自2020年以來，網(wǎng)絡攻擊規(guī)模相比于去年，激增了300%。

[[331301]]

而像醫(yī)院、藥房、醫(yī)療設備供應商等關乎到每個人生命健康的機構，比以往任何時候，都要面臨更大的安全隱患。

即使這系列的攻擊，有時候不是直接針對某個醫(yī)療物聯(lián)網(wǎng)設備(IoMT)，但它也可以通過醫(yī)院的內(nèi)部網(wǎng)絡，感染用于診斷和治療患者的設備，如靜脈泵、患者監(jiān)控器、呼吸機和x光機。

正如美國醫(yī)院協(xié)會(AHA)網(wǎng)絡安全和風險高級顧問約翰·里吉(John Riggi)所說：“最壞的情況是，這些用于挽救生命的醫(yī)療設備，可能在被感染后直接無法使用。”

對醫(yī)院而言，防止網(wǎng)絡攻擊和保護IoMT設備不受感染的最佳方法，是將最脆弱和最關鍵的設備，彼此隔離或保持虛擬距離，也就是所謂的網(wǎng)絡分段。

醫(yī)院可以采取以下實際步驟，來分段臨床網(wǎng)絡，減少攻擊面，并保護患者免受網(wǎng)絡攻擊：

1.首先明確誰來負責?

傳統(tǒng)意義上，醫(yī)療設備安全一直是生物醫(yī)學工程設備專家的責任。

然而，隨著IoMT設備的日益普及和針對醫(yī)療保健的網(wǎng)絡攻擊的增加，醫(yī)院信息科室的IT團隊不得不在醫(yī)療設備安全方面投入更多的精力。因此，信息科室和生物醫(yī)學工程研究團隊之間需要緊密合作，為臨床網(wǎng)絡設計和實施安全有效的安全政策。

為確保醫(yī)療設備的安全，并將IT和生物醫(yī)學團隊進行跨部門整合，這時候就需要一個單獨的、最終的IoMT網(wǎng)絡安全政策決策者。

一些大型機構，甚至增設醫(yī)療設備安全員(MDSO)的角色，直接負責整個醫(yī)院整個臨床網(wǎng)絡中的醫(yī)療設備安全。

2.創(chuàng)建可靠的設備清單

如果沒有對醫(yī)院連接的醫(yī)療設備、設備上的配置文件、通信模式，有足夠深入了解，就無法設置網(wǎng)絡分割策略。

自動化庫存工具，還必須能夠在了解IoMT設備行為、臨界性、脆弱性的情況下，對設備進行持續(xù)分析。

3.評估每種設備的風險

風險評分，應根據(jù)設備可能造成的危急程度和醫(yī)療影響來計算。風險評估應持續(xù)進行，并持續(xù)監(jiān)控網(wǎng)絡異常行為。為了評估風險，必須考慮以下因素：

• 與正常設備功能所需的外部服務器通信(即供應商通信)
• 設備需要存儲和發(fā)送ePHI，以及用于什么目的?
• 設備使用模式
• 設備是否運行不支持的操作系統(tǒng)或有任何已知的漏洞?如果是，是用補丁，還是用網(wǎng)絡分割方法來保護設備?

4. 實時關注監(jiān)管指南和規(guī)則

如果醫(yī)院不遵守聯(lián)邦和州監(jiān)管標準，將面臨數(shù)百萬美元的罰款。拋開金錢損失不談，不遵守網(wǎng)絡安全準則會使醫(yī)療設備面臨風險，并可能危及患者的安全、商業(yè)誠信和醫(yī)院的聲譽。

涉及醫(yī)療保健和醫(yī)療設備的準則和條例定期更新。為了保持合規(guī)，醫(yī)院必須密切關注州聯(lián)邦機構發(fā)布的監(jiān)管標準和更新，包括：

• 美國食品和藥物管理局(FDA)
• 醫(yī)療設備信息共享和分析(MDISS)倡議
• 《健康保險可攜性和問責法》(HIPAA)

5. 設計、驗證和執(zhí)行分段策略

分段策略用以減少攻擊面，并阻止?jié)撛谕{。網(wǎng)絡分段還可以通過將流量限制到指定區(qū)域和減少網(wǎng)絡負載，來幫助網(wǎng)絡更順暢地運行。

然而，在臨床網(wǎng)絡上執(zhí)行任何分段策略之前，應測試其安全性和有效性。醫(yī)院安全團隊應始終驗證分段策略，然后在網(wǎng)絡上執(zhí)行，以確保醫(yī)療服務和臨床操作的連續(xù)性。