发布:1月29日2021年1月29日

如何建立医疗设备网络安全:原则和最佳实践

当涉及到您的医疗设备时,强大的网络安全是非常重要的:这些设备不仅是房屋敏感的患者数据,还可以连接到更广泛的系统,这意味着任何设备上的违规可能会损害您的整个组织。

更糟糕的是,黑客们知道这一点,他们抓住一切机会利用医疗设备的漏洞。根据Black Book Market Research的《2020年医疗网络安全行业状况》报告的调查,估计超过1,500个医疗保健提供者2021年容易受到500多个数据泄露记录的影响,比2020年增加了300%。这意味着入侵事件预计会增加两倍75%的医疗保健提供者不觉得为来了什么。

以下是如何建立你的医疗设备网络安全,这样你就不会成为这些统计数据中的一员。

网络安全在2021年

医疗器械网络安全:安全性并未跟上黑客或推进设备技术

今天的医疗设备和软件应用程序比以往任何时候都更先进,技术互联。正如BSI解释的那样,他说:“过去不联网和孤立的设备,现在变成了具有双向通信、远程访问、无线连接和软件的完全联网设备。”此外,医疗保健领域的物联网(IoT)的引入允许医院企业系统/信息技术(IT)、临床工程(CE)和供应商通过远程连接进行更多的集成。

在很多意义上,这为远程监测和诊断等创造了新的机会,使病人护理更快、更安全、更方便。例如,植入心脏设备的患者可以被远程监控,这样他们就不必定期去看他们的心脏病专家。同样,糖尿病患者也可以通过血糖仪和胰岛素泵自主控制血糖。

然而,这种互联性也带来了新的、不断增加的网络安全风险。毕竟,这些医疗设备(以及它们储存的敏感数据)是通过有线或无线连接相互连接、与互联网以及更广泛的医院网络相连的——这种互联性使它们容易受到网络威胁。

当您还考虑有遗留技术,安全漏洞和设备管理不足时,这一问题甚至更加紧迫,所有这些都使医疗器械更容易发育巨大的安全差距。

好消息?如果监管机构,制造商和医疗保健组织了解如何有效管理和减少网络安全风险,则可以减少许多这些网络安全威胁和漏洞。以下是要遵循的一些最佳实践。

改善2021年医疗设备网络安全的最佳实践

滚球体育比滚球体育比分直播应计-博客文章-如何建立你的医疗设备网络安全:原则和最佳实践

1.记住网络安全是一个多层次的过程

网络安全保护并不只是落在医疗保健送货组织(HDOS)的肩上。相反,这是一种多管的努力需要从医疗设备制造商(MDMS)和医疗保健组织的合作。

一方面,制造商必须在生产过程中识别风险,并采取必要的步骤来缓解这些风险。同样,医疗保健组织必须一致地评估其网络安全性,并确保没有漏洞才会受到忽视。

只有当两个实体都完成他们的部分时,只有网络安全威胁得到有效避免。

2.让你的医疗设备制造商(MDMs)负责

谈到维护网络安全时,您的医疗设备制造商必须在建造这些设备时主动识别和降低风险。他们应该最少:

  • 了解在开发过程中(例如,在设计、实现和通过第三方软件组件)哪里可能引入漏洞,以及如何防止这些漏洞。
  • 提供保证设备网络安全的合同。
  • 提供安全安装。
  • 在整个资产生命周期内提供持续的网络安全支持。

对于不遵循当前网络安全最佳实践的设备也应该有一定程度的现场责任。

3.了解网络安全攻击者的目标是什么

如果您知道攻击者的目标是什么,您就知道您试图阻止什么,以及这些主动措施可能需要什么。攻击者主要针对医疗设备,以访问更广泛的医院网络和其中的敏感数据——他们之所以格外有动机是因为医院表明他们愿意支付获得他们的信息和系统。

但是,请记住,这些攻击并不总是以最明显的方式发生。有许多Go-to漏洞,攻击者积极地瞄准,因为他们是开发人员或医院可能忽视的东西。这些将是他们的第一次尝试的进入点。他们包括:

  • 不安全的固件更新:许多软件更新都是不正确的,使攻击者可以轻松利用漏洞。
  • 身体攻击:物理攻击,其中通过物理点安装恶意软件,可以通过端口,闪存驱动器和其他条目进行。
  • 滚球盘投注技巧制造支持左启用在制造过程中,制造滚球盘投注技巧商可以使用许多命令和功能来测试和校准设备。如果启用这些功能,攻击者可以很容易地找到命令并获得功能访问权。
  • 沟通点:连接设备的东西,比如蓝牙低能耗(BLE),本质上是不安全的——与这些系统中的一个不安全的配对可能会使您的设备暴露于漏洞。必须预先检查这些配对,以确认设备配对到正确的位置,没有安全风险。
  • 个人设备:在Covid-19之后,许多医生和医疗专业人员正在远程工作 - 大多数医疗组织都没有采取必要的步骤来保护个人设备或培训员工的安全措施。更重要的是,所有临床医院员工的40%声称在2020年没有收到网络安全培训,这只能让事情变得更糟。

