在互联设备时代捍卫医疗安全格局

关注联网医疗设备市场面临的网络安全威胁的文章经常引用一个陈旧的统计数据：美国的平均病床有 10 到 15 台联网设备来收集和传输数据。

虽然这个数字很重要，但它只说明了更大故事的一部分。 

例如，这些设备收集的数据类型的重要性和敏感性不断增加。是的，工具可以采集心率和血压读数，但今天的联网医疗设备也可以采集所有信息，包括患者的个人身份信息。

根据Cynerio的2022 年医疗保健物联网设备安全状况报告( PDF )，超过一半的联网医疗设备被发现存在已知漏洞。如果这些医疗设备被黑客入侵，将严重影响服务可用性、患者保密性，甚至患者安全。

随着物联网在医疗保健行业的普及，医疗保健组织和设备制造商将需要优先考虑连接医疗设备的安全性，以保护患者数据的私密性并确保患者的安全。 

攻击面增加

这些设备中的每一个都为黑客提供了一个潜在的切入点，以危及患者安全或破坏医疗保健组织的后端网络。黑客可以使用这些网络连接未经授权访问设备本身、设备监控系统和患者数据。其他类型的攻击包括：

• 拒绝服务攻击

• 感染、重新编程或更改单个设备设置的恶意软件

• 电磁干扰

• 便携式或外部联网医疗设备丢失甚至被盗

在某些涉及联网医疗设备的勒索软件案例中，患者的个人隐私可能会受到损害。例如，2017 年美国食品和药物管理局 (FDA) 宣布，制造商 St. Jude Medical的 465,000 多台植入式起搏器设备容易受到黑客攻击。虽然没有已知的黑客攻击，但黑客可能已经获得了对这些设备的访问权限，以对患者进行可能有害的攻击，或者可能窃取了个人信息。

一些黑客不仅可以使用设备的连接来阻止设备正常运行，还可以作为侵入医院更广泛技术系统的切入点。通过破坏单个设备，黑客可以在网络中横向移动——提升权限，获得对严密保护的系统和信息的访问权限，甚至勒索网络。在美国，医疗保健提供者的勒索软件案件每年都在持续增加，据报道有 82 起2021 年由美国卫生与公众服务部的 H3C 安全计划提供。勒索软件攻击在医疗保健领域的后果可能包括无法访问数据、恢复纸质记录、关闭服务以及将患者转移到其他设施，或者在最坏的情况下，无法提供服务导致患者预后不佳。 

提高设备安全性需要所有利益相关者

联网医疗设备的规模和范围使其难以防御。围绕这些设备创建更好的整体网络安全需要医疗设备制造商、监管机构和医疗机构本身的支持。虽然没有灵丹妙药的解决方案，但这三组协调工作可以提高整体安全性。

监管机构：政策制定者已开始在此过程中发挥积极作用，制定法规来指导制造商。在美国，FDA 已努力为利益相关者提供有关医疗器械安全性的指导。例如，FDA 建议在上市前提交的具有潜在网络安全风险的设备中包含特定的设备设计、标签和文档。FDA 继续完善其指导方针和最佳实践，以帮助医疗器械制造商和医疗保健界解决网络安全和安全问题。

设备制造商：制造商可以通过加强控制和对设备及其组件进行有效的网络安全测试来限制风险。但总的来说，设备本身需要一个更强大的网络基础设施，可以在产品的生命周期中扩展。医疗设备安全性应在子组件级别融入设备设计。例如，蓝牙系统级芯片组可以从第三方发货，其中已经存在漏洞。这些很难检测到，并使设备容易受到攻击。这就是为什么设备制造商需要增强其协议模糊测试能力作为其标准质量控制流程的一部分，并加强与供应商的合作，以确保迅速识别和缓解潜在问题。此外，

医疗提供者：作为其网络卫生的一部分，医疗保健组织必须与所有连接设备、硬件、软件和网络的网络安全保持同步。随着连接设备的增长，他们需要保持这些设备的最新清单，以便他们可以监控漏洞并通过制造商的固件或软件升级或密码更改来缓解。他们必须制定选择医疗设备的最佳实践，其中包括网络安全作为标准。医疗保健组织还需要投资于主动网络安全测试，例如漏洞检测和响应，同时投资于培训员工了解网络卫生的最佳实践。最后，医疗保健组织必须采取弹性措施，以防网络攻击。 

前进的道路

根据 Mordor Intelligence 的一项研究，医疗器械市场预计在未来五年内每年增长 19% 以上。随着联网医疗设备数量的增长，医疗保健组织和设备制造商必须共同努力，以确保患者和整体医疗保健环境的安全。互联医疗设备具有为患者带来巨大利益的巨大潜力，但前提是必须安全。

原文来自：安全周刊

原文始发于微信公众号（河南等级保护测评）：在互联设备时代捍卫医疗安全格局