為什么安全誤解正在威脅醫(yī)療保健系統(tǒng)的物聯(lián)網(wǎng)設(shè)備

為什么安全誤解正在威脅醫(yī)療保健系統(tǒng)的物聯(lián)網(wǎng)設(shè)備

隨著勒索軟件攻擊不斷升級(jí)，其中最為常見(jiàn)的目標(biāo)是物聯(lián)網(wǎng)設(shè)備，醫(yī)院和其他關(guān)鍵的醫(yī)療系統(tǒng)面臨著飆升的風(fēng)險(xiǎn)。僅在2021年，針對(duì)醫(yī)療保健機(jī)構(gòu)的物聯(lián)網(wǎng)勒索軟件攻擊事件就增加了123%。

盡管大多數(shù)醫(yī)療保健系統(tǒng)都非常重視保護(hù)其設(shè)施中大量的醫(yī)療物聯(lián)網(wǎng)(IoMT)設(shè)備的重要性，但許多系統(tǒng)都存在一些誤解，阻礙了實(shí)現(xiàn)最佳IoMT安全保護(hù)和最佳實(shí)踐的能力。這些誤解，以及醫(yī)療保健組織應(yīng)該理解并基于其實(shí)踐的嚴(yán)酷現(xiàn)實(shí)，包括:

1) 傳統(tǒng)的IT安全工具已足夠。

醫(yī)療保健系統(tǒng)經(jīng)常犯這樣的錯(cuò)誤：認(rèn)為所有設(shè)備的安全性都是一樣的，并且認(rèn)為為標(biāo)準(zhǔn)IT設(shè)備，如服務(wù)器和筆記本電腦，提供的保護(hù)也可以有效地保護(hù)IoMT設(shè)備。

由于多種原因，傳統(tǒng)的IT安全性無(wú)法可靠地保護(hù)IoMT設(shè)備。首先，許多傳統(tǒng)安全工具利用主動(dòng)掃描來(lái)檢測(cè)威脅。但大部分IoMT設(shè)備無(wú)法承受主動(dòng)掃描，并會(huì)崩潰，可能會(huì)影響患者的健康。為保護(hù)傳統(tǒng)設(shè)備而設(shè)計(jì)的工具也不太可能可靠地發(fā)現(xiàn)和盤(pán)點(diǎn)IoMT設(shè)備，也無(wú)法保護(hù)所不知道的設(shè)備。這種方法也缺乏評(píng)估或?qū)⑽催B接IoMT設(shè)備相關(guān)風(fēng)險(xiǎn)的能力。

更好的方法是采用針對(duì)當(dāng)前任務(wù)的安全策略。有效的安全性將利用特定于IoMT的數(shù)據(jù)、框架和MDS2制造商披露聲明來(lái)理解和緩解已知的漏洞。IoMT安全還需要全面了解每個(gè)設(shè)備的連接和周?chē)纳鷳B(tài)系統(tǒng)。這些細(xì)節(jié)對(duì)于確定IoMT設(shè)備漏洞是否代表真正需要解決的威脅至關(guān)重要。

2) 增加IoMT專(zhuān)用安全系統(tǒng)超出預(yù)算。

醫(yī)療保健組織中的IT和安全決策者天生具有預(yù)算意識(shí)。然而，攻擊影響患者健康的真正可能性，以及安全缺陷導(dǎo)致6到7位數(shù)的監(jiān)管處罰，都有力地支持了他們無(wú)法承擔(dān)不投資IoMT安全的論點(diǎn)。

就像在醫(yī)療保健行業(yè)本身一樣，一盎司的IoMT安全風(fēng)險(xiǎn)預(yù)防勝過(guò)一磅的治療。實(shí)施有效的IoMT安全性可以通過(guò)消除識(shí)別和修復(fù)設(shè)備漏洞所需的大量現(xiàn)有支出來(lái)進(jìn)一步控制成本

，以及通過(guò)標(biāo)記存在和不存在構(gòu)成實(shí)際風(fēng)險(xiǎn)的漏洞來(lái)大大提高效率。IoMT安全洞察力還可以實(shí)現(xiàn)更高效的設(shè)備采購(gòu)，為更全面的安全策略的ROI最大化提供更大的可視性。

