负责保护医疗物联网(IoMT)设备和器材的医疗CSO和安全团队将发现他们比在其他行业工作的安全同行面临更多的挑战。了解这一点的原因,然后制定专门针对网络连接医疗设备的策略,是降低风险的关键。
当涉及到识别、分类、优先处理、补救和缓解问题的设备漏洞管理步骤时,物联网医疗设备在每个阶段都会带来更多的重大障碍。工业或商业实施通常在其环境中使用许多相同的物联网传感器或设备,而典型的物联网技术环境包括更广泛的、异质的技术组合(这种组合几乎总是包括传统的解决方案)。
简单地扫描设备来识别问题并不是一种选择。许多传统的IoMT设备不能容忍扫描,会崩溃。分类和优先级也更具挑战性,因为IoMT设备制造商平均每月发布2000-3000个漏洞。一个好的制造商只对其50个漏洞中的1个进行修补。
知道哪些漏洞需要防御
虽然安全团队可能会因为要跟上数以千计的公认漏洞而发疯,但好消息是,大多数已知的问题都是不可利用的。漏洞分析表明,在一个特定的IoMT环境中,90%的漏洞并不是真正的风险。
而且,漏洞风险在很大程度上取决于环境的具体情况。这意味着团队需要在每个环境的基础上进行漏洞分析。风险取决于物联网设备的连接方式、连接内容、其附近的设备生态系统以及使用方式。出于需要,攻击者会根据这些环境因素以不同的方式处理同一漏洞。将安全工作集中在这些关键战场上是一个有价值的最佳做法,但往往被忽视。
医疗安全团队还必须从攻击链的角度考虑漏洞。并非所有的IoMT目标本身就是风险:许多组件设备没有数据可以窃取,也没有对病人健康的直接影响。然而,对这些设备的攻击可能为访问服务器或更广泛的医疗系统提供一个启动平台。
IoMT设备流失率高
医疗机构对安全的重视程度不一,有的机构CSO是关键的决策者,有的机构在没有任何咨询的情况下实施解决方案,让安全团队追赶。虽然具有安全至上心态的企业在各个行业都会产生问题,但医疗机构特别容易受到影响,因为他们往往拥有大量的物联网库存,并且每年有15%的设备会被更换。当这些团队必须持续解决无数新设备的缓解问题时,物联网的必要倾向要求安全领导接受其他行业不接受的挑战,这就变得更加困难了,因为这些设备往往是在没有警告的情况下出现的。
物联网安全决策需要更全面的投入
物联网安全的利害关系超出了数据泄露和不遵守法规的传统风险。安全团队专注于防止网络威胁造成的任何灾难性损害,包括对病人护理操作的干扰。由于网络或设备问题造成的故障或设备可用性的中断,可能是一个病人安全的风险。这种责任在其他物联网安全领域是无可比拟的。
医疗机构必须参与由其安全领导和临床医生参加的全面讨论,以评估各种因素的平衡,包括高风险设备可能为患者提供的价值。这些讨论可能会导致该组织承诺采用更多的风险选项,并将安全团队置于更艰难的位置,因为设备的好处超过了风险。例如,拯救生命的ECMO机器,在大流行期间是必不可少的,代表了一种组织绝对不会放弃的技术,无论他们的安全姿态如何。同样,新生儿重症监护室的摄像头通常也很容易受到安全问题的影响,但却提供了必要的服务,使新生儿父母能够看到他们的婴儿。面对这些物联网特有的挑战,安全团队往往必须制定缓解策略,使高风险的设备或资产尽可能的低风险。
物联网技术需要好奇心强、善于合作的安全领导者
IoMT包括如此多细微的医疗设备,如此多的新兴安全技术,以及如此快速发展的威胁,要跟上这一切本身就是一个挑战。公民社会组织和安全领导人必须保持强烈的好奇心和兴趣,以了解新发展的影响,但他们不能指望单独建立所需的知识基础。相反,他们必须充当合作的促进者,从整个团队的专家那里吸收和传递知识。他们必须准备好说服其他利益相关者相信与强大的物联网安全相关的投资回报
