问题与解答:医疗保健领域的物联网安全是远程医疗趋势的焦点

医疗领域的物联网安全对医疗设备制造商和医疗设施来说，比保护连接设备的典型困难带来了更大的挑战。

在医疗保健行业，制造商必须更严格地遵守安全最佳实践，设备在实施或设备软件更新之前要经过更长的审批过程。医疗保健组织中的IT专业人员必须说明每个连接设备的情况，并确保所有医务人员使用最佳实践确保受保护的健康信息(PHI)和个人可识别信息(PII)的安全。尽管存在这些挑战，但物联网设备在医疗保健领域的应用改善了该行业病人护理的远程监控以及医疗设备的资产追踪

医疗物联网管理和安全公司Medigate联合创始人兼首席执行官乔纳森•兰格(Jonathan Langer)预计，医疗领域的联网设备数量将会增加，网络威胁也将随之增长。在这里，兰格讨论了医疗行业物联网安全的现状、联网医疗设备的最佳实践，以及新型COVID-19病毒将如何推动医疗保健走向远程应用。

总的来说，您在互联医疗网络安全市场中看到了哪些趋势?

乔纳森·兰格:过去两年的主要趋势是互联化趋势，这意味着医疗保健系统，就像其他行业一样，已经看到了一个互联医疗设备的涌入整个设备，如床边病人监视器，输液泵和放射学。仅仅是联网设备的数量就已经显著增长。这些设备产生的数据对于更实惠的医疗和改善患者共享的价值是如此巨大，这一趋势是非常清楚的，为什么会发生这种情况。

互联技术带来了哪些安全趋势?又存在哪些风险?

兰格:这些医疗设备的问题基本上是双重的，就医疗设备的固有风险而言——它们包含PHI和PII，这是非常敏感的信息。此外，它们还可以用作网络攻击的轴心点，以到达网络中的其他PHI存储库。这不仅仅是一个隐私问题;这也是病人安全的问题。你只能想象会发生什么，如果有人在医疗设备上部署勒索软件然后关闭它，或者做得更糟。首先，这些设备确实是关键的基础设施，这带来了风险。

另一个风险，更多的是在技术方面，这些设备，主要是实时嵌入式设备，有能力更新软件。然而，更新软件是复杂的。医疗设备制造商生产的医疗设备将在该设备上安装专有软件。这些软件，取决于医疗设备制造商在设计时的勤勉和周到程度，可能更脆弱，也可能不那么脆弱。一些医疗设备制造商做得非常好。

乔纳森·兰格

更大的问题是，当发现新的软件漏洞时，补救这些漏洞的能力并不容易。与你的笔记本电脑或智能手机相比，它需要很多时间，你可以获得一个软件补丁，只需点击一个按钮就可以立即更新。在医疗设备上做同样的事情是一个更加复杂的过程。它要求制造商部署贴片并进行质量保证过程，因为这些设备关乎患者安全。他们被要求确保设备和打过补丁的软件确实是安全的。然后，补丁需要分发到各个医疗保健系统的设备上。这些企业也需要时间进行更新。在这段时间内，网络攻击者有很好的机会利用这种情况。这就是为什么，最终，这是一个更加脆弱的环境。

您认为医疗设备面临的最大威胁是什么?

兰格:勒索软件之所以流行，只是因为它相当简单。这并不意味着这些网络攻击者专门针对医疗保健行业。这是一种范围广泛的无目标攻击，也会影响医疗保健。另一次袭击，你们可能听说过WannaCry ransomware2017年的袭击事件。这显然打击了医疗行业。

我要提到的另一个风险是PHI风险。这在医疗行业是很重要的。敏感的患者信息有非常严格的规定，需要加以保护。

最后，如果有人修改了医疗设备的操作——可能改变了剂量，或诸如此类的事情会发生什么。这是一个非常可怕的情况。我不知道这种情况是否会发生，但我们必须做好准备，考虑最坏的情况，确保我们的安全保障不会让这种情况发生。

您对医疗保健机构的最重要建议是什么?

