医疗设备网络安全的未来历史

1555年,诺查丹玛斯(Nostradamus)出版了他的著名的《预言家》(LesProphéties),其中包含对未来世界的模糊预言。一些 相信 这些预测之一与2020年有关,其部分内容是:“假小号掩盖了疯狂,将导致拜占庭改变其法律。”是啊…我也不知道这意味着什么!

医疗设备网络安全

1966年,已故的科幻小说家亚瑟·克拉克(Arthur C. Clarke)逝世, 预料到的 到2001年我们将拥有飞行房屋并能够一时兴起搬迁。好吧,我们错过了那个!

我参考了这些较早的失败预测工作,以期将我自己对未来2021年医疗设备网络安全变化的预测设定为较低的标准。

预测

有一些简单的预测:

  • FDA计划发布其强制性法规的第二稿 指导,“用于医疗设备网络安全管理的上市前提交的内容。”我预计当前草案中出现的安全分层系统将被删除。我还预见了对软件物料清单的增强描述(SBOM)要求,包括人工和机器可读的SBOM格式。
  • 我进一步预测,将会有许多医疗器械制造商对他们的医疗器械感到惊讶 需要安全 才可以上市。由于某种原因,无论该信息多频繁出现一次,它似乎从未达到过惊人的制造商比例 重复.
  • 最后,我预计马克·沃纳参议员将 继续他的努力 团结这个国家的 高度破裂的隐私法。至于他的最终成功,我们将不得不等到佐治亚州决胜选举完成之后。

2021年的重大网络安全启示

我可能不需要告诉任何正在阅读本文的人,勒索软件是很大的。真的很大

一个失落的少年独自坐在地下室手工制作“加密代理”的日子已经一去不复返了。如 已报告 由EMSISOFT恶意软件实验室统计,到2020年,勒索软件攻击所产生的全球收入估计在6至250亿美元之间!

勒索软件是大企业,并且像大企业一样运行。拥有勒索软件的犯罪分子只对通过增加初始投资回报率来最大化利润感兴趣。

该业务已经发展壮大以实现以下财务目标:

  • 简单的代理会加密您的文件,直到您支付赎金为止。…
  • RaaS(勒索软件即服务),其中有几个主要组织将被用来攻击特定目标,后来演变为……
  • 从受害人那里提取公司数据,并要求提供额外的赎金,以避免因公开披露这些文件而蒙羞或知识产权损失,从而演变成……
  • RaaS提供商合并成一个针对特定行业的高度复杂的组织,从而演变成……
  • 将提取的公司文件拍卖给出价最高的人!加…
  • 冷冷地打电话给受害者直接要求赎金。

但是企业(也称为“潜在受害者”)也在发展以应对勒索软件带来的风险,包括更全面的备份,还原,更强的身份验证,检测和培训。

由于勒索软件供应商的可行攻击面由于其潜在受害者的缓解努力而在逐年增加利润的竞争中不断缩小,勒索软件行业将发展到下一个趋势吗?

我想我知道。但我真的非常希望我的预测与诺查丹玛斯和亚瑟·克拉克的预测一样不准确。这里是:

行业拥有10到1500万个互联设备(仅在美国),拥有雄厚的资金,绝对不能让这些设备无法使用,试图通过继续使用旧的传统设备15到20年来最大化利润,无法执行这些设备的备份是否没有及时有效的方式来更新现场的大多数设备,并且如果这些设备损坏了,是否无法轻松恢复这些设备的基本性能?

答案是:医疗保健交付行业。我刚才描述的一切都是医疗设备的特征。

以前(可能)阻止了这种情况的发生,原因是专有设备的数量庞大,从外观上看,它们彼此之间几乎没有或根本没有漏洞(例如,与使用基于Windows的PC的设备和系统不同)。但是,随着我们发现常用的第三方软件组件(TPSC,aka SOUP)中存在更多漏洞,–来源不明的软件),这将改变。认为: 纹波/ 20, 失忆症:33

同样,在安全保护不当的医疗设备中发现零日漏洞并不比在PC上发现零日漏洞困难。通常,安全专家只需花费几天的时间即可发现设备漏洞。

如果勒索软件攻击者可以破坏医疗保健提供组织(HDO)中的多种类型的医疗设备,则该攻击可能会破坏该机构/组织中的所有操作。

结合2020年’制造商急于实现与医疗设备的远程通信以用于 新冠肺炎 受害者。这些远程控制系统中有多少是安全设计和实施的?

我认为最困难的部分将是HDO如何从这种攻击中完全恢复。即使在支付赎金并由攻击者恢复捕获的数据和设备的情况下,如何才能重新建立对受影响设备的任何级别的信任?

我们目前看到的与此类似的东西 太阳风 / SUNBURST攻击:有关恢复的大多数建议是擦除并重新创建基础架构,包括SolarWinds Orion涉及的所有内容!医院准备采取这种行动了吗?医疗设备制造商是否准备好支持他们?

幸运的是,在2017年毁灭性的灾难之后 想要哭泣,HDO开始要求对其基础架构和所购买的设备提供更多更好的安全性。全球监管机构都在努力缩小医疗保健方面的漏洞。医疗设备制造商正在醒来,并对这些新兴市场压力做出积极反应。

在努力保护未来的医疗设备的安全的同时,我希望我们也可以在医疗行业发生另一起勒索软件灾难之前,退役并更换那些无法保护的旧设备。医疗设备制造商需要的资源–信息,培训,最佳实践,专家指导–可用。问题是:他们会及时寻找并利用这些资源吗?

我衷心希望如此。让2021年成为证明我的灾难预测错误,扭转过去的趋势和错误并成功确保医疗保健未来的一年。

分享这个