Home / Resources / News and Trends / ISACA Now Blog / 2022 / 解决医疗物联网设备的安全风险

解决医疗物联网设备的安全风险

埃乔娜·普雷帕蒂和柯蒂斯·西姆斯
Author: joona prei, CISM, CRISC, ITIL, FREE NOW(宝马)信息安全风险经理 & 戴姆勒合资澳门赌场官方下载), Germany, and Curtis Simms, MBA, CISM, CISA, CDPSE, CSX-P, CISSP, CHFI, CEH, 光明健康集团安全运营总监, USA
Date Published: 25 July 2022

物联网(IoT)使全球数百万连接到互联网的智能设备能够收集数据, 处理和共享数据. IPv6的采用, 为全球所有设备提供足够的IP地址, 是否对物联网的规模化起到了巨大的推动作用. 物联网不仅重塑了我们日常生活的许多方面, 但这也是医疗保健行业的一次彻底改革.

Nowadays, 一家典型的医院使用数十个物联网设备, 包括衣物, guided imagery, 监测传感器, implantable, ingestible, etc. 多亏了这种技术, 医护人员现在可以远程协助和监测患者, 在获得医疗保健方面,哪一步是一大进步, 特别是对于有交通障碍的患者, 老年人和住在偏远地区的人.

2019冠状病毒病大流行为加快物联网在医疗保健领域的应用铺平了道路. 卫生设施不堪重负和面对面接触减少是增加远程医疗援助的一些触发因素. 医疗物联网设备在医疗保健中的价值 几乎翻了两番 from US$177.到2021年将达到640亿美元,超过467美元.到2027年将达到250亿美元. 复合年增长率(CAGR)估计为7%.49 percent.

In the past, 由于与数据安全和隐私相关的监管政策和立法,物联网设备在医疗保健行业的采用率一直较慢. 在COVID-19大流行期间, 新出台的法规通过了快速审批程序,以批准物联网的利用.

物联网在医疗领域的大规模应用涉及到患者个人信息的处理和传输, 这就引发了隐私和安全方面的问题. 虽然物联网技术为更好的患者护理提供了几个优势, 许多医疗物联网设备缺乏强大的安全性. In general, 每一个连接到互联网的设备都是一个潜在的安全风险,可能通过各种威胁媒介导致可能的安全事件或数据泄露. 相关风险可能是进入医疗保健组织基础设施的入口点. 接触医疗物联网设备可能会进一步危害信息和系统,或因安全控制不力或薄弱而损害患者的安全, 包括不充分的安全测试.

针对IoT设备的安全攻击 大流行期间的情况令人震惊:救护车改道, 孕妇门诊就诊和癌症患者放射治疗延迟, 医疗记录被加密,无法访问或永久丢失, etc. 考虑到存储和处理的个人信息的数量, 众所周知,医院和其他医疗机构是勒索软件最喜欢攻击的目标. 勒索软件攻击给医疗机构造成了20美元的损失.2020年(2019冠状病毒病爆发期间)80亿美元, 560家医疗保健提供商机构成为该恶意软件的受害者. 根据该报告,医疗保健行业在2021年面临的此类攻击增加了755% 《澳门赌场官方下载》由SonicWall发布. Hospitals can’t go long without patient data; thus, 他们更有可能使用气隙备份技术及时支付赎金. In addition, 黑客已经能够控制医疗设备, 更改它们的配置或参数, 把它们变成致命武器. 想象一下,物联网医疗设备收集的重要指标的价值发生了多么微小的变化, 比如葡萄糖或血氧计, 可能影响病人的护理. 这可能会导致错误的药物剂量建议和潜在的致命后果.

如今,谁对医疗物联网数据泄露负有法律责任尚不清楚. 在某些情况下,技术提供商负有责任. 然而,在一些诉讼中,医疗机构被追究责任. 随着物联网设备不一定托管在医院的网络上,而是托管在患者的家中,这种困惑不断升级. 在这种情况下谁应该负责:患者还是医疗机构? 随着远程医疗的持续发展,这些疑问需要澄清.

提高其弹性,并为未来的物联网攻击做好更好的准备, 医疗机构应考虑以下最佳实践:

  • 采用适当的技术和组织措施(TOM)来实施数据保护原则
  • 实现有效的身份验证机制
  • 为跟踪实现安全协议和隐私保护解决方案, 监控和分析
  • 维护物联网设备和相关资产的清单
  • 提供网络分段并在其级别上保护每个子网
  • 实时监控检测
  • 根据数据的临界级别对数据进行加密.g., PI, PII, PHI等.).

On the other hand, 物联网制造商和开发人员在构建此类设备时应考虑实施“设计安全”和“默认安全”原则. 良好的网络安全流程对于防止医疗设备物联网攻击至关重要. 在一个网络攻击数量创纪录的时代, 供应商必须对与设计相关的所有领域负责, 安全基线, 强大的安全控制, 包括经常打补丁,以减少对患者的重大风险.

In March 2020, 国际医疗器械监管机构论坛(IMDRF), 自愿组织, 组建医疗设备网络安全工作组并发布 医疗设备网络安全的原则和实践. 本文档概述了供应商的指导原则, 漏洞修复, 事件响应, 并提供了一些行业参考资料以获取更多信息. 同时为医疗设备的一般安全原则量身定制, 这包括医疗设备物联网. 美国国家标准与技术研究院(NIST)于2021年9月发布 针对NIST网络安全物联网指南公众意见的虚拟研讨会总结报告. 这份报告很重要,因为它概述了整个行业的关键利益相关者, 学术界和政府解决物联网的网络安全问题, 哪些会直接影响使用物联网的医疗设备.

医疗设备面临的威胁将继续存在 物联网技术存在的安全控制有限或较差的地方. 相关风险会对货币产生重大影响, 从设计缺陷到与数据泄露相关的监管或相应罚款. 改善和发挥作用的潜力日益增长, 在业界的支持下,为未来铺平了道路.

ISACA Now By Year

2023
Check mark

2022
Check mark

2021
Check mark

2020
Check mark

2019
Check mark