兰格:第一个最佳实践是理解什么是连接的，这被称为网络可见性或库存。这听起来很简单，但在许多医疗保健系统中这是一个巨大的差距。由于医疗设备的不同性质和它们使用的专有协议，这是一个技术挑战。如果你想要使用不同的技术工具来做清单，或者你想要手动做，这并不重要。如果您对当前与您的环境连接的内容有一个良好的基线，那么就最佳实践而言，这确实是一个起点。

另一个基本的最佳实践是了解哪些设备在我的环境之外进行通信。部分设备需要与internet或外部IPs通信进行维护。他们做软件更新和遥测。我要确保知道哪些设备正在对外通信，并关闭通过防火墙的通信，这样其他设备就不能对外通信了。这将大大降低风险。

第三个最好的做法是网络分割，这是一个复杂的过程。它需要深入了解围绕医疗工作流程的网络和供应安全策略，但将显著降低风险。即使攻击者破坏了防火墙，网络的分段特性也会阻止他在网络上传播。

我们必须确保我们的医疗保健系统继续运行，并继续安全运行。

医疗保健组织可以使用哪些工具来帮助它们提高安全性?

兰格:我把它分为两个主要工具。首先，从组织通常拥有的所有现有实施工具开始，比如防火墙。即使你有防火墙，你也必须确保它不仅安装了，而且执行了与这些设备相关的政策。如果你有防火墙，但你没有针对医疗设备的政策，你不会从中获得很多价值。它不会保护用户的风险，也不会在这个不断演变的新挑战中显著保护你。

我要指出的另一个工具类别是分析特定于医疗保健的临床数据的工具，如Medigate或其他与Medigate竞争的工具。这些工具为您提供了围绕物联网设备(包括医疗设备)的完整网络可见性，但同时也编制了利用这些防火墙的安全策略。就医疗保健的安全策略而言，这两种工具的结合将真正起到推动作用。

当涉及到医疗保健时，数据隐私是一个主要的担忧，有很多关于它的规定。这些法规对医疗行业的物联网安全意味着什么?

兰格:监管正在对行业产生积极影响。我们在美国食品和药物管理局(FDA)最近的出版物中看到了一些规定。还有其他出版物和更多的自愿指导也在起草中，而且已经沟通过了。例如，2015年的《网络安全法案》第405(d)条倡议就是一个伟大的倡议。这些举措的主要优点是，它们使医疗保健领域的各利益攸关方能够采取一些必要的行动。例如，FDA一直强调医疗设备制造商在生产和维护设备时必须更加了解安全最佳实践。网络安全法案405(d)更加关注医疗保健系统以及它们需要完成的最佳实践。

其主要价值在于，两大利益相关者——制造商和医疗保健系统——现在都在采取行动，以降低风险。每个人都有责任，每个人都有责任加强医疗物联网的安全。

随着冠状病毒的出现，目前的医疗保健状况是否改变了您所认为的医疗系统的安全或威胁?

兰格:2019冠状病毒病(COVID-19)刚刚引起了人们对医疗保健的关注，以及这对我们国家和世界有多么重要。网络安全是其中一个重要部分。我们必须确保我们的医疗保健系统继续运行，并继续安全运行。它正引起人们更多的关注。现在更多的护理将被远程管理，它增加了攻击面。这将使它比今天更成为一个安全问题。已经有关于网络攻击增加的报告也所有这些都增加了对这个行业的关注。

你认为医院和医疗保健机构在这次大流行后会更多地关注远程医疗吗?

兰格:当然。这其中有一部分是政府刺激的一部分，或者至少有传言，围绕这一点。这是一种很久以前就开始的趋势。远程医疗并不是什么新事物，但在我看来，它非常有意义，尤其是在后covid -19时代。他们既要高效，又要安全，同时还要降低成本。所有这些都指向了远程医疗的发展方向，当然，在监管方面和临床方面还有额外的挑战，但在我看来，这是我们应该期待的。