連網醫療設備目前正透過更快且更精確的診斷、較低的營運成本、透過自動化提升的效率以及整體病患成效的改善來加強病患體驗,因而徹底改變整個醫療產業。連網的臨床和營運IoT設備可應用在包括病患監控到辦公室系統在內的各種領域。不過,同樣的設備卻也會擴大攻擊範圍而淪為最脆弱的一環,並且會遭到攻擊者利用而滲透到醫院網路中。
在過去12年(2010-2022)中,醫療業相較於其他產業,一直以來都是最容易遭到入侵以及入侵損失平均成本最高的產業。連網的醫療設備是一種有利可圖的目標,因為攻擊者會利用勒索軟體來挾持醫院,或竊取病患位於設備中的敏感個人醫療資訊(PHI)等重要數據。
Palo Alto Networks Unit 42 威脅研究團隊的調查發現,醫療設備會因為本身的嚴重弱點而成為醫院網路中最脆弱的環節:
- 在本研究中,有75%的注射幫浦都至少存在一個弱點或曾發出至少一次的安全警示。
- 例如X光、核磁共振(MRI)和電腦斷層(CT)掃描儀等成像設備就特別容易受到攻擊,就以X光機來說,其中有51%會暴露在高嚴重性的一般弱點(CVE-2019-11687)中。
- 另外,有20%的一般成像設備會執行不受支援的Windows版本。
- 而有44%的CT掃描儀和31%的MRI機器會暴露在高嚴重性的CVE中。
然而上述的設備數量及其弱點還只是冰山一角而已。
這些現代化醫療設備也會因為以下原因而難以進行保護:
- 由於缺乏對於未受管理、已連網之醫療裝置的可視性,無法掌握實際的攻擊範圍。
- 因缺乏設備脈絡而看不見弱點,讓醫院暴露在未知的威脅當中。
- 傳統安全架構(具有扁平式網路且容易發生錯誤、手動制定安全政策的方式)會妨礙對於法規需求的合規性,例如健康保險可攜性和責任法案(HIPAA)。
- 在管理多個單一功能安全產品時會增加複雜度並產生安全漏洞。
醫療企業需要全面的零信任網路安全解決方案來支援他們的數位轉型過程、導向更理想的病患照護結果,同時可確保病患數據隱私權和法規合規性。零信任的網路安全策略可透過持續驗證數位互動的各個階段來消除隱藏式信任。零信任採取「永不信任,持續驗證」的原則,藉以保護現代數位醫療環境。該原則會採用最低存取控制權和政策,並透過持續信任驗證和設備行為監控來封鎖零時差攻擊。