如何在零信任世界中保护医疗保健物联网设备

ISTOCK
  • 目前全球安装了超过1亿台医疗保健物联网设备,到2020年增长到1.61亿,根据Statista的数据,在短短三年内实现了17.2%的复合年增长率(CAGR)。
  • 据埃森哲2017年健康互联网称,医疗保健管理人员表示,隐私问题(59%),遗留系统集成(55%)和安全问题(54%)是阻碍医疗机构采用物联网(IoT)的三大障碍。事情调查。
  • 全球物联网市场预计将从$ 249B在2018年飙升至$ 457B,2020年实现的复合年均增长率为22.4%,在短短三年内,根据率(CAGR)Statista。
医疗保健和医疗设备制造商正在争夺谁能够首先创建最智能,连接最多的物联网设备。利用这些设备可以提供的丰富的实时数据监控流,许多人看到了摆脱产品销售并转向利润更高的数字服务业务模式的机会。根据Capgemini的“数字工程,离散型制造商的新增长引擎 ”,到2020年智能互联产品的全球市场预计价值为519亿美元至685亿美元。该研究可在此下载(PDF,40页,没有选择加入)。到2020年,47%的典型制造商产品组合将由智能互联产品组成。在淘金热的新数字服务中,数据安全性需要成为保护这些机器设计用于服务的患者的主要设计目标。该研究的以下图表显示了生产智能互联产品的组织如何利用当前生成的数据。
资料来源:CAPGEMINI DIGITAL ENGINEERING,用于离散制造商研究的新增长引擎
 

医疗保健物联网设备数据不属于黑暗网络上的销售
从胰岛素泵和诊断设备到远程病人监护的每个医疗保健物联网设备都是网络攻击者利用的潜在攻击面。医疗保健行业以内部人员发起的大多数系统漏洞而闻名。根据Verizon的2018年受保护健康信息数据泄露报告(PHIDBR),58%的医疗系统违规企图涉及内部参与者,这使其成为当今内部威胁的主要行业  。
许多为医疗服务提供者工作的员工都获得适度的工资,并且经常需要经常工作几小时的加班时间来维持生计。窃取和销售医疗记录是面临财务挑战的方式之一,可以快速,谨慎地赚钱。根据益百利的说法,Dark Web上的市场愿意为最详细的医疗保健数据支付高达1,000美元或更多的费用,医疗员工有一个永远在线的全天候销售被盗数据的市场。根据埃森哲最近的一项调查显示,18%的医疗保健员工愿意以低至500美元至1,000美元的价格向未经授权的方出售机密数据,24%的员工知道向外界出售特权凭证的人员。。医疗保健物联网设备是内部和外部参与者的潜在宝库,他们通过攻击智能互联设备的物联网连接以及安装的网络来获取有价值的医疗数据,从而获得经济收益。

 

医疗保健和医疗设备制造商需要立即采取行动,在下一代物联网产品的研发,设计和工程阶段保护这些设备。如果设计和销售的设备网络是安全的,则指定并验证每个IoT接入点是兼容的并且可以扩展以支持  零信任安全(ZTS),这是必不可少的。事实证明,ZTS在阻止组织所面临的每个威胁表面的潜在违规尝试方面非常有效。它的四个核心支柱包括验证每个用户的身份,验证每个设备,限制访问和权限,以及利用机器学习分析用户行为并从分析中获得更多洞察力。
第一步是保护具有零信任特权的开发环境
产品研发,设计和工程系统都是网络对手希望利用的攻击面,作为现代威胁景观的一部分。他们的目标包括获取有价值的知识产权(IP),专利和设计,可以出售给竞争对手和黑暗网站,或破坏和破坏开发数据,以减缓新产品的开发。另一种策略在于在物联网设备的固件中植入恶意软件以大规模地泄露数据。
攻击界面和构成公司新安全范围的身份不仅仅是人; 它们是工作负载,服务,机器以及开发系统和平台。使用支持云的Zero Trust Privilege(ZTP)保护每个攻击面,该ZTP可以保护对基础架构,DevOps,云,容器,大数据以及整个开发和生产环境的访问。
零信任权限可以加强医疗保健和医疗设备制造商的内部安全性,仅基于验证谁请求访问权限,请求的上下文以及访问环境的风险来授予最小权限访问权限。通过实施最小权限访问,医疗保健和医疗设备制造商将能够最小化攻击面,提高审计和合规性可见性,并降低其开发和生产操作中的风险,复杂性和成本。
所有人的最佳安全测试:FDA审计
亚洲,欧洲和北美的监管机构在网络安全方面比以往任何时候都更加优先考虑设备级别。在美国食品和药物管理局的网络安全计划是最全面的一个,如何在自己的产品实现更高水平的网络安全厂商提供了规范性指导。
在最近的医疗保健设备和医疗设备制造商会议期间,前FDA审核员(现在是合规副总裁)就FDA在生产层面审核医疗设备安全的意图发表了一个引人入胜的主题演讲。安全性是事后的想法,或充其量只是依赖于可信与不受信任的机器域的“信任但是验证”的方法。这将不再是这种情况,因为FDA现在将完成与制造业务和设备中的零信任相当的审计。
由于Zero Trust Privilege可实现比过去更大的可审计性,再加上“永不信任,始终验证”的系统访问方法,医疗保健设备和医疗产品制造商现在应该开始将Zero Trust中的工程设计纳入其开发周期。

用户喜欢...