随着“健康中国”战略的推进实施,“智慧医院”等创新实践推动医疗行业的数字化转型全面提速,通过物联网技术等新一代信息技术来提升医疗体系资源配置效率、优化社会健康服务水平,已成为医疗行业的建设共识。
近年来,我国医疗物联网在智慧临床、智慧患者服务、医疗机构智慧管理、远程健康管理等场景上有重要应用并快速发展,随之而来的医疗数据安全、以及物联网技术在医疗领域的应用安全等问题也成为关注的焦点。
医疗物联网普遍存在三大隐患,易致医疗机构业务中断和数据泄露
今年7月份发布的业界首个《医疗物联网安全研究报告(2021年)》提到,基于医疗健康产业智慧化发展的迫切需求,医疗物联网(IoMT)的应用遍布医疗行业的各个环节,多类型、多型号的IoMT设备分布在多科室,且设备厂商的远程运维方式多样,导致了风险暴露面积的增加,原有安全防护手段难以应对,由此引发的医疗网络安全风险和挑战与日俱增,整体来看我国医疗机构的网络安全形势不容乐观。
当前医院物联网设备的安全风险主要有以下方面:
1、外部设备入网不受管控,私接、仿冒隐患大
医院网络中设备类型缺乏梳理归类和分别管控,导致医院物联网设备、大型医疗设备、自助挂号机和科室电脑相互混合;同时缺乏针对物联网设备的类型识别和接入管控的有效措施,导致医院网络大门完全敞开状态,在人员混杂的门诊大厅可通过插拔门诊自助机网线的方式轻易接入医院内网,进而通过内网进行网络攻击,访问和下载HIS、电子病历等系统的敏感数据,给医院带来经济损失和法律风险。
2、 厂商远程运维行为不受控,数据泄露风险高
为便于维护和升级,当前医院各科室医疗设备普遍自带远程联网功能,厂商维护人员可随时随地远程接入设备开展升级维护工作,但运维人员做了哪些操作、拿了什么数据、是否进入服务器等对医院而言是不可视、不可控的,这使医院数据存在安全隐患。
3、 安全漏洞普遍存在,易遭受非法攻击导致业务中断
为保证业务功能稳定运行,医疗设备的操作系统存在长久无更新的情况,老旧的设备存在较多的安全漏洞,并且设备本身缺乏有效的安全防护能力,存在较大的安全风险。黑客可利用医疗设备的安全漏洞进行入侵和破坏,造成业务中断、病毒传播和非法控制,严重影响医疗机构的正常运转。
多维度综合考量,构建有效的医疗物联网安全防护体系
医疗物联网安全应从多维度综合考量,在设备入网时应确保具备可信认证校验和威胁防护机制、对远程运维数据进行审计和外发管控,同时建立完整的IoMT设备安全运营体系。
基于多年对医疗行业的深入理解,深信服结合医疗物联网应用的实际特点和安全风险,针对IoMT设备入网、远程运维、安全运营等方面提出了“四步一体”的安全管控思路,并基于此推出深信服医疗物联网安全解决方案,帮助用户提升医院物联网应用的运行安全性,有效应对安全风险。
深信服医疗物联网“四步一体”安全管控思路
第一步:摸清家底
创新引入AI技术,可快速识别出在网医疗物联网设备类型(如CT、DR、PDA查等)及具体厂商品牌信息,信息部门可在此基础上标注设备所属科室、位置等信息,建立起医院物联网设备安全管理台账。
第二步:发现风险
主被动方式结合发现物联网设备自身安全隐患,包括但不限于设备漏洞、弱口令等,及时通知设备厂商进行修复;同时监测“人-设备-系统”之间的网络交互行为,并基于实际业务环境进一步分析行为的合理性,及时发现厂商远程运维和内部人员操作中的异常行为。
第三步:有效管控
在此基础上,对物联网设备进行有效管控,通过准入控制技术对新接入的设备进行合法性确认,确保仅科室采购设备和合法运维人员才能审批入网,除此之外的外部人员或仿冒设备都无法接入医院网络。
第四步:闭环处置
通过统一的安全管理平台,持续监测物联网设备的运行安全状态,并在发现可疑的厂商远程运维行为或内部访问行为后,能够快速进行联动处置,降低对医院业务网络造成的损失。
截至目前,深信服医疗物联网安全解决方案已在全国各地多家大型综合三甲医院落地实施,帮助应对医院IoMT设备存在的安全风险,助力构建完整、有效的IoMT安全防护体系。