x

扫描关注“远东医视界“订阅号

他山之石
2019十大医疗技术:Β俸诳屠?迷冻谭梦室皆合低颤/dd>

?黑客可以利用远程访问医院信息系统,破坏医疗保健运营

2019年十大医疗技术:ο盗形恼轮?狐/span>

本文由宏信医管陈飞燕根据《Hackers Can Exploit Remote Access to Systems, Disrupting Healthcare Operations》(文章来源:Emergency Care Research Institute)翻译

美国急救研究所(Emergency Care Research Institute - ECRI)近期发布了2019年十大医疗技术:η宓,提醒医疗机构加强关注,并提供了一些改善建议。宏信医管为您翻译019年十大医疗技术:Ρǜ娴木??谌,本文先为您分享“黑客可以利用远程访问医院信息系统,破坏医疗保健运营”的相关内容,后续我们还将摘取重点内容进行分享,敬请您持续关注。

执行摘要:

网络安全攻击一直是医疗保健运营的重大威胁,它往往是通过连接设备和系统上的远程访问功能或通过任何其他方式渗透网络。攻击可能会导致设备或系统无法正常运行,降低其性能,或者暴露、:λ?钟械氖?,这些都会严重的妨碍患者的治疗照护,并使患者处于危险之中。

远程访问系统是一个共用的目标系统,因为本质上它们是可以公开访问的。旨在满足合法的业务需求,比如允许非现场的临床医生获得临床数据,或者供应商对设备上安装的系统进行故障排除,然而远程访问系统也可能被用于非法的目的。

攻击者利用未受维护和易受攻击的远程访问系统来侵入组织的网络。一旦他们获得访问权限,无论是通过医疗还是非医疗资源,攻击者都可以转移到其他连接的设备或系统,安装勒索软件或其他恶意软件,窃取数据,使其不能使用,或者劫持电脑资源用于其他目的,比如生成加密电子货币。

保护资源需要识别、保护和监控所有的远程访问站点,以及并遵循建议的网络安全规范,比如设置强密码策略、维护和修补系统以及登录系统权限。

常见问题:

1.? 连接设备和系统上的远程访问功能可以被利用,使攻击者能够未经授权访问该设备和系统以及同一网络上的其他设备和系统。
? ? a) 这种可以在医疗或非医疗的系统和设备上发起的攻击,可能严重阻碍医疗运营,从而对病人照护产生不利影响,使得机器无法运行,降低其性能,或者暴露或:ι璞富蛳低晨赡艹钟械娜魏问?。
? ? b) 例如,黑客组织SamSam已经利于远程桌面协议(RDP)连接进入各组织的网络以达到传播勒索软件的目的,恶意软件系统将系统数据加密,使其不能访问,从而使系统瘫痪,直到支付赎金。

2. 在医疗机构中,远程系统访问被广泛需求,例如:
? ? a) 临床医生访问信息或临床系统。例如,一位不在现场的医生访问电子健康病历(HER)里的患者信息或放射科医师在医院数字影像系统(PACS)中查看影像扫描检查。
? ? b) 供应商访问。例如,对设备上安装的系统进行升级或故障排除

3. 如果远程访问系统没有受保护和常规的监控,攻击者可以利用这些入口站点获取访问权限并访问流经整个网络的信息。

4. 可能使远程访问系统易受攻击的问题包括:
? ? a) 网络配置错误(例如,虚拟局域网(VLANS)和网络隔离的使用不足)或软件错误(例如,不恰当的安全控制,不必要的服务)
? ? b) 授予请求者比要执行的任务所需要的更高级别的访问权限
? ? c) 允许请求者保留超出必要的访问时间。也就是说,一旦任务完成,忽略终止请求者的访问权限。

5.系统被攻击的影响后果是广泛的:
? ? a) 执行病人医疗照护的系统可能失效,造成医疗照护延误。在危急情况下,这可能造成伤害或死亡。
? ? b) 指示病人照护的数据可能被改变或不可用,从而导致伤害。
? ? c) 受保护的健康信息或者保留在已被破坏的系统上的其他机密信息可能被未授权的各方访问,并且对外传播。
? ? d) 支持运营(财务、排程、通讯)的辅助系统同样可能无法运行,影响医院提供照护的能力。

美国急救研究所(ECRI)的建议:

1. 清点组织内部署的所有远程访问系统
? ? a) 步骤包括
? ? ? ? (1) 对所有外部IP地址空间的深入测试
? ? ? ? (2) 审核组织的防火墙策略和日志,以查找从内部发起远程访问的设备
? ? b) 定期重新审查
? ? c) 还包括在兼并和收购期间进行的安全审计中的盘存工作

