尽管设备制造商一直在努力提高其医疗设备的网络安全, 还有很长的路要走. 除了改进, IT信息安全部门可以采取不同的步骤来降低风险并改善医疗设备的网络安全.
近年来,医疗设备网络安全方面的一些显著改进包括:
1. 美国食品 & 药品监督管理局(FDA)指导制造商操作系统更新, 特别是修补漏洞, 不要求制造商重新通过整个FDA批准程序.
在过去, 医疗设备制造商经常声称,由于FDA的要求,他们无法更新或修补操作系统. 一些供应商有理由相信这一点, 而其他人可能把它作为一个方便的借口,以避免更新和测试医疗设备操作系统的艰苦工作.
2. 医疗设备制造商已经能够更好地允许反病毒(AV)软件在医疗设备或系统上运行.
以前,由于各种原因,许多医疗设备系统无法运行杀毒软件. 经常, 反病毒软件误解了医疗器械软件的动作,有时会中断设备的操作. 在某些情况下,这可能会对患者造成严重伤害. 设备制造商一直在努力确保他们的系统可以在不影响设备功能的情况下运行杀毒软件.
3. 较新的医疗设备使用现代操作系统,其中一些支持某些功能的虚拟化.
使用现代操作系统(例如.e., (仍然得到微软等制造商的支持)确保这些系统可以更新和打补丁, 特别是针对新的和正在出现的操作系统漏洞的更新. 除了, 由于能够将许多医疗设备的服务器功能转换为虚拟服务器功能,因此可以使用现代工具和技术来管理系统. 这些措施降低了网络安全风险.
虽然这些发展非常好, 它们无法解决在进行这些更改之前部署的医疗保健环境中的数百万现有设备. 在每一家医院和诊所, 有成千上万运行旧操作系统的设备无法打补丁,也无法使用反病毒或反恶意软件解决方案运行. 信息安全专业人员需要使用可靠的方法来处理这些设备.
1. 将医疗设备划分为vlan.
通过将所有医疗设备置于受限vlan中, 您可以确保只有您专门提供访问权限的设备才能通过网络进行通信. 然而,这并不能保护网络免受这些医疗设备的恶意控制, 它限制了这些设备的暴露.
2. 实现防火墙来保护其他方法无法保护的系统.
为这些设备设置防火墙是确保医疗设备安全的另一个重要方面. 当操作系统无法更新或打补丁时, 将它们置于防火墙之后,通过严格限制和明确的访问可以显著降低风险.
3. 让IT人员了解安全管理这些设备(网络和服务器)的重要性.
通常,IT人员负责管理和维护所有服务器, 包括那些医疗设备和系统,如病人监测, 或系统, 或者导管实验室系统. 现代系统通常支持虚拟化,因此更新和维护这些系统的任务通常落在IT人员身上. 这些员工了解这些系统的独特网络安全风险,并能够快速识别潜在的恶意活动,这一点至关重要. 另外, 这些工作人员需要清楚地了解服务器维护对临床操作的操作影响,以防止潜在的患者伤害.e.(在病例进行期间不要关闭手术室服务器).
4. 对你的生物医学和诊断成像人员进行网络安全教育, 尤其是在医疗设备方面.
您的生物医学设备技术人员(BMET)和诊断成像人员需要接受基本网络安全和他们支持的系统的特定漏洞的教育. 他们不需要成为网络安全专家, 但他们需要了解自己所做的工作,以及这些工作如何影响网络安全(以及受到网络安全的影响). 例如, 他们需要了解如何安全地将设备连接到网络或更新杀毒软件(如果允许的话)。, 或者限制对这些系统上的管理员帐户的访问. 与您的IT网络安全人员合作是对这一关键知识的两个团队进行交叉培训的好方法.
5. 教育您的最终用户了解网络安全的基础知识,并教他们在医疗设备上寻找潜在的警告信号.
医疗设备的最终用户通常是护士、患者护理技术人员和专业技术人员(如放射学技术人员)。. 这些人每天都要使用这些医疗设备, 他们应该意识到设备的基本网络安全风险以及处理这些设备的最佳实践. 也许最重要的是, 他们应该了解这些设备上潜在的恶意行为是什么样子的,并有一个快速的, 报告潜在问题的简单方法,以便网络安全专家可以检查和控制任何潜在的恶意活动.
Summary
医疗设备上的恶意软件会对患者造成伤害,包括死亡. 它还可以感染更广泛的网络,并可能使电子医疗记录(EMR)软件等关键系统或工资单或人力资源等业务系统瘫痪. 努力扩大你的网络安全团队,包括BMET, DI和终端用户员工将帮助降低医疗设备的网络风险.