4.了解攻击可能看起来像什么

滚球体育比滚球体育比分直播应计-博客文章-如何建立你的医疗设备网络安全:原则和最佳实践

您的员工和系统可能面临多种主动威胁。这些包括:

  • Crypto赎金软件攻击:近年来Crypto Ransomware攻击的急剧增加,犯罪分子使用恶意软件来加密重要信息(如患者数据或甚至登录到系统),然后要求付款以恢复该信息或恢复操作。这些攻击已经开始发生世界各地,他们使新闻是如此广泛传播和高成本的医疗保健提供者。
  • SQL注射:在此类攻击期间,黑客使用恶意代码来攻击数据库的后端并获得对敏感信息的访问。
  • 欺骗/冒充:在欺骗攻击期间,黑客把握硬件或软件认为请求来自合法来源,以便他们可以进入。
  • 网络钓鱼:网络钓鱼攻击使用虚假电子邮件或网站,鼓励人们点击,从而让攻击者获取他们的信息。
  • 拒绝服务(DOS)攻击:拒绝服务攻击,因为姓名建议,使操作系统,硬盘或应用程序不可用。这里的目标是防止合法用户进入,从而扰乱运营和成本化的企业资金。
  • 物理破坏:对设备和组件的物理破坏可能是网络攻击的一部分。
  • 知识产权威胁:这有望在2021年上升,攻击者之后有价值的知识产权如Covid-19研究。

5.了解谁是攻击者

网络安全威胁可以来自各种不同的来源。了解每个来源的可能性,动机,技术能力和资源非常重要:365bet体育在线滚球首页

  • 的“黑客活动分子”:这些是寻求令人兴奋的攻击者,可以追求你的软件以获得乐趣,换钱或考虑具体的计划。“Hacktivists”的问题是,他们使用的工具更复杂和易于使用,这意味着他们可以尝试黑客攻击而没有强大的技术背景。
  • 犯罪集团:有组织的犯罪集团通过网络钓鱼、间谍软件、恶意软件或垃圾邮件攻击医疗保健设备,进行货币游戏。的目标?从事身份盗窃、敲诈勒索组织、出售进入网络系统的权限或从事工业间谍活动。
  • 在黑客内:员工可以轻松(并且通常不知不觉)引入恶意软件或访问敏感信息 - 通常用于个人收益,或者如果他们是不满的。
  • 单个网络素,垃圾邮件发送者或恶意软件作者:所有这些人都可以攻击您的系统或诀窍员工进行货币收益。
  • 工业间谍:行业中的攻击者可能会通过黑客或恶意软件来获得智力知识。
  • 机器人:黑客通常可以使用机器人网络来控制多个系统并立即执行多次攻击。这些攻击通常会采取拒绝服务攻击或网络钓鱼的形式。

在很多情况下,这些攻击者只追求一样东西:钱。攻击医疗保健系统可以得到很多钱。这就是为什么医院一直自从电子健康记录出现以来,就一直是网络攻击的目标。这在大流行期间才变得更加普遍。路透社报告总体上的赎金软件攻击是50%2020年的过去几个月更高,近两倍于2020年第三季度影响的医疗保健组织的数量比上一季度。攻击者从这些袭击中获得了数百万美元,所有人都说你应该在未来为这种类型的威胁做好准备。

滚球体育比滚球体育比分直播accruent可以帮助

滚球体育比滚球体育比分直播accruent医疗计算机维护管理系统(CMMS)可以帮助您的组织确定和解决任何医疗设备和安全风险。为了缓解网络安全风险,正确的CMMS系统将:

  • 分析和报告所有医疗设备,网络数据和软件。
  • 调和MDS2数据和其他安全属性免于清单。
  • 当发现潜在的安全风险或缺口时,自动执行您的组织特有的工作流。
  • 与网络监控工具集成。

这些功能最终可以帮助您识别安全差距,自动化缓解步骤,并在发生时跟踪这些修复。

当涉及到CMMS如何简化您的操作和最大化您的安全性时,这只是冰山一角。

安排演示实时查看医疗保健CMMS如何使您的组织受益。