物聯網今天無處不在，并且普及程度很高的一個領域是醫療行業。醫療物聯網（簡稱IoMT）是需要解決安全性的一個關鍵領域。

IoMT的演變 智能技術為醫療行業帶來許多好處。考慮到這一點，毫無疑問，醫院越來越多地使用智能設備。這種設備使醫生能夠快速連續地監視患者及其醫療狀況。此外，智能技術還可以進行更多需求分析并更早地識別醫療問題。 自然，智能設備可以帶來與患者健康無關的其他好處。醫院和其他醫療中心依靠智能設備來更快、更輕松地進行監視和信息流。 此外，制造商可以快速改進智能設備，而不必在醫院中實際使用它們。這提高了醫療機器的效率，并確保在不適當的時刻沒有任何損壞。IoMT最終降低了醫療行業的成本。根據目前的估算，IoMT將為美國健康產業節省約3億美元。

目前，德勤（Deloitte）的研究表明，美國的醫院平均每張床擁有15臺智能醫療設備。到2022年，IoMT的整個市場預計將達到520億美元。此外，IoMT市場是整個IoT市場的最大組成部分之一，這表明智能設備對醫療行業的益處。 IoMT中的安全風險 隨著IoMT的普及，我們也注意到安全威脅的增加。黑客越來越多地將目標對準美國的公共機構，而主要目標通常是醫院。 在過去的幾年中，對醫療機構的網絡攻擊造成了一些問題。他們中斷了許多重要服務，造成了財務損失，并降低了患者對整個醫療系統的信心。它們也給患者的健康帶來了風險。 對于IoMT，我們需要考慮兩個重要方面：物理威脅和隱私風險。

具有較弱網絡安全系統的大型醫院已經在面臨隱私風險。但是，隨著IoMT的使用越來越多，患者的信息比以往任何時候都面臨更大的風險。 另一方面，由于受到破壞的智能設備可能導致嚴重的健康問題，甚至可能導致死亡，因此物理威脅的問題更加嚴重。起搏器是這里最明顯的問題，因為它們可能給用戶造成最嚴重的問題，包括死亡。 總之，黑客不會停止利用醫療機構和IoMT設備缺乏安全性的情況。因此，重點在于提高醫療行業中IoT安全的有效性。 IoMT設備的開發人員和制造商需要更加專注于提高其設備的安全性。黑客社區將繼續以他們為目標，并將繼續發展和改進他們的方法。物聯網安全性需要遵循，如果不能超越這一改進。

物聯網醫療設備：網絡安全的挑戰及未來發展方向

網絡攻擊可能會對患者的安全造成災難性的影響，這取決于醫務人員的反應能力。像心臟病發作這樣的健康緊急情況是輸贏的情況，在這種情況下，幾分鐘決定著一個人的生死存亡。因此，了解并緩解此類攻擊的最壞情況變得至關重要。

當涉及到醫院網絡安全時，最關鍵的端點是什么？

醫療保健組織是攻擊者實施以物聯網（IoT）為重點的網絡攻擊的新焦點。從醫院安全的角度來看，最關鍵的終點是病人監護、通氣、麻醉、輸液泵等。

防線上的下一個關鍵設備是診斷機，如實驗室和放射設備，這些設備在面臨網絡攻擊時可能會產生嚴重影響。即使是無線標簽、聯網墊圈、門禁和其他在醫療流量中作用不大的設備也會影響醫務人員的響應時間。

復雜的醫療設備價值鏈與相連設備的安全性之間有什么關系？

復雜的醫療器械供應鏈允許供應商和醫院管理者在關鍵的安全最佳實踐中推卸責任。醫院管理人員認為設備制造商應對此負責，而設備制造商認為安全是醫院工作人員的職責。來自其他人的巨大期望使醫療器械的安全性變得困難。

因此，在醫院設備開發的最初階段就對設備安全問題進行深入的研究是非常重要的。

醫療器械易損性研究面臨哪些挑戰？

與獲取有關的挑戰：

●設備采購成本過高。

●政府法律和政策阻止供應商將其出售給非醫院。

●安裝，校準和配置的復雜性。

與供應商和研究人員之間的關系相關的挑戰：

●如果關系不合適，雙方合作提高安全性將變得具有挑戰性。

●如果醫院繼續使用易受攻擊的設備而不打補丁，那么良好的合作關系也不會取得成果。

因此，所有利益相關者聯合起來降低現實世界的風險就變得至關重要了。

負責任的信息披露——機構是否在發揮作用？

網絡安全仍然是醫療機構開始進入的新領域。不僅行業、政府和其他國家監督機構仍未完全標準化。由于這個事實，組織不知道什么報告程序，哪個控制適用于誰，在災難情況下由誰負責。

