衛生保健中物聯網的上升和風險

近幾十年來，醫療保健行業的技術發展迅速，特別是隨著物聯網的到來。目前，醫療保健IoT提供了顯著提高病人和醫院行動環境意識的好處。然而，這種技術還引入了新的和陌生的網路安全風險，對人類生活造成巨大的後果。

到2020年，醫療衛生方面的物聯網預計將達到1170億美元。根據這一水平的採用，醫療保健技術主管將根據這些新技術將出現的漏洞重新考慮安全。我們來看看物聯網在醫療保健方面的風險和一些CIO可以利用的最佳做法來幫助緩解這些風險。

缺乏安全性

衛生保健行業中使用物聯網（包括互聯網的醫療設備）不可避免地引起了患者和醫護人員的網路安全問題。醫療保健並不孤單：數十年來，許多高科技行業一直在努力解決網路安全問題。醫療保健行業在管理網路安全風險方面也面臨同樣的挑戰，其中包括物聯網設備的出現。但鑒於對人類生活的潛在影響，賭注和壓力要高得多。

一些製造商和軟體供應商正在比其他方面更快地適應新的網路安全挑戰，但還有很長的路要走，而且快速學習是一種高風險的方法。丟失信用卡號碼是有問題的，但是竊取醫療數據或醫療器械本身的妥協是一件更加危險的事情，這就是為什麼強大的安全形勢至關重要。

數據竊取不被視為直接危及生命，但可能對患者和提供者造成破壞性影響。想像一下，如果敏感的醫療狀況受到數以千計的患者發布在像Pastebin這樣的公共論壇上，或者更糟的是，如果數據被賣給勒索者，這個影響。這些數據妥協可能會對醫療保健提供者造成HIPAA違規，從業務角度來看，這可能是一個非常昂貴和不愉快的經歷。

由於患者很少或根本無法要求在治療中使用某種類型的設備，因此責任完全在於醫療保健提供者

一個更可怕的前景是顛覆設備本身。互聯網連接的醫療設備，如遠程管理的胰島素泵，內部除顫器和起搏器已經確定了弱點。這些漏洞的武器化已經超越了傳統的網路安全威脅，正在進入網路恐怖主義的領域。衛生保健提供者，設備製造商，軟體開發商以及整個醫療保健行業都有義務為威脅構建徹底的防禦措施。

早期最佳實踐

物聯網在醫療保健還處於初期階段，但承諾是巨大的，採用正在加速。雖然FDA已經開展了一些提供與醫療設備相關的網路安全指導的活動，但廣泛接受和經過戰爭測試的行業標準尚未出現。然而，今天可以應用一些常識性最佳實踐，可以顯著降低醫療保健提供者和接受者的風險。許多這些做法分為兩類：設備安全和後端系統安全。

由於病人很少或根本無法要求使用某種類型的器械進行治療，所以責任落在醫護人員身上，為患者做出正確的決定。設備處理能力，特性和經濟性都非常重要 - 但是設備的安全性，管理系統及其產生的數據也非常重要。

設備安全

設備勤勉必須在前面處理，因為一旦設備被採購就很難獲得安全性較差的安全性，即使在安全性較差的情況下，也很少需要更換設備。

醫療當購買醫療設備時，醫療服務提供者需要評估製造商在多大程度上參與安全性問題。他們需要這樣做，即合規性不等於安全性 - 購買者需要超越合規性列印列表，以確保設備的製造和維護在安全性方面發生。對於設備本身，買方應尋找明確定義和記錄的流程來實施安全機制，並在設備製造中使用安全設計實踐。這些安全機制和設計結構也應該進行徹底的測試，以驗證其旨在提供的安全機制;這個測試過程也應該清楚地記錄並證實。重要的安全測試失敗應被視為為設備製造創造無條件條件的產品缺陷。

要考慮的另一個關鍵領域是設備如何維護後期製造。任何一種技術一旦發布到野外就不可避免地會出現漏洞。製造商的更好的安全設計和測試流程意味著這種情況的發生並不頻繁，但會發生。這意味著了解製造商的反應是很重要的。製造商應該制定明確的漏洞響應計劃，包括在識別出重大漏洞時通知設備所有者（通常是醫務人員）的協議。為了解決漏洞的時間，服務級別協議也應該到位，承諾更快地解決更為嚴重的漏洞。當然，設備本身相對容易和快速地升級軟體的能力至關重要 - 無法更新的設備永遠不會有補救的漏洞。

後端管理的安全性

設備安全可能得到最多的關注，因為它是最引人注目的，這很重要。不幸的是，往往被忽視的是管理設備的後端系統，處理其生成的數據，並為管理員和醫療保健提供者提供介面。由於這些後端系統通常可以用來整合設備或數據，因此它們對於攻擊者來說是非常高價值的目標。

在選擇設備製造商時，這些後端系統也需要進行評估，同時也要注意安全以及遵守。幸運的是，這些應用系統的標準比較多，使得評估和監控工作更加簡單。

在實施網路安全解決方案方面，保護是關鍵，但是這種保護必須符合您的需求。

對於由買方（例如內部部署軟體）交付和運行的軟體，應將類似的安全和合規性做法評估為設備本身考慮的那些。軟體開發流程，安全設計和開發實踐（例如使用OWASP標準），測試漏洞以及正在進行的漏洞檢測，通知和修復過程至關重要。同樣重要的是軟體升級對設備操作的影響，特別是對於買方管理的軟體。如果軟體更新定期需要管理系統中斷，則設備需要能夠處理中斷而不影響操作和/或數據收集。

設備管理和管理系統通常作為SaaS應用程序提供給醫療保健提供者。這意味著設備製造商（或有時是第三方技術提供商）負責確保系統運行中的安全性和合規性，而不僅僅是在開發中。除了簡單的SLA或合規性認證之外，還需要進行徹底的評估。 HIPAA標準的操作符合性是最低限度的，對於醫療保健提供者來說，保護自身免受HIPAA違規責任的必要性。除遵守規定外，提供商應堅持與現有行業最佳做法相一致的良好的技術和運營方式。諸如ISO 27001/2，互聯網安全關鍵控制中心和（用於雲解決方案）參與CSA STAR計劃的標準是良好的起點。

下一步

在設備和系統中找到弱點，並設置正確的協議和軟體來保護患者信息有很多考慮。網路安全是一個持續的過程，需要受過專業訓練的專業人士的關注。如果您的組織決定將安全問題外包給軟體提供商，請確保它們解決了諸如合規性，安全漏洞的自動通知以及提供易於使用的界面等問題。在實施網路安全解決方案方面，保護是關鍵，但是這種保護必須符合您的需求。

與其他行業一樣，不斷引進和實施新的和深遠的技術。醫療保健也不例外;隨著時間的推移，網路安全將繼續成為該行業更重要的組成部分。無論您是個人提供商還是更大的組織，重要的是要儘快找到和修復安全漏洞，以保護患者和整個組織對網路攻擊的興趣。

標準和實踐將會發展，直到那時，重要的是應用目前可用的標準和良好的老常識。不要忘記合規性不等於安全性。但最重要的是要思考和勤勉 - 你的病人依賴它。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！