医疗物联网安全平台提供商Cynerio最近的一项研究表明,53%的连网医疗设备和其他医疗物联网装置至少存在一个未解决的关键漏洞,这些漏洞可能被用来访问网络和敏感数据,或影响设备的可用性。研究人员还发现,三分之一的床边医疗保健物联网设备至少存在一个未修补的严重漏洞,可能会影响服务可用性、数据机密性,或危及患者安全。
研究人员分析了300多家医院的连网设备足迹,以确定其医疗物联网(IoMT)和物联网设备中的风险和漏洞。静脉泵是最常用的医疗物联网设备,约占医院物联网足迹的38%。正是这些设备被发现最容易受到攻击,其中73%的设备存在可能威胁患者安全、服务可用性或导致数据被盗的漏洞。50%的VOIP系统存在漏洞,其次是超声波设备、患者监护仪和药品分配器。
最近公布的Urgent11和Ripple20物联网漏洞自然令人担忧;然而,物联网和医疗物联网设备中存在更多常见且易于利用的漏洞。Urgent11和Ripple20漏洞影响了约10%的医疗物联网设备,但最常见的风险是凭据薄弱。默认密码很容易在在线设备手册中找到,弱密码容易受到暴力攻击。五分之一(21%)的物联网和IoMT设备被发现具有默认或弱凭据。
大多数药理科、肿瘤科和实验室设备以及放射科、神经科和外科部门使用的大量设备都运行过时的Windows版本,这些版本可能容易受到攻击。
未解决的软件和固件漏洞在床边设备中很常见,最常见的是不正确的输入验证、不正确的身份验证,以及继续使用已发布召回通知的设备。如果不了解连接到网络的设备,以及所有物联网和IoMT设备的全面清单,在漏洞被黑客利用之前识别和解决漏洞将是一项重大挑战。