?關注聯網醫療設備市場面臨的網絡安全威脅的文章經常引用一個陳舊的統計數據：美國的平均病床有 10 到 15 臺聯網設備來收集和傳輸數據。

雖然這個數字很重要，但它只說明了更大故事的一部分。 

例如，這些設備收集的數據類型的重要性和敏感性不斷增加。是的，工具可以采集心率和血壓讀數，但今天的聯網醫療設備也可以采集所有信息，包括患者的個人身份信息。

根據Cynerio的2022 年醫療保健物聯網設備安全狀況報告( PDF )，超過一半的聯網醫療設備被發現存在已知漏洞。如果這些醫療設備被黑客入侵，將嚴重影響服務可用性、患者保密性，甚至患者安全。

隨著物聯網在醫療保健行業的普及，醫療保健組織和設備制造商將需要優先考慮連接醫療設備的安全性，以保護患者數據的私密性并確保患者的安全。 

攻擊面增加

這些設備中的每一個都為黑客提供了一個潛在的切入點，以危及患者安全或破壞醫療保健組織的后端網絡。黑客可以使用這些網絡連接未經授權訪問設備本身、設備監控系統和患者數據。其他類型的攻擊包括：

• 拒絕服務攻擊
• 感染、重新編程或更改單個設備設置的惡意軟件
• 電磁干擾
• 便攜式或外部聯網醫療設備丟失甚至被盜

在某些涉及聯網醫療設備的勒索軟件案例中，患者的個人隱私可能會受到損害。例如，2017 年美國食品和藥物管理局 (FDA) 宣布，制造商 St. Jude Medical的 465,000 多臺植入式起搏器設備容易受到黑客攻擊。雖然沒有已知的黑客攻擊，但黑客可能已經獲得了對這些設備的訪問權限，以對患者進行可能有害的攻擊，或者可能竊取了個人信息。

一些黑客不僅可以使用設備的連接來阻止設備正常運行，還可以作為侵入醫院更廣泛技術系統的切入點。通過破壞單個設備，黑客可以在網絡中橫向移動——提升權限，獲得對嚴密保護的系統和信息的訪問權限，甚至勒索網絡。在美國，醫療保健提供者的勒索軟件案件每年都在持續增加，據報道有 82 起2021 年由美國衛生與公眾服務部的 H3C 安全計劃提供。勒索軟件攻擊在醫療保健領域的后果可能包括無法訪問數據、恢復紙質記錄、關閉服務以及將患者轉移到其他設施，或者在最壞的情況下，無法提供服務導致患者預后不佳。 

提高設備安全性需要所有利益相關者

聯網醫療設備的規模和范圍使其難以防御。圍繞這些設備創建更好的整體網絡安全需要醫療設備制造商、監管機構和醫療機構本身的支持。雖然沒有靈丹妙藥的解決方案，但這三組協調工作可以提高整體安全性。

監管機構：政策制定者已開始在此過程中發揮積極作用，制定法規來指導制造商。在美國，FDA 已努力為利益相關者提供有關醫療器械安全性的指導。例如，FDA 建議在上市前提交的具有潛在網絡安全風險的設備中包含特定的設備設計、標簽和文檔。FDA 繼續完善其指導方針和最佳實踐，以幫助醫療器械制造商和醫療保健界解決網絡安全和安全問題。

設備制造商：制造商可以通過加強控制和對設備及其組件進行有效的網絡安全測試來限制風險。但總的來說，設備本身需要一個更強大的網絡基礎設施，可以在產品的生命周期中擴展。醫療設備安全性應在子組件級別融入設備設計。例如，藍牙系統級芯片組可以從第三方發貨，其中已經存在漏洞。這些很難檢測到，并使設備容易受到攻擊。這就是為什么設備制造商需要增強其協議模糊測試能力作為其標準質量控制流程的一部分，并加強與供應商的合作，以確保迅速識別和緩解潛在問題。

醫療提供者：作為其網絡衛生的一部分，醫療保健組織必須與所有連接設備、硬件、軟件和網絡的網絡安全保持同步。隨著連接設備的增長，他們需要保持這些設備的最新清單，以便他們可以監控漏洞并通過制造商的固件或軟件升級或密碼更改來緩解。他們必須制定選擇醫療設備的最佳實踐，其中包括網絡安全作為標準。醫療保健組織還需要投資于主動網絡安全測試，例如漏洞檢測和響應，同時投資于培訓員工了解網絡衛生的最佳實踐。最后，醫療保健組織必須采取彈性措施，以防網絡攻擊。 

前進的道路

根據 Mordor Intelligence 的一項研究，醫療器械市場預計在未來五年內每年增長 19% 以上。隨著聯網醫療設備數量的增長，醫療保健組織和設備制造商必須共同努力，以確保患者和整體醫療保健環境的安全。互聯醫療設備具有為患者帶來巨大利益的巨大潛力，但前提是必須安全。