?關(guān)注聯(lián)網(wǎng)醫(yī)療設(shè)備市場(chǎng)面臨的網(wǎng)絡(luò)安全威脅的文章經(jīng)常引用一個(gè)陳舊的統(tǒng)計(jì)數(shù)據(jù)：美國(guó)的平均病床有 10 到 15 臺(tái)聯(lián)網(wǎng)設(shè)備來(lái)收集和傳輸數(shù)據(jù)。

雖然這個(gè)數(shù)字很重要，但它只說(shuō)明了更大故事的一部分。 

例如，這些設(shè)備收集的數(shù)據(jù)類型的重要性和敏感性不斷增加。是的，工具可以采集心率和血壓讀數(shù)，但今天的聯(lián)網(wǎng)醫(yī)療設(shè)備也可以采集所有信息，包括患者的個(gè)人身份信息。

根據(jù)Cynerio的2022 年醫(yī)療保健物聯(lián)網(wǎng)設(shè)備安全狀況報(bào)告( PDF )，超過(guò)一半的聯(lián)網(wǎng)醫(yī)療設(shè)備被發(fā)現(xiàn)存在已知漏洞。如果這些醫(yī)療設(shè)備被黑客入侵，將嚴(yán)重影響服務(wù)可用性、患者保密性，甚至患者安全。

隨著物聯(lián)網(wǎng)在醫(yī)療保健行業(yè)的普及，醫(yī)療保健組織和設(shè)備制造商將需要優(yōu)先考慮連接醫(yī)療設(shè)備的安全性，以保護(hù)患者數(shù)據(jù)的私密性并確保患者的安全。 

攻擊面增加

這些設(shè)備中的每一個(gè)都為黑客提供了一個(gè)潛在的切入點(diǎn)，以危及患者安全或破壞醫(yī)療保健組織的后端網(wǎng)絡(luò)。黑客可以使用這些網(wǎng)絡(luò)連接未經(jīng)授權(quán)訪問(wèn)設(shè)備本身、設(shè)備監(jiān)控系統(tǒng)和患者數(shù)據(jù)。其他類型的攻擊包括：

• 拒絕服務(wù)攻擊
• 感染、重新編程或更改單個(gè)設(shè)備設(shè)置的惡意軟件
• 電磁干擾
• 便攜式或外部聯(lián)網(wǎng)醫(yī)療設(shè)備丟失甚至被盜

在某些涉及聯(lián)網(wǎng)醫(yī)療設(shè)備的勒索軟件案例中，患者的個(gè)人隱私可能會(huì)受到損害。例如，2017 年美國(guó)食品和藥物管理局 (FDA) 宣布，制造商 St. Jude Medical的 465,000 多臺(tái)植入式起搏器設(shè)備容易受到黑客攻擊。雖然沒有已知的黑客攻擊，但黑客可能已經(jīng)獲得了對(duì)這些設(shè)備的訪問(wèn)權(quán)限，以對(duì)患者進(jìn)行可能有害的攻擊，或者可能竊取了個(gè)人信息。

一些黑客不僅可以使用設(shè)備的連接來(lái)阻止設(shè)備正常運(yùn)行，還可以作為侵入醫(yī)院更廣泛技術(shù)系統(tǒng)的切入點(diǎn)。通過(guò)破壞單個(gè)設(shè)備，黑客可以在網(wǎng)絡(luò)中橫向移動(dòng)——提升權(quán)限，獲得對(duì)嚴(yán)密保護(hù)的系統(tǒng)和信息的訪問(wèn)權(quán)限，甚至勒索網(wǎng)絡(luò)。在美國(guó)，醫(yī)療保健提供者的勒索軟件案件每年都在持續(xù)增加，據(jù)報(bào)道有 82 起2021 年由美國(guó)衛(wèi)生與公眾服務(wù)部的 H3C 安全計(jì)劃提供。勒索軟件攻擊在醫(yī)療保健領(lǐng)域的后果可能包括無(wú)法訪問(wèn)數(shù)據(jù)、恢復(fù)紙質(zhì)記錄、關(guān)閉服務(wù)以及將患者轉(zhuǎn)移到其他設(shè)施，或者在最壞的情況下，無(wú)法提供服務(wù)導(dǎo)致患者預(yù)后不佳。 

