物联网(IoT)增强了所有市场和行业的互联性,进而为客户带来了各种各样的新服务,也为服务提供商带来了新的业务模型。医疗物联网(IoMT),又称作“互联医疗设备”,不仅加速了医学进步,还让人们能够以更加人性化的方式进行健康护理和康复。数据让我们能够改善治疗方法,同时为精确医学铺平道路,而更好的互联性有助于实现更及时的护理,经简化的工作流程则有助于提高医疗保健机构的运营效率。
物联网技术已经变得至关重要,进而正在成为医疗保健行业的主流。不过,在设备连接到您的网络之后,谁来负责IoMT的安全和隐私?
IoMT的价值和市场规模
Frost&Sullivan在2019年4月披露的研究结果显示,预计到2023年,医疗保健安全市场将实现大幅增长,市场价值将达到87亿美元。这种增长很大程度上是受新的购买和部署的推动,同时医疗保健组织则会采用IoT、数字医疗、云托管和人工智能/增强智能等新兴技术。不过,这些技术也大幅增加了患者数据保护方面的复杂性。
医疗设备的使用为医学实践带来了诸多积极价值。它们在诊断及疾病预防和治疗中发挥着重要作用。没有医疗设备的协助,医生可能无法在医疗保健机构实施适当的治疗。这些设备可在减轻甚至消除症状方面发挥出巨大作用,并且有助于将癌症、慢性阻塞性肺疾病(COPD)、哮喘、1型糖尿病等潜在的致命疾病转变为可控的慢性疾病。
它们也可以用作临时解决方案。举例来说,心肺辅助设备、肾透析设备等可以让急需器官移植的患者存活足够长的时间来接受移植。随着多个科学学科(包括生物医学工程、生物材料研究和细胞生物学等)在医疗设备设计方面的各自进步与优势互补,医疗设备对于那些没有治愈办法的情况,在改善甚至是挽救患者生命方面的能力将会持续增长。
IoMT涵盖了多种不同设备,按照FDA、欧盟委员会和加拿大卫生部等大型监管机构的标准,这些设备可以基于产品类型的感知风险分为三大类别。每类设备的审批周期都遵循不同的路线。这些类别如下所述:
1.I 类或非侵入性设备:具有低至中度风险。该类别包括灌肠套件、弹性绷带、手动听诊器和便盆。
2.II 类或侵入性设备:具有中度至高风险,例如针灸针、输液泵、空气净化器、手术单和验孕棒等。
3.III 类或有源设备:通常被植入到患者体内以用于维持患者生命,或者用于呈现潜在不合理的疾病或受伤风险。
除了复杂的医疗设备研发之外,医疗设备制造商还要承担许多其他任务,包括用户界面、验证和确认以及完整的生命周期服务。他们需要担心如何缩短上市时间、降低产品成本、确保与医疗设备相关法规的合规性,以及提供端到端产品服务。他们需要与供应商、分销商、客户和合作伙伴开展合作,不断优化工作流程,同时在不影响质量的前提下设计出创新产品。若要开发出经过充分分析和研究的产品,进而实现这种技术优势,就需要简化流程。
互联医疗设备的易受攻击程度如何?
即使所有设备对病患的影响受到了密切监管,在过去几年中,该行业在应对潜在网络安全威胁所带来的风险方面依然一直处在落后状态。与其他计算机系统一样,医疗设备也很容易受到会影响其安全性和有效性的安全漏洞攻击。互联设备和遗留系统会令医院容易受到网络攻击,而且最近的数据表明:物联网医疗设备的激增,加上网络未分区、访问控制不足及遗留系统,为网络犯罪分子提供了广泛且易受攻击的攻击面。
Vectra的“2019年医疗保健热点报告”还揭示了导致此类攻击数量激增的一些关键因素,包括:
●不安全的遗留系统在整个行业中仍然存在
●24/7全天候运行的医疗机构所面临的主要挑战在于补丁修复停机
●医疗保健网络的设备人员比为3:1
●任何设备只要有IP地址,均可以连接到不安全的网络,而且容易受到攻击
Trend Micro的研究人员使用Shodan搜索引擎分析了接入互联网的医疗设备和系统,发现其中有许多设备和系统都可供公众查看。虽然许多设备和系统的正常运行都需要接入互联网,但如果医院和诊所的基础架构配置错误,则通常会导致设备和系统暴露在网络之中。实际上,Shodan的搜索结果表明,超过50万台设备使用已有10年之久的OpenSSH 4.3软件,这会令所有这些设备都处在危险之中。
IoMT安全风险是一个生死攸关的问题
减缓医疗设备的网络安全风险是一个生死攸关的问题。行业专家指出,任何互联的心脏医疗设备,比如智能起搏器与监护仪组合设备,都可能会遭到黑客入侵,进而危及病患生命。吗啡泵和胰岛素泵中也存在有类似的漏洞,攻击者可以通过远程操控注入过多剂量,进而杀死病患。
有记录曾遭受过攻击的医疗设备包括:血液气体分析仪、PACS系统和X射线机。其他容易遭受黑客入侵进而导致患者死亡的设备包括:植入型心律转复除颤器、血液制冷单元和CT扫描仪。那些仍在运行Windows XP和其他旧版操作系统的医疗设备也很容易成为攻击目标。
WhiteScope对起搏器设备进行的安全稽查发现了8,000多个漏洞,其中一些可能会危及生命,包括缺乏加密和身份验证、代码中存在简单漏洞、设计不良等等,这些都可能会令病患的生命遭受危险。单单是一个制造商的设备就有3,715个漏洞,而另一个制造商的设备有2,354个。在某个稽查实例中,研究人员发现,一些模型不需要医生对编程人员进行身份验证,而编程人员也不会对植入式起搏器进行身份验证,这意味着可进入到设备一定范围内的任何人都可以更改植入设备的设置。
研究人员指出:“任何一名起搏器编程人员都可以对来自同一制造商的任何起搏器进行重新编程。”
目前我们该如何提高IoMT安全?
