疗保健机构的安保人员大约是传统金融服务机构的10倍。

所以,如果你有一个安全工具,每周发送100个警报,医院的团队在第十次警报时就会不堪重负。

临床技术——医疗设备和提供护理所涉及的所有技术——面临着众所周知的挑战。法规和制造商合同限制了在这些设备上部署it风格安全控制的能力。

而且这些设备的使用寿命很长(在某些情况下可达25年),这导致了大量的旧设备(目前使用的设备中,超过75%使用的是Windows XP和Windows 7等操作系统,而这些操作系统不再接受补丁)。没有任何法规要求这些设备容易受到传统安全技术的监控,这使得它们成为黑客在医疗保健环境中进行侦察和逃避检测的肥沃目标。

第三种环境包括医院所依赖的大型电子病历系统以及使用这些系统所涉及的所有基础设施(例如,患者门户、界面引擎等)。这些技术持有医院的关键信息资产,并且由于缺乏监管,不发布关于漏洞或如何检测针对它们的攻击的信息。因此,大多数现代安全产品没有办法了解如何保护这些系统。

这些挑战在医疗保健环境中是独特的,并造成了我们在现代医院和护理提供环境中看到的安全问题的逆风。

问:你认为医疗保健没有投入足够的资金来保障医疗设备和电脑的安全。在你看来,这里的问题是什么?如何解决这个问题?

一个。这并不是说医疗保健在安全方面投资不足:考虑到医疗保健服务的利润率和预算,该行业在力所能及的范围内进行了支出。不幸的是,这种支出与实际挑战不一致。

当我观察一个健康系统网络时,超过50%的设备要么是临床技术,要么与电子病历的存储和移动有关。然而,几乎100%的安全支出都花在了IT系统和基础设施上。

不幸的是,这不是卫生系统的错。即使他们想要调整开支以更好地保护临床和电子病历系统,他们从一开始就受到只关注IT系统而忽略所有医疗基础设施的通才安全解决方案的阻碍。这使得他们一半以上的基础设施不受保护,因为安全行业根本没有建设来解决他们的问题。

简单地说,在过去的几年里,领先的电子hr供应商已经发布了大量的安全补丁和升级。由于这些供应商没有与安全社区合作(安全社区也没有关注它们),大多数安全产品对这些供应商产品中的漏洞和安全补丁一无所知。

这意味着,如果攻击者攻击你的Epic、Cerner等系统,市场上的任何主要安全厂商都无法检测和阻止这些攻击。

情况不会好转的。最近,我与一家大型安全厂商的一位领导交谈,当我问及他们未来对医疗技术遭受攻击的报道计划时,他的回答是:“迈克,我没有时间和资源去把Windows弄对。我们永远也找不到通用电气(GE)、菲利普斯(Phillips)、Epic和Cerner。”

这是安全领域的一个古老的cliché你无法阻止你看不到的攻击。当他们的安全控制覆盖了网络中不到一半的系统时,医院安全团队就像一只手被绑在背后战斗。

医疗行业的首席信息官和首席信息官应该如何解决医疗设备补丁这个大问题?

一个。与我交谈过的每个人的简短回答都是:它们不是。我们可以一直谈论贴片和FDA监管的挑战,但我不相信我们能通过贴片解决问题。

其中一个主要原因是我之前引用的统计数据,今天使用的医疗设备中超过75%使用的是过时的操作系统(例如,Windows XP, Windows 7,供应商不再打补丁——即使你是一个医疗设备制造商,想要负责任并为所有东西打补丁,而且通常你无法给微软的产品打补丁,除非微软给你补丁。

这导致医院和卫生系统要么冒险使用这些设备,限制它们的功能或可用性,要么承担难以置信的巨额资本支出来替换这些设备。

有一个更好的办法。一个强大的安全监控程序专门设计来了解如何监控这些设备,可以延长使用寿命,同时保持风险,即使在没有补丁的情况下。使用此工具套件来保护75%无法打补丁的医疗设备,以补充补丁。一个有效的监控程序还可以减少在数千台设备上应用补丁的紧迫性,这也可以让生物医学团队感到高兴。

打个比方,假设你有一扇门你锁不上。今天,大多数卫生系统安全解决方案要么拆除和重建房屋,要么用混凝土将房门锁住。我的意思是,在那扇门上安装一个强大的防盗警报系统,可以让你在一个可接受的风险水平上生活,而不是更换整个房子。

问:2022年最重要的医疗网络安全问题是什么?

一个。医疗安全领域的共同主题是缺乏全系统的可见性,这使得医院成为各种攻击者藏身的完美场所,无论是勒索软件、窃取数据和病人记录,还是其他任何攻击。

勒索软件一直是讨论最多的威胁,但这通常是因为勒索软件是极少数能自我检测的攻击模式之一。你只需要在攻击者关闭你的系统并宣布自己的身份时支付赎金。

虽然建立一个安全策略来阻止和阻止勒索软件很重要,但更可怕的攻击是那些永远保持沉默的攻击。医疗保健行业的安全领导者需要专门的工具来检测隐藏在EHR系统或传统医疗设备中的所有隐形攻击者,因为他们窃取了患者数据和其他重要信息资产。如果他们在这方面做得很好,他们将在过程中检测到勒索软件攻击者。

虽然医院勒索软件在过去一年中占据了新闻头条,但医疗IT行业的领导者应该避免只关注这些攻击。隧道视野导致依赖于特定攻击模式的安全策略。一个强大的检测和响应程序,旨在及早且经常地检测所有攻击者,这才是真正的目标。

Twitter:@SiwickiHealthIT
电子邮件作者:bsiwicki@himss.org
欧宝娱乐是黑平台医疗保健IT新闻是HIMSS媒体出版物。

想知道更多这样的故事吗?从医疗保健IT新闻获取每日新闻更新。欧宝娱乐是黑平台
您的订阅已保存。
发生了一些错误。请再试一次。
Baidu