前言

歐洲網(wǎng)絡(luò)安全機(jī)構(gòu)發(fā)出了警告：隨著物聯(lián)網(wǎng)技術(shù)的逐步應(yīng)用，醫(yī)院受到攻擊的風(fēng)險(xiǎn)也在呈指數(shù)級(jí)增長(zhǎng)。

勒索軟件和拒絕服務(wù)攻擊只是冰山一角：醫(yī)院即將成為網(wǎng)絡(luò)攻擊的下一個(gè)大目標(biāo)，而物聯(lián)網(wǎng)(IoT)設(shè)備的引入會(huì)讓醫(yī)療系統(tǒng)更容易受到攻擊。

聯(lián)網(wǎng)的醫(yī)療器械可以為病人的安全提供更多保障，還能提高效率，在與臨床信息系統(tǒng)相連接時(shí)優(yōu)勢(shì)則尤為明顯，但近日歐洲技術(shù)安全局Enisa警告說(shuō)，這些技術(shù)也帶來(lái)了一定的風(fēng)險(xiǎn)。

醫(yī)院將成為網(wǎng)絡(luò)攻擊的下一目標(biāo)

為了更好地進(jìn)行服務(wù)，甚至是遠(yuǎn)程對(duì)病人進(jìn)行護(hù)理，醫(yī)院逐漸轉(zhuǎn)向了各類(lèi)智能方案，有時(shí)會(huì)忽視這些新興的安全問(wèn)題。

Enisa警告說(shuō)，醫(yī)院將會(huì)成為網(wǎng)絡(luò)攻擊的下一個(gè)目標(biāo)。

隨著這些聯(lián)網(wǎng)設(shè)備的引入，醫(yī)院受到攻擊的可能性也在呈指數(shù)級(jí)增長(zhǎng)。醫(yī)療機(jī)構(gòu)應(yīng)當(dāng)明確各類(lèi)物聯(lián)網(wǎng)組件的安全要求，并確定它們是如何相互關(guān)聯(lián)或連接到互聯(lián)網(wǎng)的。報(bào)告認(rèn)為，設(shè)備制造商在設(shè)計(jì)系統(tǒng)和服務(wù)之初就應(yīng)該從醫(yī)院的角度進(jìn)行考慮。

ENISA的執(zhí)行董事Udo Helmbrecht說(shuō)，在設(shè)備相互聯(lián)系的情況下，人們作出的決策會(huì)讓設(shè)備提供自動(dòng)化的服務(wù)，提高醫(yī)院的效率，但在同時(shí)，設(shè)備也可能會(huì)受到惡意指令的影響。

物聯(lián)網(wǎng)在醫(yī)療系統(tǒng)中應(yīng)用時(shí)存在的問(wèn)題

其中一個(gè)問(wèn)題是，醫(yī)院里包含各種各樣的黑客想要的數(shù)據(jù)。對(duì)于罪犯來(lái)說(shuō)，個(gè)人健康信息比財(cái)務(wù)信息更有價(jià)值，而且闖入醫(yī)院系統(tǒng)之后，他們還能接觸到各類(lèi)處方藥物。

人們已經(jīng)越來(lái)越依賴(lài)物聯(lián)網(wǎng)設(shè)備了，我們對(duì)聯(lián)網(wǎng)技術(shù)依賴(lài)過(guò)多，卻沒(méi)有足夠的能力來(lái)保障它的安全。我們需要得到更高標(biāo)準(zhǔn)的護(hù)理，尤其對(duì)于某些患者來(lái)說(shuō)，這些醫(yī)療設(shè)備至關(guān)重要。

不幸的是，物聯(lián)網(wǎng)企業(yè)往往不認(rèn)為安全需要進(jìn)行優(yōu)先考慮，他們都認(rèn)為這件麻煩事可以晚點(diǎn)再解決。但是當(dāng)前的問(wèn)題是，這些系統(tǒng)現(xiàn)在既能挽救病人的生命，也可以殺死他們。

