RSAC 2022现场热议医疗设备安全:遗留技术是最大难题
图片来源:美国海军Flickr账号/CC BY 2.0
医疗设备基础设施复杂性和对传统技术的严重依赖,使得设备安全状态不断变化,很难找到解决方案;
高昂的价格使得医疗机构不可能仅因为“最新最好的安全功能”就下决心替换掉旧有设备;
美国国会和监管机构有望在降低医疗设备风险当中发挥关键作用。
业界正普遍达成共识,设备制造商、供应商及监管机构等角色正朝着正确方向推进改善医疗设备的安全性,但系统性挑战阻碍了这一进程。
在RSAC 2022现场,安全厂商Tenable运营技术安全副总裁Marty Edwards、医疗保险公司Humana业务信息安全官Ankit Patel以及健康信息共享与分析中心(Health-ISAC)首席安全官Errol Weiss,共同就医疗设备的安全现状和阻碍医疗保健行业安全提升的因素展开深入讨论。
Edwards表示,总体来看,医疗设备安全的延伸与教育工作仍有发展和改进的空间,但整个行业已经在为设备构建更多安全功能方面也取得了长足进步。
制造业社区的安全文化愈发向好。以往,研究人员在发现安全漏洞后,往往只能跟制造商的法律部门联系。Edwards提到,“过去制造商很少在官网上提供安全联络信息,只能通过法律部门回应相关漏洞披露。但现在,大多数制造商已经越来越成熟,开始朝着正确的方向靠拢。”
许多企业增设了首席产品安全官,专门负责管理产品安全问题。他补充道,虽然也有一些制造商做得还很不够,但“总体趋势正朝着积极的方向发展”。
Patel表示,“对于复杂的医疗设备或者物联网装置,我们部署的安全控制机制可能还不够全面……但至少过去五年来,行业已经取得了比以往多得多的进步。”
尽管在新设备保护方面表现积极,包括引入改进的身份验证机制等措施,但医疗设备基础设施的复杂性和对于传统技术的严重依赖,仍使得设备安全状态不断变化,很难找到解决方案。
医疗保健行业面临的最大安全问题:遗留技术
在Patel看来,真正的问题集中在遗留技术身上。例如,磁共振成像(MRI)设备和超声波设备的单台成本超过100万美元,高昂的价格使得医疗机构不可能仅因为“最新最好的安全功能”就下决心替换掉旧有设备。
新设备当然更加安全,但那些无处不在的传统设备和Windows XP系统也非常顽强。很多用户毫不犹豫地把这些设备接入网络,甚至认为“这有什么关系?哪来那么多人对医疗设备有想法?”
Weiss称,“在医疗保健行业中,我们发现有大量磁共振成像系统在互联网上直接开放。网络上的每一台设备,都可能成为恶意黑客的突破口和恶意软件的传播起点。”
他强调,“这就是问题就在,最大的挑战就在这里。”
Weiss还提到,过去几年来,医疗设备底层软件包也暴露出多个严重漏洞,如无线连接模块漏洞直接影响到数百万台设备。“漏洞似乎无穷无尽,总是不断涌现。”
而就在医疗保健努力解决这些长期遗留问题的同时,物联网趋势也在一刻不停地向前发展。
Patel表示,“家庭健康正在成为主流,许多卫生系统投入了大量技术资金,希望能持续监测患者体征。”另外,关于机器人远程手术的话题也得到广泛关注,“行业的创新成果和技术应用可谓进展迅速。”
降低医疗器械风险,监管与沟通将发挥重要作用
美国国会和监管机构有望在降低医疗设备风险当中发挥关键作用,同时也将在过程中持续助力各家供应商。目前,针对制造商、软件物料清单(SOMB)以及医疗保健行业多年来的种种安全诉求,已经有多项立法提案正积极酝酿。
从立法角度来看,Patel认为医疗设备安全已经有了不错的基础要素。但在制造商社区中,供应商和安全领导者需要开展更多对话,以就切实观点进行合作,并“确定更具体的实用性解决方案”。
在Weiss看来,如果能够改善医疗设备制造商和供应商间的沟通效果,那么设备的实用性乃至后续安全性的持续升级都将更有保证。
Patel说,目前看来,医疗保健行业自身也很清楚问题的存在。“但我们需要找到一种更加可行的解决方案设计思路,用分析解决问题,摒弃过去那些「人家供应商社区就是这么做的」、「操作人员根本不知道自己在干什么」之类既没意义、又没逻辑的托词。”
Patel最后总结道,“制造商也面临着自己的挑战,但我们都在努力发现并解决问题。只要我们永远心系安全,并将安全视为流程中的固定组成部分,就一定能朝着正确的方向继续前进。”
来源:安全内参scmagazine.com