当今物联网无处不在,其中一个普及度较高的领域就是医疗行业。医疗物联网(简称IoMT)是需要解决安全问题的关键领域。IoMT不断发展的智能技术为医疗行业带来了许多好处。考虑到这一点,毫无疑问,医院越来越多地使用智能设备。该设备使医生能够快速连续地监测患者及其医疗状况。此外,智能技术还可以进行更多的需求分析,更早发现医疗问题。当然,智能设备可以带来与患者健康无关的其他好处。医院和其他医疗中心依靠智能设备来实现更快、更轻松的监控和信息流。此外,制造商可以快速改进智能设备,而无需在医院实际使用它们。这提高了医疗机器的效率,并确保不会在不合时宜的时刻发生故障。IoMT最终降低了医疗保健行业的成本。根据目前的估计,IoMT将为美国健康产业节省大约3亿美元。目前,德勤研究显示,美国医院平均每张病床拥有15台智能医疗设备。到2022年,IoMT的整体市场预计将达到520亿美元。此外,IoMT市场是整个物联网市场中最大的组成部分之一,这显示了智能设备对医疗行业的好处。IoMT中的安全风险随着IoMT的普及,我们也注意到安全威胁的增加。黑客越来越多地以美国公共机构为目标,通常以医院为主要目标。在过去几年中,针对医疗机构的网络攻击引发了一些问题。它们扰乱了许多重要服务,造成经济损失,并降低了患者对整个医疗保健系统的信心。它们还对患者的健康构成威胁。对于IoMT,我们需要考虑两个重要方面:物理威胁和隐私风险。网络安全系统薄弱的大型医院已经面临隐私风险。然而,随着IoMT的使用越来越多,患者信息面临的风险比以往任何时候都大。另一方面,物理威胁问题更加严重,因为受损的智能设备可能导致严重的健康问题,甚至可能导致死亡。起搏器是这里最明显的问题,因为它们会给用户带来最严重的问题,包括死亡。总之,黑客不会停止利用医疗机构和IoMT设备缺乏安全性。因此,重点是提高医疗行业物联网安全的有效性。IoMT设备的开发商和制造商需要更多地关注提高其设备的安全性。黑客社区将继续以他们为目标,并将继续开发和改进他们的方法。IoT安全需要跟进(如果不是超越)这种改进。物联网医疗设备:网络安全挑战和未来方向网络攻击可能对患者安全造成灾难性影响,具体取决于医务人员的反应。像心脏病发作这样的健康紧急情况是一个双赢的局面,几分钟就可以决定生与死。因此,了解和缓解此类攻击的最坏情况变得至关重要。在医院网络安全方面,最关键的端点是什么?医疗保健组织是攻击者实施以物联网(IoT)为中心的网络攻击的新焦点。从医院安全的角度来看,最关键的端点是患者监护、通气、麻醉、输液泵等。防线中的下一个关键设备是诊断机器,例如实验室和放射设备,这可能会产生严重后果面对网络攻击。即使是无线标签、联网垫圈、访问控制和其他在医疗交通中扮演次要角色的设备也会影响医务人员的响应时间。复杂的医疗设备价值链与连接设备的安全性之间有什么关系?复杂的医疗设备供应链允许供应商和医院管理者推卸关键安全最佳实践的责任。医院管理者认为设备制造商有责任,而设备制造商认为安全是医院工作人员的责任。来自他人的巨大期望使医疗设备安全变得困难。因此,在医院设备研制初期就对设备安全问题进行深入研究显得尤为重要。医疗器械漏洞研究面临哪些挑战?与采购相关的挑战:●设备采购成本过高。●政府法律和政策禁止供应商向非医院销售。●安装、校准和配置的复杂性。与供应商和研究人员之间的关系相关的挑战:●如果关系不对,则双方合作以提高安全性将变得具有挑战性。●如果医院继续使用易受攻击的设备而不对其进行修补,那么良好的合作伙伴关系将不会取得成果。因此,所有利益相关者联合起来降低现实世界的风险变得至关重要。负责任的披露——机构是否有所作为?网络安全仍然是医疗保健组织开始行动的新领域。不仅是行业,政府和其他国家监督机构仍未完全标准化。