3) 為IoMT安全目的收集數(shù)據(jù)會(huì)增加違反HIPAA的風(fēng)險(xiǎn)。

當(dāng)然，醫(yī)療保健系統(tǒng)必須優(yōu)先考慮受保護(hù)的健康信息(PHI)的安全性和HIPAA法規(guī)。這不僅保護(hù)了患者，還避免了罰款和名譽(yù)損害。為了持續(xù)實(shí)現(xiàn)合規(guī)性，IT和安全團(tuán)隊(duì)對(duì)傳輸?shù)焦?yīng)商或云的任何信息謹(jǐn)慎實(shí)施數(shù)據(jù)共享限制。

然而，認(rèn)為收集數(shù)據(jù)為IoMT的安全實(shí)踐提供信息會(huì)增加違反HIPAA的風(fēng)險(xiǎn)的觀點(diǎn)是錯(cuò)誤的。IoMT安全分析側(cè)重于網(wǎng)絡(luò)流量數(shù)據(jù)，其中不包括PHI數(shù)據(jù)。安全保護(hù)措施還可以應(yīng)用過(guò)濾器，防止PHI通過(guò)云傳輸，畢竟云本身也可以符合HIPAA。使用完全本地化的IoMT基礎(chǔ)設(shè)施可以有效地防止外部數(shù)據(jù)傳輸和風(fēng)險(xiǎn)。

4) IoMT安全部署需要數(shù)月的努力。

雖然部署一個(gè)新的電子健康記錄系統(tǒng)可能需要組織整整一年的時(shí)間來(lái)完成，但I(xiàn)oMT特定的安全實(shí)施是一條完全不同的前進(jìn)路徑，過(guò)程要快得多。IoMT安全性采用了許多基于云的安全措施，不需要硬件采購(gòu)或冗長(zhǎng)的生產(chǎn)部署，而這些會(huì)拖延其他領(lǐng)域的實(shí)施。依賴(lài)于邊緣設(shè)備的IoMT安全系統(tǒng)仍然可以在短短幾小時(shí)內(nèi)實(shí)施。一般來(lái)說(shuō)，部署特定于IoMT的安全性并不會(huì)過(guò)于繁瑣或冗長(zhǎng)。

真相: IoMT特有的安全性是觸手可及的。

如果目前的趨勢(shì)如預(yù)測(cè)的那樣繼續(xù)下去，勒索軟件和其他針對(duì)IoMT設(shè)備的攻擊只會(huì)變得更加頻繁。對(duì)于醫(yī)療保健系統(tǒng)，避免數(shù)據(jù)泄露和業(yè)務(wù)本身面臨巨額罰款和嚴(yán)重聲譽(yù)損害至關(guān)重要。攻擊者希望IT決策者繼續(xù)相信IoMT過(guò)于復(fù)雜和具有挑戰(zhàn)性，無(wú)法妥善保護(hù)。好在，采用高效的IoMT特定安全措施的費(fèi)用和難度并不像仍然普遍存在的誤解所暗示的那樣令人生畏。

近期，由千家網(wǎng)主辦的2022年第23屆中國(guó)國(guó)際建筑智能化峰會(huì)將正式拉開(kāi)帷幕，本屆峰會(huì)主題為“數(shù)智賦能，碳索新未來(lái)”，屆時(shí)將攜手全球知名建筑智能化品牌及專(zhuān)家，共同分享AI、云計(jì)算、大數(shù)據(jù)、IoT、智慧城市、智能家居、智慧安防等熱點(diǎn)話題與最新技術(shù)應(yīng)用，并探討如何打造“更低碳、更安全、更穩(wěn)定、更開(kāi)放”的行業(yè)生態(tài)，助力“雙碳”目標(biāo)的實(shí)現(xiàn)。

歡迎建筑智能化行業(yè)同仁報(bào)名參會(huì)，分享交流！

報(bào)名方式

廣州站（12月08日）：https://www.huodongxing.com/event/2638587914600

成都站（12月20日）：https://www.huodongxing.com/event/5657854318600

西安站（12月22日）：https://www.huodongxing.com/event/4638585444400

上海站（12月27日）：https://www.huodongxing.com/event/3638582473900

北京站（12月29日）：https://www.huodongxing.com/event/4638577546900

更多2022年峰會(huì)信息，詳見(jiàn)峰會(huì)官網(wǎng)：http://summit.qianjia.com/

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。