医疗设备的社会疏远等效物
世界上最针对性的行业,医疗机构的组织 - 包括医院,诊所,药房和医疗设备的经销商 - 比以往任何时候都更有风险。自2020年初以来,报告网络攻击已经翻了两番根据FBI的说法。
即使攻击不是直接针对相连的医疗设备,恶意代码也可能通过医院的内部网络传播,感染用于诊断和治疗患者的设备,如静脉输液泵、患者监测器、呼吸机和x光机。
美国医院协会(American Hospital Association)网络安全和风险高级顾问约翰·里吉(John Riggi)说在最近的一篇文章中说“最坏的情况是,救生医疗设备可能无法操作。”
医院的最佳方式,以防止网络攻击和保障措施医疗互联网(IOMT)来自感染的设备是通过分离或几乎偏移,彼此的最脆弱和临界设备,称为网络分割。
以下是一些实用的步骤医院可以采取措施分割他们的临床网络,减少攻击表面和来自网络攻击患者的患者。
定义谁负责
传统上,医疗设备安全一直是生物医学工程设备专家的责任。然而,随着IOMT设备的普遍性以及医疗保健有针对性的网络攻击,医院IT团队必须在医疗器械安全方面发挥更积极的作用。因此,医疗组织需要在IT和生物医学团队之间仔细对准,为临床网络设计和执行安全有效的安全政策。
保护医疗器械和对齐IT和生物医学团队对IOMT网络安全政策的一个最终决策者的需求产生了趋势。一些较大的机构已经消失,甚至创造医疗设备安全官员对医院整个临床网络的医疗器械安全直接责任的作用。
创建可靠的设备库存
这是不可能的配置网络分割策略没有医院联网医疗设备的最新清单、每个设备的概况以及对通信和使用模式的深入了解。
自动化库存工具还必须能够了解具有IOMT设备行为,设备临界和医疗设备漏洞的设备的正在进行的库存和分析。
评估每个设备的相对风险
风险评分应根据设备的临界性和医疗影响来计算。风险评估应该是持续的,持续地监测网络的异常行为。为了评估风险,必须考虑以下因素:
- 与正常设备功能所需的外部服务器(例如供应商通信)进行通信。
- 如果设备存储并发送电子保护的健康信息(EPHI):设备是否需要存储和发送EPHI,以及用于什么目的?
- 设备利用模式。
- 设备是否运行不支持的操作系统或有任何已知的漏洞?如果有,补丁可用吗?分割是保护设备安全的唯一方法吗?
检查行业指南和法规
如果医院不遵守联邦和州的监管标准,将面临数百万美元的罚款。撇开财政损失不谈,不遵守网络安全准则将医疗设备置于风险之中,并可能危及患者安全、商业诚信和医院声誉。
涉及医疗保健和医疗设备的指导方针和法规定期更新。为了保持合规,医院必须密切关注州和联邦机构发布的监管标准和更新,包括:
- 食品和药物管理局
- 医疗设备信息共享和分析倡议
- 的健康保险便携性和问责法
设计,验证和强制执行分割策略
分割策略应该到位,以减少攻击面和停止潜在的威胁。网络分割还可以通过限制指定区域的流量和减少网络负载来帮助网络更顺利地运行。
然而,在临床网络上执行任何分割政策之前,它应该进行安全性和有效性测试。医院安全团队在在实时网络上执行分割政策之前,应始终验证这些政策,以确保医疗服务和临床操作的连续性。临床网络细分是医疗行业诚信的支柱。只要医院对设备发现、风险评估和预防行动保持纪律和一致的方法,网络细分就可以确保关键医疗设备的安全性,提高临床网络容量,避免网络过载,并确保患者安全。尽快开始网络细分项目将有助于加强医疗保健行业抵御当前和未来的网络威胁,保护患者和业务诚信,并帮助为不可预见的危机到来做好准备。
所有IoT Agenda网络贡献者都对其帖子的内容和准确性负责。意见是作者的,不一定传达物联网议程的想法。