为什么安全误解正在威胁医疗保健系统的物联网设备

　　随着勒索软件攻击不断升级，其中最为常见的目标是物联网设备，医院和其他关键的医疗系统面临着飙升的风险。仅在2021年，针对医疗保健机构的物联网勒索软件攻击事件就增加了123%。

　　尽管大多数医疗保健系统都非常重视保护其设施中大量的医疗物联网(IoMT)设备的重要性，但许多系统都存在一些误解，阻碍了实现最佳IoMT安全保护和最佳实践的能力。这些误解，以及医疗保健组织应该理解并基于其实践的严酷现实，包括:

　　1) 传统的IT安全工具已足够。

　　医疗保健系统经常犯这样的错误：认为所有设备的安全性都是一样的，并且认为为标准IT设备，如服务器和笔记本电脑，提供的保护也可以有效地保护IoMT设备。

　　由于多种原因，传统的IT安全性无法可靠地保护IoMT设备。首先，许多传统安全工具利用主动扫描来检测威胁。但大部分IoMT设备无法承受主动扫描，并会崩溃，可能会影响患者的健康。为保护传统设备而设计的工具也不太可能可靠地发现和盘点IoMT设备，也无法保护所不知道的设备。这种方法也缺乏评估或将未连接IoMT设备相关风险的能力。

　　更好的方法是采用针对当前任务的安全策略。有效的安全性将利用特定于IoMT的数据、框架和MDS2制造商披露声明来理解和缓解已知的漏洞。IoMT安全还需要全面了解每个设备的连接和周围的生态系统。这些细节对于确定IoMT设备漏洞是否代表真正需要解决的威胁至关重要。

　　2) 增加IoMT专用安全系统超出预算。

　　医疗保健组织中的IT和安全决策者天生具有预算意识。然而，攻击影响患者健康的真正可能性，以及安全缺陷导致6到7位数的监管处罚，都有力地支持了他们无法承担不投资IoMT安全的论点。

　　就像在医疗保健行业本身一样，一盎司的IoMT安全风险预防胜过一磅的治疗。实施有效的IoMT安全性可以通过消除识别和修复设备漏洞所需的大量现有支出来进一步控制成本

　　，以及通过标记存在和不存在构成实际风险的漏洞来大大提高效率。IoMT安全洞察力还可以实现更高效的设备采购，为更全面的安全策略的ROI最大化提供更大的可视性。

　　3) 为IoMT安全目的收集数据会增加违反HIPAA的风险。

　　当然，医疗保健系统必须优先考虑受保护的健康信息(PHI)的安全性和HIPAA法规。这不仅保护了患者，还避免了罚款和名誉损害。为了持续实现合规性，IT和安全团队对传输到供应商或云的任何信息谨慎实施数据共享限制。

　　然而，认为收集数据为IoMT的安全实践提供信息会增加违反HIPAA的风险的观点是错误的。IoMT安全分析侧重于网络流量数据，其中不包括PHI数据。安全保护措施还可以应用过滤器，防止PHI通过云传输，毕竟云本身也可以符合HIPAA。使用完全本地化的IoMT基础设施可以有效地防止外部数据传输和风险。

　　4) IoMT安全部署需要数月的努力。

　　虽然部署一个新的电子健康记录系统可能需要组织整整一年的时间来完成，但IoMT特定的安全实施是一条完全不同的前进路径，过程要快得多。IoMT安全性采用了许多基于云的安全措施，不需要硬件采购或冗长的生产部署，而这些会拖延其他领域的实施。依赖于边缘设备的IoMT安全系统仍然可以在短短几小时内实施。一般来说，部署特定于IoMT的安全性并不会过于繁琐或冗长。

　　真相: IoMT特有的安全性是触手可及的。

　　如果目前的趋势如预测的那样继续下去，勒索软件和其他针对IoMT设备的攻击只会变得更加频繁。对于医疗保健系统，避免数据泄露和业务本身面临巨额罚款和严重声誉损害至关重要。攻击者希望IT决策者继续相信IoMT过于复杂和具有挑战性，无法妥善保护。好在，采用高效的IoMT特定安全措施的费用和难度并不像仍然普遍存在的误解所暗示的那样令人生畏。