物聯(lián)網(wǎng)設(shè)備發(fā)展快速且”高危“ 如何確保醫(yī)療機(jī)構(gòu)物聯(lián)網(wǎng)安全?

醫(yī)療保健一直處于技術(shù)發(fā)展的前沿，醫(yī)院和醫(yī)療保健提供者通常會(huì)迅速接受任何將轉(zhuǎn)化為更好、更高效、更實(shí)惠的護(hù)理的創(chuàng)新。從微型藥丸和可植入設(shè)備到激光手術(shù)和先進(jìn)的監(jiān)測(cè)技術(shù)，醫(yī)療技術(shù)都是為了患者創(chuàng)造最佳的治療效果。

但是，每當(dāng)有新的物聯(lián)網(wǎng) (IoT) 技術(shù)提供創(chuàng)新產(chǎn)品時(shí)，使用者越來(lái)越擔(dān)心安全問(wèn)題會(huì)給醫(yī)療機(jī)構(gòu)或患者造成影響。在某些情況下，這些設(shè)備的脆弱性令人震驚。一位女士為了證明物聯(lián)網(wǎng)存在風(fēng)險(xiǎn)，并讓制造商關(guān)注系統(tǒng)安全問(wèn)題，侵入了她自己的心臟起搏器。

物聯(lián)網(wǎng)對(duì)醫(yī)學(xué)的重要性

預(yù)測(cè)顯示，到2025年全球物聯(lián)網(wǎng)市場(chǎng)將增長(zhǎng)到5343億美元。目前在醫(yī)療保健領(lǐng)域使用的約6.46億個(gè)物聯(lián)網(wǎng)設(shè)備主要包括三個(gè)種類：

① 可穿戴設(shè)備，包括像超輕可穿戴生物傳感器這樣的設(shè)備，可以密切關(guān)注患者情況，以及有助于保持糖尿病患者健康的可穿戴血糖監(jiān)測(cè)儀。

② 可植入設(shè)備，包括任何插入體內(nèi)的設(shè)備，例如智能起搏器、胰島素輸液泵和除顫器。

③ 醫(yī)療保健環(huán)境中使用的其他設(shè)備，從安全攝像頭到溫度計(jì)和智能筆，這些設(shè)備與醫(yī)療記錄系統(tǒng)相互傳輸患者數(shù)據(jù)。

除了專門用于醫(yī)療應(yīng)用的設(shè)備外，大多數(shù)醫(yī)院和醫(yī)療機(jī)構(gòu)也受益于其他企業(yè)的物聯(lián)網(wǎng)設(shè)備類型：

智能辦公設(shè)備，如胸卡閱讀器、攝像頭和路由器

智能建筑基礎(chǔ)設(shè)施，如互聯(lián)電梯、暖通空調(diào)等

員工攜帶的可以訪問(wèn)醫(yī)院網(wǎng)絡(luò)的個(gè)人設(shè)備

顯然，物聯(lián)網(wǎng)設(shè)備在醫(yī)療環(huán)境中大有作為。他們通過(guò)簡(jiǎn)化治療和監(jiān)測(cè)為患者提供更多自由并確保更好的依從性。它們還提供對(duì)醫(yī)療數(shù)據(jù)的持續(xù)監(jiān)控和分析，這在沒(méi)有技術(shù)的情況下是不可能實(shí)現(xiàn)的。此外，它們使醫(yī)療保健者能夠即時(shí)訪問(wèn)最新信息，從而提供更好的護(hù)理并取得更好的結(jié)果。

盡管如此，對(duì)于任何企業(yè)(醫(yī)療或其他行業(yè))網(wǎng)絡(luò)上的每一個(gè)智能設(shè)備都引入一定程度的風(fēng)險(xiǎn)。目前世界上每個(gè)醫(yī)療保健組織都面臨的挑戰(zhàn)是弄清楚如何從物聯(lián)網(wǎng)技術(shù)中獲得最大的患者護(hù)理利益，同時(shí)降低這種來(lái)自網(wǎng)絡(luò)安全的風(fēng)險(xiǎn)。

哪些因素導(dǎo)致物聯(lián)網(wǎng)設(shè)備存在安全風(fēng)險(xiǎn)?

當(dāng)然，每臺(tái)使用網(wǎng)絡(luò)的設(shè)備都會(huì)增加所謂的“攻擊面”。但對(duì)于大多數(shù)設(shè)備(手機(jī)、計(jì)算機(jī))來(lái)說(shuō)，這個(gè)漏洞很容易控制，但物聯(lián)網(wǎng)設(shè)備的情況就沒(méi)那么簡(jiǎn)單。以下是該技術(shù)帶來(lái)更大安全風(fēng)險(xiǎn)的幾個(gè)原因：

1、與 Windows計(jì)算機(jī)或Android手機(jī)等主流端點(diǎn)不同，多數(shù)物聯(lián)網(wǎng)設(shè)備在設(shè)計(jì)時(shí)并未將安全放在首位(它們通常是無(wú)人值守和無(wú)人管理的)。

2、多達(dá)一半的連接設(shè)備(如超聲波和MRI機(jī)器)在不再受支持或維護(hù)的舊操作系統(tǒng)上運(yùn)行，這意味著它們沒(méi)有安全支持或補(bǔ)丁可用。

