随着勒索软件攻击的升级,医院和其他关键医疗保健系统面临的风险飙升,物联网设备是最常见的目标。仅在2021年,针对医疗机构的物联网勒索软件攻击就将增加123%。虽然大多数医疗保健系统都非常重视保护其设施中大量医疗物联网(IoMT)设备的重要性,但许多系统存在误解,阻碍了实施最佳IoMT安全保护和最佳实践的能力。这些误解以及医疗保健组织应该理解并基于其实践的严酷现实包括:由IT设备(例如服务器和笔记本电脑)提供的信息也可以有效保护IoMT设备。出于多种原因,传统IT安全无法可靠地保护IoMT设备。首先,许多传统安全工具利用主动扫描来检测威胁。但大多数IoMT设备无法承受主动扫描并会崩溃,从而可能影响患者的健康。旨在保护遗留设备的工具也不太可能可靠地发现和清点IoMT设备,也不太可能保护未知设备。这种方法还缺乏评估或放置与未连接的IoMT设备相关的风险的能力。更好的方法是采用特定于手头任务的安全策略。有效的安全措施将利用特定于IoMT的数据、框架和MDS2制造商披露声明来了解和缓解已知漏洞。IoMT安全还需要全面了解每个设备的连接和周围的生态系统。这些详细信息对于确定IoMT设备漏洞是否代表需要解决的真正威胁至关重要。在预算之外添加特定于IoMT的安全系统医疗保健组织中的IT和安全决策者天生就具有预算意识。然而,攻击影响患者健康的真实可能性,以及安全缺陷导致的六到七位数的监管处罚,强烈支持这样的论点,即他们不能不投资IoMT安全。就像在医疗保健行业本身一样,一盎司的IoMT安全风险预防值得一磅的治疗。实施有效的IoMT安全可以通过消除识别和修复设备漏洞所需的大量现有支出来进一步控制成本,并通过标记存在和不存在构成真正风险的漏洞来大大提高效率。IoMT安全洞察力还可以实现更高效的设备采购,提供更大的可见性,以最大限度地提高更全面的安全策略的投资回报率。为IoMT安全目的收集数据会增加违反HIPAA的风险当然,医疗保健系统必须优先考虑受保护的健康信息(PHI)安全和HIPAA法规。这不仅可以保护患者,还可以避免罚款和声誉受损。在不断努力实现合规性的过程中,IT和安全团队小心翼翼地对传输到供应商或云的任何信息实施数据共享限制。但是,如果认为收集数据以告知IoMT安全实践会增加违反HIPAA的风险,那将是错误的。IoMT安全分析侧重于网络流量数据,不包括PHI数据。安全保护措施还可以应用过滤器来防止PHI通过云传输,毕竟云本身可以符合HIPAA标准。使用完全本地化的IoMT基础架构可以有效防止外部数据传输和风险。IoMT安全部署需要数月的努力虽然部署新的电子健康记录系统可能需要组织整整一年才能完成,但IoMT特定的安全实施是一条完全不同的前进道路,而且过程要快得多。IoMT安全采用许多基于云的安全措施,无需购买硬件或进行可能会延迟在其他领域实施的冗长生产部署。依赖边缘设备的IoMT安全系统仍然可以在短短几个小时内实施。一般来说,部署特定于IoMT的安全性并不过分繁琐或冗长。真相:特定于IoMT的安全性触手可及如果当前趋势如预测的那样继续下去,针对IoMT设备的勒索软件和其他攻击只会变得更加频繁。对于医疗保健系统,避免数据泄露和企业本身面临巨额罚款和严重的声誉损害至关重要。攻击者希望IT决策者继续认为IoMT过于复杂和具有挑战性,无法妥善保护。幸运的是,采用有效的IoMT特定安全措施的费用和难度并不像仍然普遍存在的误解所暗示的那样令人生畏。
