医疗设备网络安全挑战

关键要点

医疗设备是医疗行业面临的最大网络安全挑战之一。最新的FBI通知显示，网络威胁行为者越来越多地针对老旧设备进行攻击。这些设备往往运行着未打补丁的过时软件，并缺乏足够的安全特性。

随着时间的推移，这些易受攻击的设备上识别出越来越多的漏洞，可能导致数据完整性和保密性受损，同时对操作功能造成干扰，影响患者安全。

对于行业领导者来说，许多列出的医疗设备安全风险可能并不陌生：硬件设计和软件管理漏洞、使用标准化或专业配置、缺失嵌入式安全特性以及无法升级这些特性的局限。

此外，一些设备使用自定义软件，需要特别的升级或打补丁程序，这进一步加剧了医疗环境中补丁的延迟问题。还需考虑复杂的生态系统，因为其中涉及大量设备。

“医疗设备的硬件通常会使用10到30年，但底层软件的生命周期由制造商规定，通常为几个月至每个设备的最大寿命，这给网络威胁行为者提供了发现和利用漏洞的时间。”这条警告提醒医疗机构注意。

FBI的主要关切集中在老旧设备及对过时软件的依赖上，因为这些设备缺乏制造商的支持、补丁或更新。因此，许多设备特别容易受到网络攻击。

网络威胁行为者可以轻松利用默认配置的设备以及那些在设计时没有考虑安全的设备。FBI指出，包括胰岛素泵在内的设备频繁成为攻击目标，敦促医疗提供者“积极保护医疗设备、识别漏洞并增强员工的报告意识”。

美国医院协会的网络安全和风险全国顾问约翰·里吉(JonRiggi)表示，这一警告重申了的必要性。这则法案被业界广泛赞誉，旨在确保医疗设备制造商对其产品实施更严格的网络安全要求，以应对长期以来对过时技术的依赖。

设备的漏洞对医院构成“显著的网络风险”。里吉在声明中提到，2017年，FBI报告称，北韩的WannaCry全球医疗机构勒索病毒攻击就是因医疗设备中存在漏洞而引发的。

，要求制造商“及时监测和识别市场后的漏洞，制定协调的漏洞披露计划，提供设备的终身网络安全支持，并提供设备中所有软件的清单”。

在等待拟议法案进展的同时，医疗机构应确保与医疗设备和技术供应商的商业协议增强网络安全要求。
在三月分享了医疗技术的。

FBI在其行业通知中列出的建议可以帮助提供者组织制定所需的政策和安全措施，更好地抵御这些常见风险。这些建议分别在终端保护、资产管理、身份和访问管理、员工培训以及漏洞管理等方面进行分类。