保護醫療設備現在比以往任何時候都更加重要。由于存儲有大量 PHI 和 e-PHI，黑客越來越多地瞄準醫療設備、醫院和私人診所。繼續閱讀以了解 2022 年醫療設備面臨的危險以及您的組織可以采取哪些措施來阻止這些威脅。

哪些醫療設備成為目標？

呼吸機、胰島素泵、心臟除顫器、人工心臟起搏器只是救生醫療設備的幾個例子。MRI 和 CT 掃描儀、輸液泵、診所編程器和其他監控設備都必須連接到更廣泛的醫院網絡才能正常運行并幫助挽救生命。必須保護安全攝像頭、RFID 閱讀器和其他設備免受醫院或醫療機構的網絡攻擊和安全漏洞。

Iron Range Cyber?? 的 Tom Rudolph 評論說，醫療設備是當今醫療保健 IT 環境中的主要漏洞之一。根據他作為DC 網絡安全顧問的經驗，醫療保健公司最好認真對待這一威脅。

什么是 PHI 和 e-PHI？

根據 HIPAA 雜志，被稱為 PHI 的個人健康信息被定義為“可能與個人相關的任何健康信息，這包括用于提供醫療保健、醫療保健支付和醫療保健運營的信息。PHI 存儲以電子方式存儲在硬盤、服務器、拇指驅動器或其他設備上的信息稱為 e-PHI。

有針對性的醫療器械主要有四類：

FitBits、智能手表、Apple 手表和其他連接的消費設備等消費者健康設備存在泄露風險。這些設備擁有寶貴的信息寶庫，包括體重、身高、活動、心率等 PHI。還有其他必要的設備，例如便攜式胰島素泵、連續血糖監測儀、起搏器、除顫器和其他類似設備。糖尿病患者和心臟病患者需要這些設備才能始終如一地發揮作用，否則就會面臨危險的醫療后果。HIPPA 監管問題、敏感 PHI 的丟失、患者生命面臨的風險以及醫療機構、組織和物聯網生態系統合作伙伴的聲譽損失只是醫療設備泄露風險中的一小部分。

MRI 機器和 CT 掃描儀等醫院設備必須保持運行并連接到醫院網絡。如果這些設備出現故障或被黑客入侵，醫院將失去治療患者的寶貴時間，并面臨違反 HIPAA 的風險。大多數醫療設備多年來一直存在已知漏洞。最近，對這些缺陷的攻擊和知識激增。例如，美國食品和藥物管理局 （FDA） 最近發現了另一個醫療設備漏洞，這一次涉及常用的輸液泵。

WannaCry 勒索軟件來襲

第一次已知的針對聯網醫療設備的勒索軟件攻擊發生在 2017 年 5 月。此時，國際勒索軟件攻擊 WannaCry 已經破壞了多家醫院的放射設備。由于第三方供應商的腫瘤云服務遭到黑客攻擊而引發的軟件故障，在四家醫療機構接受放射治療的癌癥患者不得不推遲預約。

這些示例顯示了網絡攻擊和數據泄露如何對嚴重依賴聯網醫療設備的醫療保健行業產生重大影響。必須保護在這些鏈接的醫療設備中捕獲和保存的 PHI。PHI 通過基于服務器的系統通過云傳輸，使其非常容易受到黑客攻擊。

對于在全球擁有數千名員工和客戶的醫療器械制造商 （MDM） 而言，滿足這些嚴格的標準是一個勇敢的目標。PHI 是醫療保健業務的重要組成部分，也是黑客的誘人目標。這一現實反映在已頒布的法律中。因此，MDM 將保護患者數據和遵守所有適用的隱私要求作為重中之重。

醫療設備已連接

現代醫療設備不是孤立的。在本地和通過 Internet，它們是相互關聯的。嵌入式醫療設備中的內置傳感器可捕獲可通過 Internet 和其他硬件傳輸的數據。醫療物聯網 （IoMT） 由這些設備及其數據組成，有助于通過 Internet 對患者進行診斷、監測和治療。因為這些設備連接在一個網絡上，如果其中一個被成功入侵，那么該網絡區域中的所有其他設備都可能被入侵。

安全漏洞只會隨著醫療設備變得更加互聯和相互依賴才能發揮作用而增加。在整個組織中維護患者數據安全的持續義務需要組織良好的風險管理策略。每個醫療保健公司都必須研究和理解其 IT 資產和醫療設備的基本要素，以及現有的安全程序，以及如何將它們用作患者數據的監護人。

審核編輯：郭婷