根据《HIPAA杂志》的数据,2024年是有史以来医疗记录泄露最严重的一年,比2023年增加了9.96%。医疗行业在敏感数据持有的数量上仅次于金融行业。
因此,医疗设备制造商、其相关的医疗系统及相关合作伙伴需要了解其网络风险状况的有效性,并根据需要进行调整。
第三方提供商的安全保障是另一个网络安全考虑因素。去年英国国民保健服务(NHS)的第三方病理提供商Synnovis遭受网络攻击就是一个明显的例子。钓鱼邮件和未能使用多因素认证仍然是容易被利用的弱点,这在去年对UnitedHealth Group子公司Change Healthcare的网络攻击中得到了体现。尽管UnitedHealth是美国最大的健康保险公司,持有约1.9亿美国人的个人数据,但其环境中的一个门户缺乏MFA,导致数据泄露。
德勤的研究表明,到2025年,68%的医疗设备将实现连接。许多这些设备,如智能手表和可穿戴传感器,对于简化工作流程和改善患者结果非常有益。然而,这些创新的互联性也由于依赖无线通信和基于云的数据存储平台等因素而增加了患者数据的安全风险。
再加上全球即将出台的一系列网络安全法规,以及量子计算机通过网络攻击打破数据加密安全协议的潜在威胁,医疗设备和更广泛的医疗领域的网络安全似乎是一个无休止的追求,要求组织的安全态势和网络安全意识经常得到监控和重新评估。
当前医疗设备的网络安全理由
据网络安全公司Armis的医疗首席技术官Mohammad Waqas称,目前医疗设备网络安全的趋势集中在行动优先级和可操作性上。医疗设备公司开始思考其攻击面的其他方面,例如第三方风险或其运营生态系统中的风险。
Waqas解释说:“虽然医疗设备正在更多地进入可操作性和修复阶段,但其他攻击向量也进入了组织的视野。医疗设备公司认识到需要采取更加全面的方法,超越医疗设备本身。”
关于医疗设备安全的许多讨论正在“左移”,Waqas说,从医疗交付组织和提供者的角度来看,这些实体越来越希望在将设备连接到他们的网络之前,甚至在购买设备之前,了解设备的安全性。
Waqas表示,这种转变受到了欧盟人工智能法案等法规的影响,该法案旨在部分促进现代医疗设备的可信生态系统。因此,这些法规促使设备制造商从一开始就考虑网络安全,并相应地设计和制造设备。
法规对网络安全协议的影响
近年来出现的全球医疗设备法规,如欧盟的《医疗器械条例》,为医疗设备提供了一些可行的加固建议,不仅建立了安全控制的支持,还规定了能够修补这些设备的要求。
Waqas评论道:“我喜欢我们看到的这些法规的一个原因是,它们不仅在设备进入市场时考虑安全要求,还在之后发现漏洞时有规定。例如,现在有一种趋势是,如果发生事件,法规要求供应商必须介入,并有一个如何帮助维护其医疗设备安全态势的过程。”
在监管方面,还有来自欧盟的一波数字法规,其中医疗技术公司也在范围之内。
Taylor Wessing律师事务所的合伙人兼数据保护专家Christopher Jeffery指出,《数据法案》将于2025年9月生效,其中一项关键要求是用户必须能够访问上传到连接设备并由这些设备生成的数据,并且制造商必须获得用户的同意才能将其用于产品改进或训练AI模型等领域。
然而,Jeffery指出,虽然一些公司已经意识到《数据法案》,但它相对于AI监管的喧嚣来说,似乎仍在雷达之下。
至于涉及医疗设备网络安全的其他法规,NIS2指令已经生效,尽管在欧盟各国的实施情况参差不齐。
Jeffery解释说:“它对包括医疗设备、体外诊断设备和在公共紧急情况下至关重要的医疗设备在内的‘重要和关键部门’提出了通用的网络安全要求,包括供应链韧性和报告安全事件。”
医疗领域云数据的威胁缓解
Autolomous开发了支持细胞和基因治疗工作流程的基于云的平台Autolomate,并从一开始就构建了一系列安全弹性功能。该公司符合ISO27001标准,定期检查各种安全威胁,并有一系列自己的威胁缓解程序,Autolomous的CEO兼联合创始人Alexander Seyf说。
其中最重要的是公司的理念是理想情况下部署单点登录,以便客户可以管理自己的访问权限。使其所有平台环境均为单一租户,意味着只有该组织才能访问,从而增加了一层安全性。
这些因素意味着客户可以对谁拥有数据访问权限进行非常基本的权限设置,Autolomous的产品管理负责人Alexa Crăciunescu说,并确保他们在平台数据上有良好的职责分离。
除了这些平台设计原则外,Autolomous还使用分布式账本技术(DLT),这意味着系统内的一切都是不可变的。
Crăciunescu说:“从平台访问到权限的任何更改都是可审计的。每次记录时,我们都会追踪是谁在何时完成的,并且数据永远可用。”
Autolomous每六个月进行一次灾难恢复演练,以证明公司能够将系统恢复到已恢复的状态。
Crăciunescu说:“我们自己进行备份。我们有供应商的备份,客户可以选择他们希望数据备份的频率。”
医疗行业是否为“Q-Day”做好准备?
