关注互联医疗设备市场网络安全威胁的文章经常引用一个古老的统计数据:美国平均每张病床有10到15个互联设备收集和传输数据。虽然这个数字很重要,但它只说明了更大故事的一部分。例如,这些设备收集的数据类型的重要性和敏感性正在增加。是的,工具可以捕捉心率和血压读数,但今天的联网医疗设备也可以捕捉所有这些信息,包括关于患者的个人身份信息。根据Cynerio的2022年医疗保健物联网设备安全状况报告(PDF),发现超过一半的联网医疗设备存在已知漏洞。如果这些医疗设备遭到黑客攻击,将严重影响服务可用性、患者保密性,甚至患者安全。随着物联网在医疗保健行业的普及,医疗保健组织和设备制造商将需要优先考虑互联医疗设备的安全性,以保护患者数据的私密性并确保患者安全。这些设备中的每一个都为黑客提供了一个潜在的切入点,以危害患者安全或危害医疗保健组织的后端网络。黑客可以使用这些网络连接来未经授权访问设备本身、设备监控系统和患者数据。其他类型的攻击包括:拒绝服务攻击感染、重新编程或更改个人设备设置的恶意软件电磁干扰便携式或外部联网医疗设备丢失甚至被盗在某些涉及联网医疗设备的勒索软件案例中,患者的个人隐私受到损害可能损坏。例如,2017年,美国食品和药物管理局(FDA)宣布,来自制造商St.JudeMedical的超过465,000台植入式起搏器设备容易受到黑客攻击。虽然没有已知的黑客攻击,但黑客可能已经获得了对设备的访问权限,可以对患者进行潜在的有害攻击,或者可能窃取个人信息。一些黑客不仅可以使用设备的连接来阻止其正常运行,还可以将其作为进入医院更广泛的技术系统的入口点。通过破坏单个设备,黑客可以在网络内横向移动——提升特权、获得对严密保护的系统和信息的访问权,甚至勒索网络。在美国,医疗保健提供者中的勒索软件案例每年都在持续增加,美国卫生与公共服务部的H3C安全计划在2021年报告了82起。勒索软件攻击医疗保健领域的后果可能包括无法访问数据、恢复纸质记录、关闭服务和将患者转移到其他机构,或者在最坏的情况下,无法提供服务导致患者预后不良。提高设备安全性需要所有利益相关者互联医疗设备的规模和范围使它们难以防御。围绕这些设备创建更好的整体网络安全将需要医疗设备制造商、监管机构和医疗保健组织本身的支持。虽然没有灵丹妙药,但这三个小组协同工作可以提高整体安全性。监管机构:政策制定者已开始在此过程中发挥积极作用,制定法规来指导制造商。在美国,FDA努力为利益相关者提供医疗器械安全指南。例如,FDA建议具有潜在网络安全风险的设备的上市前提交包括特定的设备设计、标签和文档。FDA继续完善其指南和最佳实践,以帮助医疗设备制造商和医疗保健社区解决网络安全和安全问题。设备制造商:制造商可以通过加强控制并对设备及其组件进行有效的网络安全测试来限制风险。但总的来说,设备本身需要一个更强大的网络基础设施,可以在产品的整个生命周期内扩展。医疗设备安全性应融入子组件级别的设备设计中。例如,蓝牙SoC可以从已经存在漏洞的第三方发货。这些很难检测并使设备容易受到攻击。这就是为什么设备制造商需要增强其协议模糊测试功能作为其标准质量控制流程的一部分,并加强与供应商的合作以确保快速识别和缓解潜在问题。医疗保健提供商:作为其网络卫生的一部分,医疗保健组织必须及时了解所有连接设备、硬件、软件和网络的网络安全。随着连接设备的增长,他们需要维护这些设备的最新清单,以便他们可以监控漏洞并通过制造商固件或软件升级或密码更改来缓解漏洞。他们必须制定最佳实践来选择将网络安全作为标准的医疗设备。医疗保健组织还需要投资于主动网络安全测试,例如漏洞检测和响应,同时投资于培训员工网络卫生的最佳实践。最后,医疗机构必须在网络攻击的情况下采取弹性措施。前进的道路根据MordorIntelligence的一项研究,医疗器械市场预计在未来五年内每年增长19%以上。随着互联医疗设备数量的增长,医疗机构和设备制造商必须共同努力,以确保患者和整个医疗环境的安全。互联医疗设备具有为患者带来巨大利益的巨大潜力,但前提是它们是安全的。
