美國聯(lián)邦貿(mào)易委員會(FTC)試圖規(guī)范物聯(lián)網(wǎng)的安全性，對于處理個人健康信息(PHI)的企業(yè)而言，這意味著什么呢?本文中專家Mike Chapple談及了這個問題。

現(xiàn)在越來越多的事物開始連接到互聯(lián)網(wǎng)，甚至比地球上的人類數(shù)量還多，而且這個數(shù)字還在迅速增長：根據(jù)Strategy Analytics表示，在五年內(nèi)，每個人將擁有四臺設備。互聯(lián)網(wǎng)曾經(jīng)只包括計算機、智能手機和平板電腦，而現(xiàn)在還包括聯(lián)網(wǎng)血壓計、煙霧探測器洗衣機。專家預測這個趨勢還會繼續(xù)發(fā)展，在未來五年，設備的數(shù)量將會翻一番。這將是巨量的設備，將會產(chǎn)生海量的數(shù)據(jù)。

所有這些數(shù)據(jù)將會去哪里呢?個人和服務提供商應該如何保護物聯(lián)網(wǎng)(IoT)所產(chǎn)生的敏感信息的機密性、完整性和可用性呢?如果這些數(shù)據(jù)包括個人健康信息呢?美國聯(lián)邦貿(mào)易委員會(FTC)的人員在研討會解決了這些問題，并在名為《物聯(lián)網(wǎng)：互聯(lián)世界中的隱私性和安全性》的報告中公布了其調(diào)查結(jié)果。

什么是物聯(lián)網(wǎng)?

雖然IoT是相當新的流行語，但其實它反映了過去十年出現(xiàn)的趨勢?，F(xiàn)在各種日常物品開始連接到互聯(lián)網(wǎng)，定期發(fā)送和接收數(shù)據(jù)。企業(yè)開始提供Wi-Fi功能的慢燉鍋、自動噴水滅水系統(tǒng)和燈泡。IoT正在改變世界，實現(xiàn)日常工作的自動化，并大規(guī)模進行數(shù)據(jù)分析。

在IoT的發(fā)展中，最有前景的領域之一是醫(yī)療保健領域?，F(xiàn)在很多人在使用個人健身追蹤器來收集身體活動的信息。血壓計、血糖儀和量表等會收集生命體征數(shù)據(jù)，并上傳到云服務器進行追蹤和分析。這些新設備和服務可帶來醫(yī)療優(yōu)勢，但同時也帶來對IoT安全和用戶隱私的問題。

IoT世界的安全和隱私風險

當我們使用IoT存儲、處理和傳輸健康信息時，我們面臨怎樣的風險?FTC在研討會詳細探討了這個問題，并確定了安全和隱私專業(yè)人員需要關注的三大類風險。這些風險與傳統(tǒng)聯(lián)網(wǎng)設備面臨的風險類似，但這些設備用于醫(yī)療和安全目的帶來了新的問題。

首先，IoT可能允許對個人信息的未經(jīng)授權(quán)訪問和濫用。IoT設備、云服務或它們之間的通信渠道中的漏洞可能允許外部攻擊者訪問敏感數(shù)據(jù)。而在涉及醫(yī)療設備的情況中，個人健康信息可能會暴露給入侵者或讓全世界看到。

其次，IoT設備可能推動對其他系統(tǒng)的攻擊。我們通常很難在非交互式設備安裝安全補丁，這可能讓它們易受攻擊。在攻擊者感染IoT設備后，他們可能會用它來入侵網(wǎng)絡，并對包含敏感信息的其他系統(tǒng)發(fā)動攻擊。

最后，在最糟糕的情況下，IoT設備可能會危及人身安全。FTC研討會的與會者提到了聯(lián)網(wǎng)胰島素泵的例子。如果攻擊者獲得訪問權(quán)限，在理論上來看，他們可能修改發(fā)送給患者的胰島素量，導致患者受傷害或死亡。政府官員非常重視這個問題，并曾修改了被植入當時副總統(tǒng)Dic Cheney的起搏器以防止外部攻擊。

這些風險需要安全人員的關注以及采取必要的緩解。企業(yè)在向市場推出IoT設備和服務時，必須審慎評估其產(chǎn)品的風險，并制定全面的安全和監(jiān)測計劃來其產(chǎn)品的保護機密性、完整性和可用性。

保護IoT領域的醫(yī)療數(shù)據(jù)

該FTC報告專注于物聯(lián)網(wǎng)的隱私性和安全性，其中承認了IoT應用的復雜性，并建議企業(yè)遵循最佳做法來保護健康信息。從安全的角度來看，企業(yè)在推出產(chǎn)品前應執(zhí)行風險評估，并測試安全措施。FTC還建議企業(yè)實現(xiàn)數(shù)據(jù)最小化，限制收集信息的數(shù)量，并在信息不再需要時刪除信息。另外，企業(yè)應該在必要的時候向消費者提供通知，消費者也應該有權(quán)利對數(shù)據(jù)收集做出選擇。該報告中最后且最有爭議的建議是，美國國會“應制定強有力的靈活且技術(shù)中立的聯(lián)邦立法，以加強其現(xiàn)有數(shù)據(jù)安全執(zhí)法手段，以及在發(fā)生數(shù)據(jù)泄露事故時向消費者提供通知”。

企業(yè)應該如何應對

該報告對你和你企業(yè)的影響是什么?并不是很多。該報告由FTC人員所編寫，但并不是管制行動。它只是對IoT的安全性提出了一些令人深思的問題，并為保護數(shù)據(jù)提供了正規(guī)指導。事實上，F(xiàn)TC專員Joshua D. Wright公開對該報告提出了異議，他稱，他覺得對于這個廣泛的話題，該報告的研究工作不足。Wright稱：“在為與物聯(lián)網(wǎng)相關的廣泛隱私法提供行業(yè)最佳做法和建議之前，委員會及其工作人員至少應該進行必要的工作，以確定部署這種最佳做法和建議的潛在成本和優(yōu)勢。”

保護物聯(lián)網(wǎng)的安全性

在政府和行業(yè)確定IoT安全的最佳做法的共同標準之前，我們還有很長的路要走。在此期間，對于處理醫(yī)療相關的IoT數(shù)據(jù)的企業(yè)而言，應該時刻保持警惕，并圍繞這些數(shù)據(jù)構(gòu)建可靠的安全程序。我們?yōu)楸Ｗo醫(yī)療數(shù)據(jù)使用多年的標準也可適用于通過聯(lián)網(wǎng)設備收集的數(shù)據(jù)。企業(yè)應利用常識，并保持數(shù)據(jù)安全。