同樣，人們經常看到，控制披露時間軸的因素是不透明的，從制度的角度來看，指導邏輯還不清楚。負責監督諸如CISA之類的信息披露的機構通常無法在披露補丁之前就拒絕披露信息。因此，CISA有必要與FDA等機構密切合作。他們可以讓負責任的信息披露對健康產業的長期安全至關重要。

向CISO提供建議，CISO負責組織內連接設備的安全性

自動化是當今世界安全衛生組織的關鍵。使用單獨的權限和規則集來保護連接的設備、它們的眾多模型和部署的手工工作可能會給組織的勞動力和貨幣資源造成嚴重負擔。在醫療行業，自動化變得至關重要，因為醫院內外的環境不斷變化。

最好的選擇是為健康行業量身定做一種解決方案。它將熟悉醫療設備的獨特協議，并將24小時工作，以幫助檢測和消除漏洞。

物聯網是連接日常設備的線程，比以往任何時候都快。從安全角度來看，未來這些設備（尤其是在醫療領域）將成為最重要的負債。對于制造商來說，成為網絡安全方面的專家將是一件很麻煩的事，他們一直把網絡安全放在次要位置。此外，基于代理的安全解決方案需要頻繁更新，這在物聯網設備中變得具有挑戰性。因此，第三方集中解決方案是醫療行業在物聯網設備安全方面的首選。

為什么醫療機構必須采取措施消除網絡安全風險？

2020年新冠疫情大流行驅使醫療保健組織迅速轉向數字技術。這導致遠程醫療和連接技術應用的激增。此外，由于非必需員工在遠程工作，這擴大了威脅范圍，網絡犯罪分子正在利用新常態。

與大流行相關的網絡安全攻擊短期內出現了激增。根據國際刑警組織的報告，自大流行以來，惡意域名的數量增加了22％。惡意軟件和勒索軟件增加了36％；網絡釣魚、詐騙和欺詐行為增加了9％；假新聞增加了14％。 在醫療保健領域，數據泄露的數量在加速增長，截至2020年已有105起事件，影響了250萬用戶。在Fortified的2020年中期展望報告中，研究人員發現，從2020年上半年開始，醫療保健漏洞中有60％是由惡意攻擊或IT事件引起的。 據報道，9月10日，德國杜塞爾多夫大學醫院遭到網絡攻擊，系統崩潰，一名患者因此錯過治療時間，最后死亡。

該醫院遭受的是勒索軟件攻擊，通過醫院使用的商業軟件漏洞，病毒感染了其網絡上的30臺服務器。被攻擊后，該醫院的系統逐漸崩潰，醫院的手術系統癱瘓，緊急手術也被推遲。 醫療保健提供者必須意識到導致與安全相關的漏洞和違規激增的風險。隨著醫療保健組織現在越來越依賴于諸如移動應用程序之類的技術，這些應用程序擁有更多的個人健康信息，再次凸顯了增強安全漏洞以防止違反HIPAA的重要性。

那么醫療保健提供者可以做什么？ 身份認證對于確保只有授權人員才能訪問系統至關重要。這有助于防止數據受到勒索軟件、犯罪黑客、網絡釣魚和密碼攻擊等日益嚴重的威脅。身份和訪問管理是網絡安全的核心組成部分。如果使用了泄露的密碼，則它可能成為整個網絡的訪問點。 醫療保健組織可以部署以下步驟來幫助解決密碼問題。 強制多重身份驗證。采用諸如自適應身份驗證和生物識別之類的其他身份驗證措施可增加保護層，從而降低密碼攻擊的風險。 部署威脅情報工具。這些工具可以自動檢測并防止使用受破壞的憑據。它們是自動化的，從而減輕了IT團隊的壓力，同時提高了安全性。通過在激活外露密碼之前對其進行檢查并進行連續不斷的監控，可以消除使用外露密碼的風險。這種方法阻止了系統成為基于密碼的攻擊的容易目標。 教育員工。

醫療保健提供者必須不斷培訓員工有關密碼最佳做法的知識。這可以幫助灌輸更好的安全衛生狀況，并阻止使用弱密碼、密碼重用和密碼共享。緩解密碼問題的另一個簡單步驟是讓每個員工在訪問任何系統之前都使用密碼管理器。 前進的道路 在急于提供聯網的醫療服務時，提供商必須優先考慮安全性，以緩解不斷增長的威脅向量。由于對互聯醫療系統的依賴只會增加，因此組織必須繼續加強其網絡安全策略，并且不能忽視基礎知識，包括身份訪問管理和保護密碼層。如果大流行證明了一切，那就是采取預防措施而不是希望問題會消失的重要性。

原文標題：淺析醫療物聯網（IoMT）行業的安全問題

文章出處：【微信公眾號：物聯網技術】歡迎添加關注！文章轉載請注明出處。

責任編輯：haq