挑战与变化:今天的医疗物联网
近年来,物联网极大地改善了医疗保健行业的患者护理。无论是监测体温、自动提醒医生,还是做其他完全不同的事情,这些设备都让医生和治疗机构能够比以往更强烈地跟踪实时数据反馈。
然而,这些创新也可能给企业安全工作带来重大风险。请考虑医疗保健组织数据泄漏的平均成本超过360万美元去年,每条个人数据记录的费用是380美元!没有其他任何一个行业在恢复数据丢失方面花费更多。
那么,为什么医疗保健部门难以保证物联网的安全性呢?今天最重要的是,有迹象表明两个主要的行业挑战:设备制造商优先级和网络访问安全。
实用程序在安全
在今天的物联网市场中,设备的生产速度非常快,以跟上这项技术的飞速普及。作为医疗组织由于急于采用和实施下一代数据设备,全球设备制造商的首要任务已经转向了易用性,以消除企业部署时的停机时间。不幸的是,这意味着安全性在优先级列表上的位置通常比它应该的低得多。
事实上,许多医疗保健专业人士认为,物联网技术是该行业最近数据暴露和泄露事件增加的原因。仅去年一年,医疗设备的脆弱性就增加了525%——至少可以说这是一个令人担忧的事实。
即使在当今动荡的数字环境中,大多数物联网设备在设计上也没有设置密码或加密功能。这意味着大多数医疗保健组织在网络安全团队有机会确保这些设备不会危害企业网络和数据安全之前就实现了这些设备。与2016年相比,医疗保健行业出现了a增长211%在去年披露的网络安全事件中,许多都是由于未能解决物联网普遍存在的软件漏洞造成的。
例如,连接成像系统已经成为当今医疗保健技术生态系统的主要安全威胁。在2017年,65%的医疗相关勒索软件感染针对的是这些不安全的系统,所有与物联网设备相关的安全警报中有45%是由这些创新发出的。
除了缺乏制造商安全标准,每当发现新的风险时,物联网技术也很少更新。这一事实,再加上这些设备在大多数情况下无法生成警报或监控系统完整性,意味着越来越少的医疗保健提供商能够了解其物联网程序的真正执行情况。即使一个组织使用安全软件,比如移动设备管理, 64%的无法注册每个企业物联网端点。
对网络安全的需求
不过,设备级保护并不是医疗保健领域永无止境的物联网安全搜索中唯一面临的严峻挑战。保护内部网络免受试图破坏数据或导致系统故障的受感染端点的攻击,是该行业的IT专业人员持续不断地要处理的事情。
不幸的是,对于这些员工来说,大多数物联网设备不包括在紧急情况发生时保护其连接的网络免受威胁的控制。相反,如果企业希望增加安全性和减少潜在的物联网风险。虽然95%的医疗行业高管相信,他们的业务完全不会受到网络安全威胁,但只有36%的人有访问管理政策,只有34%的人目前有正式的网络安全审计。
物联网网络安全很复杂,因为这些设备不像传统业务技术那样只连接到一个位置——分割和/或隔离物联网流量是一项复杂的任务。另外,很少有设备可以被配置为默认拒绝网络访问。
而且,由于网络安全是一项时间和资源非常繁重的任务,因此医疗保健组织部署的设备往往超过了它们能够安全实现和操作的数量。考虑到今年只有31%的行业计划对其员工进行物联网安全实践培训或建立正式的物联网设备政策,难怪黑客认为与大多数其他行业相比,这些公司非常容易成为攻击目标。
也就是说,在大多数行业决策者的心目中,物联网的业务利益和颠覆性医疗保健潜力往往超过这些相当大的风险。如果您的组织正在努力管理物联网安全,这里有一些提示,您可以使用,以提高程序保护:
跟踪所有的科技产品
没有一个准确的库存在所有的网络连接技术中,医疗保健机构不可能完全保护物联网。如果你的公司不是已经维护,确保它开始跟踪供应商名称、型号和序列号,版本,物理位置,支持联系人或任何其他相关的数据点,可以帮助您快速识别设备和减少损害它在最糟糕的情况下。
此外,这允许IT团队阻止受感染的设备被用作枢轴点——攻击者使用这些设备在整个公司移动环境中散布安全威胁。
Pre-authorized安全团队
当物联网入侵发生时,如果有任何希望保护敏感数据,它需要迅速采取行动。通过预先授权训练有素和专业的安全专家,医疗保健组织可以尽快移除其网络中最易受攻击的设备和传感器。如果发生攻击,此策略还有助于最大限度地保护(希望如此)隔离任何恶意设备活动。
限制访问
由于物联网设备缺乏其他移动技术拥有的那么多保护,以独特的方式管理它们可能是有益的。如果你工作的地方是这种情况,最简单的解决方案是创建一个独立的物联网网络。虽然这最大化了物联网网络和项目保护,但对于依赖数据流和多个系统之间集成的医疗保健组织来说,这也是不可行的。
更高级(也更有效)的方法是结合加密和网络访问限制。通过这种方式,企业可以保护传输中的或静止的数据,同时确保只有经过授权的设备才能访问网络并在网络上进行通信。
有一个计划
你会惊讶于一点点的准备工作能做得多好。大多数医疗保健公司过于担心跟上最新的技术,以至于忘记了同时准备备份系统和设备。这使得进行大规模更新、部署或任何其他活动变得更加困难,因为这些活动可能会让设备在很长一段时间内脱离员工的控制。
知道如何保护设备在完全失败的情况下管理它也很重要,因为没有任何技术是100%安全的。如果设备或网络意外离线,企业领导者需要知道如何应对,如果他们想要最小化组织的恢复时间。
提高能见度第一
先进的物联网设备是巨大的企业工具,但如果你不能揭示或解释它们提供的见解和反馈,它最终是一种浪费的技术。没有可见性,就无法识别趋势、发现风险或知道对于特定情况哪种对策是最好的。
为物联网建立的网络监控平台是每个组织都需要的。通过创建和利用一个,一个组织的IT管理员可以跟踪每一个连接的设备和相应的网络——包括它们处于什么状态,是否有任何需要采取行动的直接威胁。
物联网刚刚开始在医疗保健行业崭露头角。展望未来,这些组织会克服技术的最大挑战,还是黑客和网络罪犯会继续利用这种混乱和复杂性?
所有IoT Agenda网络贡献者都对其帖子的内容和准确性负责。意见是作者的,不一定传达物联网议程的想法。