量子计算机的计算能力远远超过高性能经典计算机所能达到的水平。而且,性能更强的量子处理器不断涌现。例如,IBM于2024年11月发布的Quantum Heron声称比其前身快50倍,而其前身已经比经典计算机强大好几个数量级。
有人认为,量子计算机有一天可能会用来破解当前常用的RSA算法和椭圆曲线加密方法,这些方法用于保护数据。
为了应对所谓的“Q-Day”,美国国家标准与技术研究院(NIST)创建了后量子计算(PQC)标准,其中包括三种设计用于抵御量子计算机攻击的量子安全加密算法。NIST将在十年内逐步淘汰当前的密码标准,并用PQC标准取而代之。
目前,最积极考虑PQC的企业是那些向美国政府销售产品的公司,但PQShield的首席战略官Ben Packman预计,PQC的相关规则很快将开始渗透到医疗行业机构中。
尽管可能是医疗系统和医疗设备制造商在等待这些监管机构的通知后再制定其PQC路线图,但PQShield的观点是,既然标准已经存在,这些领域的参与者不必等待通知。
Packman说:“现在是医疗设备制造商规划实施PQC标准路线图的时候了,尤其是那些设计寿命长达五到十年或更长时间的嵌入式连接医疗设备制造商。医疗数据是世界上保护期限最长的数据之一,这意味着作为这些数据的潜在保管人,医疗设备制造商在未来几年应将更新到量子安全的网络安全视为关键优先事项。”
Packman还强调,采用PQC加密并不是简单的“一对一”替换。切换过程需要时间,并且需要不同的内存和功耗要求,这意味着设计团队需要重新评估其硬件以适应PQC,并且目前正在开发中且可能在2030年后投入使用的新型产品应该在设计时就考虑到PQC。
Packman指出,医疗系统面临的一个大问题是,在更新到PQC的同时还要解决其众所周知的广泛网络安全漏洞。
他说:“支离破碎的旧IT系统使医疗行业成为频繁攻击的目标,而安全性较差的医疗设备只会加剧这一问题。当医疗设备制造商寻求采用PQC时,这也是整个医疗系统更新旧系统并修补使数据易受攻击的广泛漏洞的机会。因此,现在迁移到PQC相比没有过渡计划的人具有明显竞争优势。”
在医疗设备技术化日益加快的时代,重复犯同样的网络安全错误似乎是一个反复出现的问题。
Rotherham NHS基金会信托基金的健康信息主管James Rawlinson最近对组织在Windows 10免费支持结束时(2025年10月)未准备好迁移到Windows 11表示了安全担忧,原因是大量过时的硬件。
ThreatAware的首席执行官Jon Abbott指出,一旦免费支持结束,运行Windows 10的设备将不再接收自动安全更新,使其更容易受到网络威胁。
Armis的Waqas呼吁回到网络安全的基础,加强防御的基本原则,比如在所有潜在脆弱的系统和应用程序上启用多因素认证。
大多数组织确实在采取主动措施来防范网络威胁并保持数据安全,通过密切观察其威胁态势以便在必要时进行调整。此外,设备制造商似乎也开始考虑其设备可能参与的系统的更广泛风险。
但在大型组织仍然因自上世纪90年代中期就存在的钓鱼攻击而被攻破的情况下,合理地问一句:当大型组织显然仍未掌握基本要领时,医疗行业及其从业者如何防御未来的更复杂网络威胁?
(全文结束)