医疗设备制造商
医疗设备制造商(MDM)需要保护自己在软件知识产权、关键资产、设计协议、密钥和固件上的大量投资,以防它们遭受逆向工程、黑客入侵以及设备被伪造或故意误配置所带来的潜在责任,甚至是在它们上市之前。
大多数软件开发团队都必须从一开始就集成安全性并采用DevSecOps方法,进而将应用和基础架构安全性纳入其中。我们需要实现安全防护的自动化,防止DevOps工作流变慢,同时选择适当的工具持续地将安全嵌入到整体设计和架构之中。实现这一点的基础在于变革DevOps文化,从设计流程的第一天开始便整合安全团队的工作。
FDA在2018年10月围绕医疗设备的安全性发布了针对医疗设备入市前法规的明确指南,确认了MDM的责任,将网络安全措施纳入到MDM医疗设备入市前的设计、开发和准备工作之中。该机构目前正在积极努力,以期在2019年底之前发布一套新法规。
医疗设备制造商应部署嵌入式软件保护工具,用以隐藏专有算法和密钥,包括加密密钥。一旦受到保护,便可将IoMT应用安全地部署在不受信任的主机上,以及移动设备等不利于安全的环境之中。通过这些技术、库和工具,MDM可以定制其关键数字资产的保护措施,这对于善于确保安全、想要部署最佳可再生软件安全解决方案的组织而言非常有用。
从设计上确保安全的方法能够通过高级数据、功能和控制流转换、反调试、白盒加密及主动完整性验证来提供应用保护功能。将这种安全技术与企业安全信息和事件管理(SIEM)解决方案相集成,便可在设备或软件受到影响之前获得威胁攻击活动预警。设备软件运行状况实时检查,以及所有安全数据和事件订阅源的关联和取证分析,有助于防范攻击并自动执行事件响应运行手册。
医疗保健服务交付组织
同样,医院等医疗保健服务交付组织(HDO)也需要对接入其网络的所有设备进行严格控制,而且仅允许部署经过补丁修复且受监控的设备。此类组织应使用支持AI的分析工具来注册每个设备的数字签名,这些分析工具可以识别每种设备类型和模型的行为,并在异常发生时及时识别异常,进而标记受影响的设备,确保做出正确决策。然后,可以根据医院的安全策略对受影响的设备进行隔离、停用或监控处理。
FDA已经发布了入市后指南,旨在管理在实验室、医院、诊所和其他护理机构中使用的有源医疗设备。在技术上允许的范围内,MDM应继续为其IoMT操作系统和应用(包括旧版本)提供尽可能多的安全补丁。我们建议医疗保健服务交付组织隔离不可修补的设备,并最大程度地减少往返于此类设备与网络其余部分的网络流量。
MITRE ATT&CK框架是可供HDO使用的一个很好的参考框架,它旨在评估、规划和响应与医疗设备相关的网络安全事件,并确保其对病患的有效性和安全性。可以说它是基于现实世界的观察结果而汇总的网络攻击对抗策略和技术知识库,全球范围内均可访问。
实施端到端安全控制
针对医疗物联网部署综合性的集成式端到端解决方案,对于专注于MDM和HDO的行业而言至关重要。这些解决方案应从医疗设备产品生命周期的第一天开始发挥作用,一直持续到此类设备提交审批、获得监管机构批准以及部署以供患者使用。
Salwa Rafee
IBM医疗保健与生命科学安全业务主管
Salwa是创新与颠覆医疗保健领域的一名领导者,在战略规划、电子医疗保健创新、咨询服务和复杂计划管理方面担任过20多年的领导岗位,致力于交付卓越的医疗保健服务。