由于这个事实,组织不知道什么报告程序,哪些控制适用于谁,以及谁在灾难情况下负责。同样,通常会发现控制披露时间表的因素不透明,从制度角度来看,指导逻辑也不清楚。CISA等负责监督信息披露的机构通常不能在补丁发布之前拒绝披露。因此,CISA有必要与FDA等机构密切合作。他们可以使负责任的披露对健康行业的长期安全至关重要。为负责组织内连接设备安全自动化的CISO提供建议是当今世界安全卫生组织的关键。使用单独的权限和规则集保护连接设备、它们的众多模型和部署的手动工作可能会给组织的劳动力和金钱资源带来沉重负担。在医疗保健行业,由于医院内外环境不断变化,自动化变得至关重要。最好的选择是为健康行业量身定制解决方案。它将熟悉医疗设备的独特协议,并将全天候工作以帮助检测和消除漏洞。物联网是连接日常设备的线程,速度比以往任何时候都快。从安全的角度来看,这些设备(尤其是在医疗领域)将成为未来最重要的责任。成为网络安全专家将给制造商带来很多麻烦,他们一直将网络安全置于次要地位。此外,基于代理的安全解决方案需要频繁更新,这在物联网设备中变得具有挑战性。因此,第三方集中式解决方案是医疗行业在物联网设备安全方面的首选。为什么医疗机构必须采取措施消除网络安全风险?2020年COVID-19大流行促使医疗机构迅速转向数字技术。这导致了远程医疗和连接技术应用的激增。此外,网络犯罪分子正在利用非必要员工远程工作的新常态,这扩大了威胁范围。与大流行相关的网络安全攻击在短期内激增。根据国际刑警组织的一份报告,自大流行以来,恶意域的数量增加了22%。恶意软件和勒索软件增加了36%;网络钓鱼、诈骗和欺诈增加了9%;假新闻增加了14%。在医疗保健领域,数据泄露的数量正在加速增长,截至2020年,有105起事件影响了250万用户。在Fortified的2020年年中展望报告中,研究人员发现,从2020年上半年开始,60%的医疗保健泄露事件是由恶意攻击造成的或IT事件。据报道,9月10日,德国杜塞尔多夫大学医院遭到网络攻击,系统崩溃。结果,一名患者错过治疗而死亡。该医院遭到勒索软件攻击,通过医院使用的商业软件中的一个漏洞感染了其网络上的30台服务器。遭到袭击后,医院系统逐渐崩溃,医院手术系统瘫痪,急救手术延期。医疗保健提供者必须意识到导致安全相关漏洞和违规行为激增的风险。随着医疗保健组织现在越来越依赖移动应用程序等拥有更多个人健康信息的技术,再次强调了加强安全漏洞以防止违反HIPAA的重要性。那么医疗保健提供者可以做什么?身份验证对于确保只有授权人员才能访问系统至关重要。这有助于保护数据免受勒索软件、犯罪黑客、网络钓鱼和密码攻击等日益增长的威胁。身份和访问管理是网络安全的核心组成部分。如果使用泄露的密码,它可能成为整个网络的访问点。医疗保健组织可以部署以下步骤来帮助解决密码问题。强制性多因素身份验证。采用自适应身份验证和生物识别等额外的身份验证措施可以增加保护层,降低密码攻击的风险。部署威胁情报工具。这些工具可以自动检测并防止使用受损凭据。它们是自动化的,减轻了IT团队的压力,同时提高了安全性。通过在激活密码之前对其进行检查并对其进行持续监控,可以消除使用暴露密码的风险。这种方法可以防止系统成为基于密码的攻击的简单目标。教育员工。医疗保健提供者必须不断地对员工进行密码最佳实践方面的培训。这有助于灌输更好的安全卫生习惯,并阻止使用弱密码、密码重用和密码共享。缓解密码问题的另一个简单步骤是让每位员工在访问任何系统之前使用密码管理器。前进的道路在急于提供互联医疗保健的过程中,供应商必须优先考虑安全性,以减轻日益增长的威胁向量。由于对互联医疗系统的依赖只会增加,组织必须继续加强其网络安全战略,而不是忽视基础知识,包括身份访问管理和保护密码层。如果大流行证明了什么,那就是采取预防措施而不是希望问题会消失的重要性。