2. 制定管理远程访问的政策:
? ? a) 组织可以实施使用限数量的标准远程访问方法。这些方法可以适用于多数情况。例如,当第三方请求远程访问时,建议通过企业间VPN或Web门户网站进行访问。当无法使用组织的标准远程访问选项之一满足特定项目的需求时,请审核所提议方法的安全性,并清楚地记录该项目相关的内部和外部利益相关者以及维护计划。
? ? b) 在业务相关协议中纳入远程访问政策。对任何请求远程访问的组织进行第三方审核和认证。
? ? c) 考虑采用需要内部利益相关者请求批准实时访问认证的政策。例如,要求供应商的技术支持代表联系您的服务台以请求访问系统。然后,服务台将向记录在案的利益相关方确认请求是否合理,只有在得到批准后才予以批准。

3. 遵守建议的网络安全规范,(例如《关于国家标准和技术研究所的相关标准清单》,请参阅“补充材料”栏)
? ? a) 维护和修补所有的远程访问系统和所有的安全基础设施(防火墙、VPN终端)。
? ? b) 启动和监视所有的访问和安全事件的日志记录。应该包括安全信息和事件管理(SIEM)或者日志聚集解决方案。
? ? c) 部署双因素或多因素身份认证,以阻止被盗用的密码或暴力攻击(使用自动化的方式猜测密码)?
? ? d) 将可远程访问的系统与网络的其他部分隔离开来。内部系统不应从因特网直接访问;将任何此类系统放在隔离区的虚拟局域网(DMZ VLAN)上。实施防火墙策略或访问控制列表(ACLs),仅允许系统之间的必要通信量。这将阻碍入侵者在攻击时再进一步入侵到其他系统的可能性。
? ? e) 封锁防火墙上的出站流量。启动和监视防火墙上的应用层过滤,以确定通过的流量是有效的。恶意连接伪装成通常打开的端口上的有效流量。另外,供应商可以通过使用公共端口将其产品的远程访问设计为“防火墙友好”; 这种方法的风险在于远程访问可能没有记录。
? ? f) 更改供应商设备上的默认密码. 未经授权的用户可以快速发现默认密码; 这些密码的列表很容易在互联网上找到。


背景说明:

1. 去年十大:η宓ブ械牡谝幌钍钦攵岳账魅砑?推渌??绨踩??,ECRI广泛研究了医疗机构面临的挑战以及组织内各利益相关方应制定的安全措施。对于今年的列表,我们更加关注漏洞的某个关键领域:允许远程访问医疗机构网络的系统。

2. 实施对医院网络资源的远程访问,以满足各种需求,包括:
a) 远程办公的员工
b) 医生访问患者记录
d) 放射科医生查看影像检查
d) 为医疗设备、IT系统或电厂机械设备/暖通空调系统提供支持的供应商
e) 提供承包财务业务的供应商

3. 有几起攻击者针对未受维护和易受攻击的远程访问系统的事件已经被报导。远程访问系统在性质上是公开访问的,是一个常见的攻击载体,用于进入组织的网路系统。一旦进入网络,攻击者就可以访问有价值的数据或将勒索软件传播到关键系统。 例如:
a) 利用搜索RDP连接进入组织网络的SamSam黑客组织,是最近一些更值得注意的勒索软件事件的背后支持者。受影响的组织包括医院、电子病历系统(HER)供应商、实验室检测公司以及地方政府组织。
b) 据报告显示,2013年,一家暖通空调(HVAC)供应商的被盗证书为臭名昭著的Target黑客行为提供了切入点,数百万客户的付款和个人信息被曝光。

4. 众所周知,攻击者为了使用系统资源生成加密货币而侵入系统。在一份报告中,密码劫持软件被偷偷安装内部部署的EHR服务器上。攻击者通过已设置的远程访问系统访问服务器,该系统允许EHR供应商进入获取技术支持。

5. 信息安全专业人员面临的两个复杂因素是:
a) 被访问的设备可能不在IT的直接控制之下,可能被排除在网络库存之外。
b) 可以通过多种技术实现远程访问,包括:
? ?(1) 网际协议安全(IPsec)企业间的VPN(IPsec business-to-business VPNs)?
? ?(2) 基于客户端的VPN(Client-based VPNs)
? ?(3) Web门户或SSL VPN(Web portals or SSL VPNs)
? ?(4) TCP 80/443上的Ad hoc隧道(Ad hoc tunneling over TCP 80/443)
? ?(5) RDP/ VNC
? ?(6) 可通过网络公开访问的系统(例如,请参阅我们的医疗设备警报报告《可从互联网直接访问的PACS服务器可能会产生网络安全风险》)

文章来源:2019 Top 10 Health Technology Hazards,Emergency Care Research Institute,Published 9/26/2018
?
翻译:上:晷乓皆汗芾肀本﹑k10平台评测网 陈飞燕
?

?