注意！2019年医疗技术首要危害曝光

本文由远东宏信医疗健康集团旗下上海宏信医院管理有限公司陈飞燕根据《Hackers Can Exploit Remote Access to Systems, Disrupting Healthcare Operations》（文章来源：Emergency Care Research Institute）翻译。

近日，美国急救研究所（Emergency Care Research Institute - ECRI）发布了2019年十大医疗技术危害清单，其中“黑客利用远程访问医院信息系统破坏医疗保健运营”位居首位。宏信医管为您翻译相关内容，后续还将摘取重点内容进行分享，敬请您持续关注。

执行摘要

网络安全攻击一直是医疗保健运营的重大威胁，它往往是通过连接设备和系统上的远程访问功能或通过任何其他方式渗透网络。攻击可能会导致设备或系统无法正常运行，降低其性能，或者暴露、危害所持有的数据，这些都会严重的妨碍患者的治疗照护，并使患者处于危险之中。

远程访问系统是一个共用的目标系统，因为本质上它们是可以公开访问的。旨在满足合法的业务需求，比如允许非现场的临床医生获得临床数据，或者供应商对设备上安装的系统进行故障排除，然而远程访问系统也可能被用于非法的目的。

攻击者利用未受维护和易受攻击的远程访问系统来侵入组织的网络。一旦他们获得访问权限，无论是通过医疗还是非医疗资源，攻击者都可以转移到其他连接的设备或系统，安装勒索软件或其他恶意软件，窃取数据，使其不能使用，或者劫持电脑资源用于其他目的，比如生成加密电子货币。

保护资源需要识别、保护和监控所有的远程访问站点，以及并遵循建议的网络安全规范，比如设置强密码策略、维护和修补系统以及登录系统权限。

常见问题

1、连接设备和系统上的远程访问功能可以被利用，使攻击者能够未经授权访问该设备和系统以及同一网络上的其他设备和系统。

a) 这种可以在医疗或非医疗的系统和设备上发起的攻击，可能严重阻碍医疗运营，从而对病人照护产生不利影响，使得机器无法运行，降低其性能，或者暴露或危害设备或系统可能持有的任何数据。

b) 例如，黑客组织SamSam已经利于远程桌面协议（RDP）连接进入各组织的网络以达到传播勒索软件的目的，恶意软件系统将系统数据加密，使其不能访问，从而使系统瘫痪，直到支付赎金。

2、在医疗机构中，远程系统访问被广泛需求，例如：

a) 临床医生访问信息或临床系统。例如，一位不在现场的医生访问电子健康病历（HER）里的患者信息或放射科医师在医院数字影像系统（PACS）中查看影像扫描检查。

b) 供应商访问。例如，对设备上安装的系统进行升级或故障排除。

3、如果远程访问系统没有受保护和常规的监控，攻击者可以利用这些入口站点获取访问权限并访问流经整个网络的信息。

4、可能使远程访问系统易受攻击的问题包括：

a) 网络配置错误（例如，虚拟局域网（VLANS）和网络隔离的使用不足）或软件错误（例如，不恰当的安全控制，不必要的服务）

b) 授予请求者比要执行的任务所需要的更高级别的访问权限

c) 允许请求者保留超出必要的访问时间。也就是说，一旦任务完成，忽略终止请求者的访问权限。

5、系统被攻击的影响后果是广泛的：

a) 执行病人医疗照护的系统可能失效，造成医疗照护延误。在危急情况下，这可能造成伤害或死亡。

b) 指示病人照护的数据可能被改变或不可用，从而导致伤害。

c) 受保护的健康信息或者保留在已被破坏的系统上的其他机密信息可能被未授权的各方访问，并且对外传播。

d) 支持运营（财务、排程、通讯）的辅助系统同样可能无法运行，影响医院提供照护的能力。

美国急救研究所（ECRI）的建议

1、清点组织内部署的所有远程访问系统

a) 步骤包括

(1) 对所有外部IP地址空间的深入测试

(2) 审核组织的防火墙策略和日志，以查找从内部发起远程访问的设备

b) 定期重新审查

c) 还包括在兼并和收购期间进行的安全审计中的盘存工作

2、制定管理远程访问的政策：

a) 组织可以实施使用限数量的标准远程访问方法。这些方法可以适用于多数情况。例如，当第三方请求远程访问时，建议通过企业间VPN或Web门户网站进行访问。当无法使用组织的标准远程访问选项之一满足特定项目的需求时，请审核所提议方法的安全性，并清楚地记录该项目相关的内部和外部利益相关者以及维护计划。

b) 在业务相关协议中纳入远程访问政策。对任何请求远程访问的组织进行第三方审核和认证。

c) 考虑采用需要内部利益相关者请求批准实时访问认证的政策。例如，要求供应商的技术支持代表联系您的服务台以请求访问系统。然后，服务台将向记录在案的利益相关方确认请求是否合理，只有在得到批准后才予以批准。

3、遵守建议的网络安全规范，（例如《关于国家标准和技术研究所的相关标准清单》，请参阅“补充材料”栏）

a) 维护和修补所有的远程访问系统和所有的安全基础设施（防火墙、VPN终端）。

b) 启动和监视所有的访问和安全事件的日志记录。应该包括安全信息和事件管理（SIEM）或者日志聚集解决方案。

c) 部署双因素或多因素身份认证，以阻止被盗用的密码或暴力攻击（使用自动化的方式猜测密码） 

d) 将可远程访问的系统与网络的其他部分隔离开来。内部系统不应从因特网直接访问；将任何此类系统放在隔离区的虚拟局域网（DMZ VLAN）上。实施防火墙策略或访问控制列表(ACLs)，仅允许系统之间的必要通信量。这将阻碍入侵者在攻击时再进一步入侵到其他系统的可能性。

e) 封锁防火墙上的出站流量。启动和监视防火墙上的应用层过滤，以确定通过的流量是有效的。恶意连接伪装成通常打开的端口上的有效流量。另外，供应商可以通过使用公共端口将其产品的远程访问设计为“防火墙友好”; 这种方法的风险在于远程访问可能没有记录。

f) 更改供应商设备上的默认密码. 未经授权的用户可以快速发现默认密码; 这些密码的列表很容易在互联网上找到。

4、众所周知，攻击者为了使用系统资源生成加密货币而侵入系统。在一份报告中，密码劫持软件被偷偷安装内部部署的EHR服务器上。攻击者通过已设置的远程访问系统访问服务器，该系统允许EHR供应商进入获取技术支持。

5、信息安全专业人员面临的两个复杂因素是：

a) 被访问的设备可能不在IT的直接控制之下，可能被排除在网络库存之外。

b) 可以通过多种技术实现远程访问，包括：

(1)网际协议安全（IPsec）企业间的VPN（IPsec business-to-business VPNs） 

(2)基于客户端的VPN（Client-based VPNs）

(3) Web门户或SSL VPN（Web portals or SSL VPNs）

(4) TCP 80/443上的Ad hoc隧道（Ad hoc tunneling over TCP 80/443）

(5) RDP/ VNC

(6) 可通过网络公开访问的系统（例如，请参阅我们的医疗设备警报报告《可从互联网直接访问的PACS服务器可能会产生网络安全风险》）