隨著“健康中國”戰略的推進實施,“智慧醫院”等創新實踐推動醫療行業的數字化轉型全面提速,通過物聯網技術等新一代信息技術來提升醫療體系資源配置效率、優化社會健康服務水平,已成為醫療行業的建設共識。
近年來,我國醫療物聯網在智慧臨床、智慧患者服務、醫療機構智慧管理、遠程健康管理等場景上有重要應用并快速發展,隨之而來的醫療數據安全、以及物聯網技術在醫療領域的應用安全等問題也成為關注的焦點。
醫療物聯網普遍存在三大隱患,易致醫療機構業務中斷和數據泄露
今年7月份發布的業界首個《醫療物聯網安全研究報告(2021年)》提到,基于醫療健康產業智慧化發展的迫切需求,醫療物聯網(IoMT)的應用遍布醫療行業的各個環節,多類型、多型號的IoMT設備分布在多科室,且設備廠商的遠程運維方式多樣,導致了風險暴露面積的增加,原有安全防護手段難以應對,由此引發的醫療網絡安全風險和挑戰與日俱增,整體來看我國醫療機構的網絡安全形勢不容樂觀。
當前醫院物聯網設備的安全風險主要有以下方面:
1、外部設備入網不受管控,私接、仿冒隱患大
醫院網絡中設備類型缺乏梳理歸類和分別管控,導致醫院物聯網設備、大型醫療設備、自助掛號機和科室電腦相互混合;同時缺乏針對物聯網設備的類型識別和接入管控的有效措施,導致醫院網絡大門完全敞開狀態,在人員混雜的門診大廳可通過插拔門診自助機網線的方式輕易接入醫院內網,進而通過內網進行網絡攻擊,訪問和下載HIS、電子病歷等系統的敏感數據,給醫院帶來經濟損失和法律風險。
2、 廠商遠程運維行為不受控,數據泄露風險高
為便于維護和升級,當前醫院各科室醫療設備普遍自帶遠程聯網功能,廠商維護人員可隨時隨地遠程接入設備開展升級維護工作,但運維人員做了哪些操作、拿了什么數據、是否進入服務器等對醫院而言是不可視、不可控的,這使醫院數據存在安全隱患。
3、 安全漏洞普遍存在,易遭受非法攻擊導致業務中斷
為保證業務功能穩定運行,醫療設備的操作系統存在長久無更新的情況,老舊的設備存在較多的安全漏洞,并且設備本身缺乏有效的安全防護能力,存在較大的安全風險。黑客可利用醫療設備的安全漏洞進行入侵和破壞,造成業務中斷、病毒傳播和非法控制,嚴重影響醫療機構的正常運轉。
多維度綜合考量,構建有效的醫療物聯網安全防護體系
醫療物聯網安全應從多維度綜合考量,在設備入網時應確保具備可信認證校驗和威脅防護機制、對遠程運維數據進行審計和外發管控,同時建立完整的IoMT設備安全運營體系。
基于多年對醫療行業的深入理解,深信服結合醫療物聯網應用的實際特點和安全風險,針對IoMT設備入網、遠程運維、安全運營等方面提出了“四步一體”的安全管控思路,并基于此推出深信服醫療物聯網安全解決方案,幫助用戶提升醫院物聯網應用的運行安全性,有效應對安全風險。
深信服醫療物聯網“四步一體”安全管控思路
第一步:摸清家底
創新引入AI技術,可快速識別出在網醫療物聯網設備類型(如CT、DR、PDA查等)及具體廠商品牌信息,信息部門可在此基礎上標注設備所屬科室、位置等信息,建立起醫院物聯網設備安全管理臺賬。
第二步:發現風險
主被動方式結合發現物聯網設備自身安全隱患,包括但不限于設備漏洞、弱口令等,及時通知設備廠商進行修復;同時監測“人-設備-系統”之間的網絡交互行為,并基于實際業務環境進一步分析行為的合理性,及時發現廠商遠程運維和內部人員操作中的異常行為。
第三步:有效管控
在此基礎上,對物聯網設備進行有效管控,通過準入控制技術對新接入的設備進行合法性確認,確保僅科室采購設備和合法運維人員才能審批入網,除此之外的外部人員或仿冒設備都無法接入醫院網絡。
第四步:閉環處置
通過統一的安全管理平臺,持續監測物聯網設備的運行安全狀態,并在發現可疑的廠商遠程運維行為或內部訪問行為后,能夠快速進行聯動處置,降低對醫院業務網絡造成的損失。
截至目前,深信服醫療物聯網安全解決方案已在全國各地多家大型綜合三甲醫院落地實施,幫助應對醫院IoMT設備存在的安全風險,助力構建完整、有效的IoMT安全防護體系。
