为什么要保护医疗设备

保护医疗设备现在比以往任何时候都更加重要。由于存储有大量 PHI 和 e-PHI，黑客越来越多地瞄准医疗设备、医院和私人诊所。继续阅读以了解 2022 年医疗设备面临的危险以及您的组织可以采取哪些措施来阻止这些威胁。

哪些医疗设备成为目标？

呼吸机、胰岛素泵、心脏除颤器、人工心脏起搏器只是救生医疗设备的几个例子。MRI 和 CT 扫描仪、输液泵、诊所编程器和其他监控设备都必须连接到更广泛的医院网络才能正常运行并帮助挽救生命。必须保护安全摄像头、RFID 阅读器和其他设备免受医院或医疗机构的网络攻击和安全漏洞。

Iron Range Cyber​​ 的 Tom Rudolph 评论说，医疗设备是当今医疗保健 IT 环境中的主要漏洞之一。根据他作为DC 网络安全顾问的经验，医疗保健公司最好认真对待这一威胁。

什么是 PHI 和 e-PHI？

根据 HIPAA 杂志，被称为 PHI 的个人健康信息被定义为“可能与个人相关的任何健康信息，这包括用于提供医疗保健、医疗保健支付和医疗保健运营的信息。PHI 存储以电子方式存储在硬盘、服务器、拇指驱动器或其他设备上的信息称为 e-PHI。

有针对性的医疗器械主要有四类：

FitBits、智能手表、Apple 手表和其他连接的消费设备等消费者健康设备存在泄露风险。这些设备拥有宝贵的信息宝库，包括体重、身高、活动、心率等 PHI。还有其他必要的设备，例如便携式胰岛素泵、连续血糖监测仪、起搏器、除颤器和其他类似设备。糖尿病患者和心脏病患者需要这些设备才能始终如一地发挥作用，否则就会面临危险的医疗后果。HIPPA 监管问题、敏感 PHI 的丢失、患者生命面临的风险以及医疗机构、组织和物联网生态系统合作伙伴的声誉损失只是医疗设备泄露风险中的一小部分。

MRI 机器和 CT 扫描仪等医院设备必须保持运行并连接到医院网络。如果这些设备出现故障或被黑客入侵，医院将失去治疗患者的宝贵时间，并面临违反 HIPAA 的风险。大多数医疗设备多年来一直存在已知漏洞。最近，对这些缺陷的攻击和知识激增。例如，美国食品和药物管理局 （FDA） 最近发现了另一个医疗设备漏洞，这一次涉及常用的输液泵。

WannaCry 勒索软件来袭

第一次已知的针对联网医疗设备的勒索软件攻击发生在 2017 年 5 月。此时，国际勒索软件攻击 WannaCry 已经破坏了多家医院的放射设备。由于第三方供应商的肿瘤云服务遭到黑客攻击而引发的软件故障，在四家医疗机构接受放射治疗的癌症患者不得不推迟预约。

这些示例显示了网络攻击和数据泄露如何对严重依赖联网医疗设备的医疗保健行业产生重大影响。必须保护在这些链接的医疗设备中捕获和保存的 PHI。PHI 通过基于服务器的系统通过云传输，使其非常容易受到黑客攻击。

对于在全球拥有数千名员工和客户的医疗器械制造商 （MDM） 而言，满足这些严格的标准是一个勇敢的目标。PHI 是医疗保健业务的重要组成部分，也是黑客的诱人目标。这一现实反映在已颁布的法律中。因此，MDM 将保护患者数据和遵守所有适用的隐私要求作为重中之重。

医疗设备已连接

现代医疗设备不是孤立的。在本地和通过 Internet，它们是相互关联的。嵌入式医疗设备中的内置传感器可捕获可通过 Internet 和其他硬件传输的数据。医疗物联网 （IoMT） 由这些设备及其数据组成，有助于通过 Internet 对患者进行诊断、监测和治疗。因为这些设备连接在一个网络上，如果其中一个被成功入侵，那么该网络区域中的所有其他设备都可能被入侵。

安全漏洞只会随着医疗设备变得更加互联和相互依赖才能发挥作用而增加。在整个组织中维护患者数据安全的持续义务需要组织良好的风险管理策略。每个医疗保健公司都必须研究和理解其 IT 资产和医疗设备的基本要素，以及现有的安全程序，以及如何将它们用作患者数据的监护人。

审核编辑：郭婷