在實(shí)現(xiàn)物聯(lián)網(wǎng)方案時(shí)，由于醫(yī)療物聯(lián)網(wǎng)設(shè)備具有低成本和特定功能這兩個(gè)優(yōu)勢(shì)，人們選擇使用它們，但被忽視的安全成本的價(jià)值甚至?xí)冉M件本身的成本高。醫(yī)療物聯(lián)網(wǎng)設(shè)備中普遍存在的漏洞不僅會(huì)受到惡意指令的攻擊，還可能會(huì)引發(fā)系統(tǒng)故障，威脅人類(lèi)生命。

使用醫(yī)療物聯(lián)網(wǎng)設(shè)備時(shí)需要注意的問(wèn)題包括：

智能設(shè)備和保留系統(tǒng)之間的通信可能會(huì)為惡意攻擊者留下可乘之機(jī)，讓他們非法訪問(wèn)系統(tǒng)和數(shù)據(jù)。新組件的引進(jìn)為新的攻擊提供了機(jī)會(huì)。

物聯(lián)網(wǎng)設(shè)備分散在醫(yī)院的各處，它們的物理安全難以保證，被竊取或破壞的風(fēng)險(xiǎn)很大，需要得到更多的保護(hù)。

因?yàn)獒t(yī)療設(shè)備的構(gòu)建都基于預(yù)期的用途，設(shè)計(jì)者并沒(méi)有考慮到設(shè)備被濫用的風(fēng)險(xiǎn)。這也可能會(huì)導(dǎo)致整個(gè)醫(yī)療系統(tǒng)內(nèi)出現(xiàn)大量的系統(tǒng)漏洞。

醫(yī)院大規(guī)模使用物聯(lián)網(wǎng)設(shè)備之后，會(huì)吸引黑客來(lái)探索可行的攻擊路徑。因此設(shè)備制造商和安全公司需要處理掉所有的漏洞。

設(shè)備使用壽命是另一個(gè)問(wèn)題：一家醫(yī)院在得到物聯(lián)網(wǎng)設(shè)備的時(shí)候，這臺(tái)設(shè)備可能就已經(jīng)過(guò)時(shí)了。因?yàn)楦鶕?jù)歐盟立法，像核磁共振機(jī)器這樣的醫(yī)療器械，從設(shè)計(jì)到測(cè)試再到生產(chǎn)需要將近三年時(shí)間，這意味著這些設(shè)備在安裝前就已經(jīng)算是古董了，而物聯(lián)網(wǎng)組件就建立在這樣的設(shè)備之上。

后記

物聯(lián)網(wǎng)設(shè)備運(yùn)行的是嵌入式操作系統(tǒng)和應(yīng)用程序，沒(méi)有經(jīng)過(guò)任何惡意軟件檢測(cè)，也不具備預(yù)防入侵的能力。這些設(shè)備體積小、處理能力有限，通常無(wú)法進(jìn)行加密或采取其他的有效安全措施，重新配置或升級(jí)設(shè)備也幾乎不可能。

當(dāng)設(shè)備出現(xiàn)安全問(wèn)題時(shí)，也往往無(wú)法以明確的方式提醒用戶，這意味著一個(gè)物聯(lián)網(wǎng)安全漏洞即使存在了很長(zhǎng)一段時(shí)間，也不會(huì)被發(fā)現(xiàn)和糾正。

事實(shí)已經(jīng)證明，被盜用的醫(yī)療設(shè)備會(huì)充當(dāng)橋頭堡，讓惡意軟件在醫(yī)院的進(jìn)一步擴(kuò)散。在醫(yī)療保健領(lǐng)域，這一點(diǎn)尤其重要，因?yàn)樵趥鹘y(tǒng)的安全機(jī)制中，設(shè)備可以通過(guò)自動(dòng)關(guān)閉來(lái)拒絕訪問(wèn)，這可要比出故障時(shí)自動(dòng)打開(kāi)的物聯(lián)網(wǎng)設(shè)備要安全。

生成海報(bào)

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來(lái)自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請(qǐng)進(jìn)一步核實(shí)，并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏，概不負(fù)任何法律責(zé)任。任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁(yè)或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí)，應(yīng)及時(shí)向本網(wǎng)站提出書(shū)面權(quán)利通知或不實(shí)情況說(shuō)明，并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后，將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí)，溝通刪除相關(guān)內(nèi)容或斷開(kāi)相關(guān)鏈接。