提高設(shè)備安全性需要所有利益相關(guān)者

聯(lián)網(wǎng)醫(yī)療設(shè)備的規(guī)模和范圍使其難以防御。圍繞這些設(shè)備創(chuàng)建更好的整體網(wǎng)絡(luò)安全需要醫(yī)療設(shè)備制造商、監(jiān)管機(jī)構(gòu)和醫(yī)療機(jī)構(gòu)本身的支持。雖然沒有靈丹妙藥的解決方案，但這三組協(xié)調(diào)工作可以提高整體安全性。

監(jiān)管機(jī)構(gòu)：政策制定者已開始在此過(guò)程中發(fā)揮積極作用，制定法規(guī)來(lái)指導(dǎo)制造商。在美國(guó)，F(xiàn)DA 已努力為利益相關(guān)者提供有關(guān)醫(yī)療器械安全性的指導(dǎo)。例如，F(xiàn)DA 建議在上市前提交的具有潛在網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的設(shè)備中包含特定的設(shè)備設(shè)計(jì)、標(biāo)簽和文檔。FDA 繼續(xù)完善其指導(dǎo)方針和最佳實(shí)踐，以幫助醫(yī)療器械制造商和醫(yī)療保健界解決網(wǎng)絡(luò)安全和安全問(wèn)題。

設(shè)備制造商：制造商可以通過(guò)加強(qiáng)控制和對(duì)設(shè)備及其組件進(jìn)行有效的網(wǎng)絡(luò)安全測(cè)試來(lái)限制風(fēng)險(xiǎn)。但總的來(lái)說(shuō)，設(shè)備本身需要一個(gè)更強(qiáng)大的網(wǎng)絡(luò)基礎(chǔ)設(shè)施，可以在產(chǎn)品的生命周期中擴(kuò)展。醫(yī)療設(shè)備安全性應(yīng)在子組件級(jí)別融入設(shè)備設(shè)計(jì)。例如，藍(lán)牙系統(tǒng)級(jí)芯片組可以從第三方發(fā)貨，其中已經(jīng)存在漏洞。這些很難檢測(cè)到，并使設(shè)備容易受到攻擊。這就是為什么設(shè)備制造商需要增強(qiáng)其協(xié)議模糊測(cè)試能力作為其標(biāo)準(zhǔn)質(zhì)量控制流程的一部分，并加強(qiáng)與供應(yīng)商的合作，以確保迅速識(shí)別和緩解潛在問(wèn)題。

醫(yī)療提供者：作為其網(wǎng)絡(luò)衛(wèi)生的一部分，醫(yī)療保健組織必須與所有連接設(shè)備、硬件、軟件和網(wǎng)絡(luò)的網(wǎng)絡(luò)安全保持同步。隨著連接設(shè)備的增長(zhǎng)，他們需要保持這些設(shè)備的最新清單，以便他們可以監(jiān)控漏洞并通過(guò)制造商的固件或軟件升級(jí)或密碼更改來(lái)緩解。他們必須制定選擇醫(yī)療設(shè)備的最佳實(shí)踐，其中包括網(wǎng)絡(luò)安全作為標(biāo)準(zhǔn)。醫(yī)療保健組織還需要投資于主動(dòng)網(wǎng)絡(luò)安全測(cè)試，例如漏洞檢測(cè)和響應(yīng)，同時(shí)投資于培訓(xùn)員工了解網(wǎng)絡(luò)衛(wèi)生的最佳實(shí)踐。最后，醫(yī)療保健組織必須采取彈性措施，以防網(wǎng)絡(luò)攻擊。 

前進(jìn)的道路

根據(jù) Mordor Intelligence 的一項(xiàng)研究，醫(yī)療器械市場(chǎng)預(yù)計(jì)在未來(lái)五年內(nèi)每年增長(zhǎng) 19% 以上。隨著聯(lián)網(wǎng)醫(yī)療設(shè)備數(shù)量的增長(zhǎng)，醫(yī)療保健組織和設(shè)備制造商必須共同努力，以確?；颊吆驼w醫(yī)療保健環(huán)境的安全?；ヂ?lián)醫(yī)療設(shè)備具有為患者帶來(lái)巨大利益的巨大潛力，但前提是必須安全。