卫生保健中物联网的上升和风险

近几十年来，医疗保健行业的技术发展迅速，特别是随着物联网的到来。目前，医疗保健IoT提供了显着提高病人和医院行动环境意识的好处。然而，这种技术还引入了新的和陌生的网络安全风险，对人类生活造成巨大的后果。

到2020年，医疗卫生方面的物联网预计将达到1170亿美元。根据这一水平的采用，医疗保健技术主管将根据这些新技术将出现的漏洞重新考虑安全。我们来看看物联网在医疗保健方面的风险和一些CIO可以利用的最佳做法来帮助缓解这些风险。

缺乏安全性

卫生保健行业中使用物联网（包括互联网的医疗设备）不可避免地引起了患者和医护人员的网络安全问题。医疗保健并不孤单：数十年来，许多高科技行业一直在努力解决网络安全问题。医疗保健行业在管理网络安全风险方面也面临同样的挑战，其中包括物联网设备的出现。但鉴于对人类生活的潜在影响，赌注和压力要高得多。

一些制造商和软件供应商正在比其他方面更快地适应新的网络安全挑战，但还有很长的路要走，而且快速学习是一种高风险的方法。丢失信用卡号码是有问题的，但是窃取医疗数据或医疗器械本身的妥协是一件更加危险的事情，这就是为什么强大的安全形势至关重要。

数据窃取不被视为直接危及生命，但可能对患者和提供者造成破坏性影响。想象一下，如果敏感的医疗状况受到数以千计的患者发布在像Pastebin这样的公共论坛上，或者更糟的是，如果数据被卖给勒索者，这个影响。这些数据妥协可能会对医疗保健提供者造成HIPAA违规，从业务角度来看，这可能是一个非常昂贵和不愉快的经历。

由于患者很少或根本无法要求在治疗中使用某种类型的设备，因此责任完全在于医疗保健提供者

一个更可怕的前景是颠覆设备本身。互联网连接的医疗设备，如远程管理的胰岛素泵，内部除颤器和起搏器已经确定了弱点。这些漏洞的武器化已经超越了传统的网络安全威胁，正在进入网络恐怖主义的领域。卫生保健提供者，设备制造商，软件开发商以及整个医疗保健行业都有义务为威胁构建彻底的防御措施。

早期最佳实践

物联网在医疗保健还处于初期阶段，但承诺是巨大的，采用正在加速。虽然FDA已经开展了一些提供与医疗设备相关的网络安全指导的活动，但广泛接受和经过战争测试的行业标准尚未出现。然而，今天可以应用一些常识性最佳实践，可以显着降低医疗保健提供者和接受者的风险。许多这些做法分为两类：设备安全和后端系统安全。

由于病人很少或根本无法要求使用某种类型的器械进行治疗，所以责任落在医护人员身上，为患者做出正确的决定。设备处理能力，特性和经济性都非常重要 - 但是设备的安全性，管理系统及其产生的数据也非常重要。

设备安全

设备勤勉必须在前面处理，因为一旦设备被采购就很难获得安全性较差的安全性，即使在安全性较差的情况下，也很少需要更换设备。

医疗当购买医疗设备时，医疗服务提供者需要评估制造商在多大程度上参与安全性问题。他们需要这样做，即合规性不等于安全性 - 购买者需要超越合规性打印列表，以确保设备的制造和维护在安全性方面发生。对于设备本身，买方应寻找明确定义和记录的流程来实施安全机制，并在设备制造中使用安全设计实践。这些安全机制和设计结构也应该进行彻底的测试，以验证其旨在提供的安全机制;这个测试过程也应该清楚地记录并证实。重要的安全测试失败应被视为为设备制造创造无条件条件的产品缺陷。

要考虑的另一个关键领域是设备如何维护后期制造。任何一种技术一旦发布到野外就不可避免地会出现漏洞。制造商的更好的安全设计和测试流程意味着这种情况的发生并不频繁，但会发生。这意味着了解制造商的反应是很重要的。制造商应该制定明确的漏洞响应计划，包括在识别出重大漏洞时通知设备所有者（通常是医务人员）的协议。为了解决漏洞的时间，服务级别协议也应该到位，承诺更快地解决更为严重的漏洞。当然，设备本身相对容易和快速地升级软件的能力至关重要 - 无法更新的设备永远不会有补救的漏洞。

后端管理的安全性

设备安全可能得到最多的关注，因为它是最引人注目的，这很重要。不幸的是，往往被忽视的是管理设备的后端系统，处理其生成的数据，并为管理员和医疗保健提供者提供接口。由于这些后端系统通常可以用来整合设备或数据，因此它们对于攻击者来说是非常高价值的目标。

在选择设备制造商时，这些后端系统也需要进行评估，同时也要注意安全以及遵守。幸运的是，这些应用系统的标准比较多，使得评估和监控工作更加简单。

在实施网络安全解决方案方面，保护是关键，但是这种保护必须符合您的需求。

对于由买方（例如内部部署软件）交付和运行的软件，应将类似的安全和合规性做法评估为设备本身考虑的那些。软件开发流程，安全设计和开发实践（例如使用OWASP标准），测试漏洞以及正在进行的漏洞检测，通知和修复过程至关重要。同样重要的是软件升级对设备操作的影响，特别是对于买方管理的软件。如果软件更新定期需要管理系统中断，则设备需要能够处理中断而不影响操作和/或数据收集。

设备管理和管理系统通常作为SaaS应用程序提供给医疗保健提供者。这意味着设备制造商（或有时是第三方技术提供商）负责确保系统运行中的安全性和合规性，而不仅仅是在开发中。除了简单的SLA或合规性认证之外，还需要进行彻底的评估。 HIPAA标准的操作符合性是最低限度的，对于医疗保健提供者来说，保护自身免受HIPAA违规责任的必要性。除遵守规定外，提供商应坚持与现有行业最佳做法相一致的良好的技术和运营方式。诸如ISO 27001/2，互联网安全关键控制中心和（用于云解决方案）参与CSA STAR计划的标准是良好的起点。

下一步

在设备和系统中找到弱点，并设置正确的协议和软件来保护患者信息有很多考虑。网络安全是一个持续的过程，需要受过专业训练的专业人士的关注。如果您的组织决定将安全问题外包给软件提供商，请确保它们解决了诸如合规性，安全漏洞的自动通知以及提供易于使用的界面等问题。在实施网络安全解决方案方面，保护是关键，但是这种保护必须符合您的需求。

与其他行业一样，不断引进和实施新的和深远的技术。医疗保健也不例外;随着时间的推移，网络安全将继续成为该行业更重要的组成部分。无论您是个人提供商还是更大的组织，重要的是要尽快找到和修复安全漏洞，以保护患者和整个组织对网络攻击的兴趣。

标准和实践将会发展，直到那时，重要的是应用目前可用的标准和良好的老常识。不要忘记合规性不等于安全性。但最重要的是要思考和勤勉 - 你的病人依赖它。