3、醫(yī)療設(shè)備的網(wǎng)絡(luò)安全沒(méi)有認(rèn)證和標(biāo)準(zhǔn)化。(考慮到醫(yī)療器械安全是世界上最嚴(yán)格的監(jiān)管領(lǐng)域之一，這具有諷刺意味。)

4、當(dāng)使用多種設(shè)備時(shí)很難手動(dòng)清點(diǎn)每臺(tái)設(shè)備并及時(shí)跟蹤它在做什么。

5、物聯(lián)網(wǎng)設(shè)備缺乏標(biāo)準(zhǔn)化的接口和控制，因此如果沒(méi)有專門為物聯(lián)網(wǎng)安全設(shè)計(jì)的解決方案，幾乎不可能創(chuàng)建統(tǒng)一的安全策略、升級(jí)軟件，甚至實(shí)施強(qiáng)密碼。

由于這些原因，黑客很容易在醫(yī)療環(huán)境中破壞物聯(lián)網(wǎng)設(shè)備。

黑客如何利用這些弱點(diǎn)進(jìn)行攻擊

那么當(dāng)黑客能夠入侵醫(yī)院或其他醫(yī)療設(shè)施時(shí)會(huì)發(fā)生什么?他們通常遵循一個(gè)標(biāo)準(zhǔn)程序：

第 1 步：損害作為醫(yī)療保健網(wǎng)絡(luò)中最薄弱環(huán)節(jié)的物聯(lián)網(wǎng)設(shè)備。

第 2 步：訪問(wèn)設(shè)備上的任何數(shù)據(jù)并攔截其通信。

第 3 步：利用已知漏洞，橫向移動(dòng)到網(wǎng)絡(luò)內(nèi)的其他計(jì)算機(jī)和設(shè)備。

第 4 步：竊取機(jī)密醫(yī)療信息，或攻擊關(guān)鍵任務(wù)功能，甚至兩者兼而有之。

就對(duì)財(cái)務(wù)和患者護(hù)理的影響而言攻擊的代價(jià)是驚人的：

服務(wù)暫停：2020年11月，佛蒙特大學(xué)健康網(wǎng)絡(luò)遭到攻擊，導(dǎo)致化療和胸部x光檢查服務(wù)被關(guān)閉。

贖金支付：醫(yī)院平均花費(fèi)430美元來(lái)贖回泄漏信息。

總體成本：2019年，針對(duì)醫(yī)療保健機(jī)構(gòu)的一次物聯(lián)網(wǎng)網(wǎng)絡(luò)攻擊的平均成本為346,205美元。

除此之外，如果不能提供一個(gè)足夠安全的網(wǎng)絡(luò)環(huán)境，越來(lái)越多的隱私和遵從標(biāo)準(zhǔn)也可能增加高額罰款。

物聯(lián)網(wǎng)設(shè)備無(wú)疑是醫(yī)療保健IT網(wǎng)絡(luò)中最薄弱的環(huán)節(jié)。正如我們所見(jiàn)，受攻擊面越大，就越容易受到攻擊。連接的設(shè)備越多，黑客入侵網(wǎng)絡(luò)的”門“就越多。

那么如何阻止黑客入侵?

以下是確保您阻止黑客入侵的三個(gè)建議：

1、掌握網(wǎng)絡(luò)全局。只有完全了解所訪問(wèn)網(wǎng)絡(luò)的所有設(shè)備時(shí)，才能啟動(dòng)更全面的確保網(wǎng)絡(luò)安全方法。許多企業(yè)仍然依賴手動(dòng)更新和識(shí)別設(shè)備，這在物聯(lián)網(wǎng)安全方面略顯遜色，物聯(lián)網(wǎng)需要自動(dòng)化解決方案來(lái)實(shí)現(xiàn)全覆蓋。

2、減少漏洞。修補(bǔ)程序和實(shí)時(shí)威脅情報(bào)是任何安全計(jì)劃的核心，大多數(shù)組織都有修補(bǔ)程序。但大多數(shù)物聯(lián)網(wǎng)設(shè)備幾乎不可能保持最新?tīng)顟B(tài)，如果依靠軟件更新來(lái)保證安全，將會(huì)遺漏關(guān)鍵漏洞。因此對(duì)軟件進(jìn)行靜態(tài)代碼安全檢測(cè)等可以排查一定系統(tǒng)漏洞，防患于未然，確保數(shù)據(jù)安全。

3、網(wǎng)絡(luò)分段管理。發(fā)生橫向移動(dòng)意味著一旦黑客進(jìn)入您的網(wǎng)絡(luò)，通?？梢宰杂梢苿?dòng)，針對(duì)某些設(shè)備(例如郵件服務(wù)器)進(jìn)行破壞或訪問(wèn)安全信息。因此對(duì)不同區(qū)域網(wǎng)絡(luò)實(shí)行分段管理，僅授予合法業(yè)務(wù)需求的訪問(wèn)權(quán)限。

?

參讀鏈接：

https://blog.checkpoint.com/2021/06/21/how-to-tighten-iot-security-for-healthcare-organization/