尽管网络攻击在针对性很强的医疗保健领域持续增长,但物联网医疗设备仍然在不受支持的操作系统上运行且未打补丁。
医疗物联网安全之
护士呼叫系统
以护士呼叫系统为例,该系统允许患者在需要帮助时与护士沟通。安全专家 Armis 监控全球超过 30 亿资产,报告称 48% 的护士呼叫系统存在未修补的常见漏洞和暴露 (CVE)。略多于三分之一 (39%) 的 CVE 严重程度非常严重,Armis 通过分析其平台上的互联医疗和物联网设备获得了这一见解。
Armis 表示,这种程度的漏洞使得护士呼叫系统成为“风险最高”的医疗物联网 (IoT) 设备。在 Armis 分析的所有互联医疗和物联网设备中,高风险系统在未修补的严重严重 CVE 中所占比例最大。
用于以机械或电力方式向患者提供液体的输液泵是第二大风险的物联网医疗设备,其中近三分之一 (30%) 的 CVE 未打补丁。此外,其中 27% 的设备带有未修补的严重严重性 CVE。
就药物分配系统而言,86% 的系统存在未修补的 CVE,其中 4% 的严重程度非常严重。其中不到三分之一 (32%) 的设备运行不再受支持的 Microsoft Windows 版本。Armis 表示,总共有 19% 的医疗物联网设备运行在不受支持的操作系统版本上。
Armis 在临床环境中监控的 IP 摄像机中,超过一半 (59%) 具有未修补的 CVE,其中 56% 的严重程度非常严重。
打印机是临床场所中第二危险的物联网设备,37% 的打印机带有未修补的 CVE,其中 30% 的严重程度非常严重。
IP 语音设备位居第三,其中 53% 的设备具有未打补丁的 CVE,但只有 2% 的设备严重程度严重。
Armis 医疗保健首席解决方案架构师 Mohammad Waqas 表示:“技术进步对于提高医疗服务的速度和质量至关重要,因为该行业面临医疗服务提供者短缺的挑战,但随着医疗服务互联程度的不断提高,攻击面也随之扩大。” 。
“通过全面的可见性和持续的情境监控来保护各种类型的连接设备、医疗、物联网,甚至是建筑管理系统,是确保患者安全的关键要素。”
医疗保健行业
越来越依赖物联网设备
随着医疗保健行业继续面临新的网络安全风险,未受保护的设备普遍存在。Armis 援引其情报平台的 数据称,2023年 1 月至 3 月,该行业的威胁活动较上一季度增长了 31% 。
其他证据表明医疗保健行业越来越依赖物联网设备。Juniper Research 2022 年的一项 研究估计,到 2026 年,全球智能医院将部署 740 万台医疗物联网设备,每家医院平均运行超过 3,850 台联网设备。
预计到 2026 年,中国将处于领先地位,其智能医院将占物联网设备的 41%,其次是美国,占 21%。
新加坡扩大
网络安全标签计划
由于医疗保健是勒索软件攻击的首要目标之一 ,新加坡等国家一直致力于增强其关键信息基础设施行业的网络弹性。
去年十月,新加坡扩大了其网络安全标签计划,将医疗设备纳入其中,特别是那些处理敏感数据并可以与其他系统通信的设备。
该计划包括四个评级级别,每个级别都表示产品测试和评估的附加级别。例如,一级标签表明医疗器械已达到基线监管要求,目前与健康科学局批准的医疗器械注册要求保持一致。
新加坡网络安全局 (CSA) 还警告说,关键的物联网设备是勒索软件攻击的潜在目标,网络犯罪分子认识到这些设备的感染可能会导致重大的停机成本和损害。CSA 表示:“如果医疗保健等关键、时间敏感行业的组织 受到勒索软件感染,可能会造成严重的、危及生命的后果。”
如何学习信息安全数据合规?一起了解注册信息隐私管理师IAPP CIPM!
注册信息隐私管理师CIPM
基本概念:
CIPM则主要满足隐私项目生命周期内风险管理、隐私运行、审计与追责、隐私分析等方面的需求。
学习内容:
Developing a Privacy Program开发隐私项目
Privacy Program Framework隐私计划框架
Privacy Operational Lifecycle: Assess隐私操作生命周期:评估
Privacy Operational Lifecycle: Protect隐私操作生命周期:保护
Privacy Operational Lifecycle: Sustain隐私操作生命周期:维持
Privacy Operational Lifecycle: Respond隐私操作生命周期:响应
适用群体:
主要适用于风险管理、隐私操作、审计、隐私分析、职责划分等相关的从业人员。
由于中国考生人数逐年增加,CIPM在2022年7月起增加了中文考试的选项。
在线客服
微信
