自2020年以來(lái)，網(wǎng)絡(luò)攻擊規(guī)模相比于去年，激增了300%。

[[331301]]

而像醫(yī)院、藥房、醫(yī)療設(shè)備供應(yīng)商等關(guān)乎到每個(gè)人生命健康的機(jī)構(gòu)，比以往任何時(shí)候，都要面臨更大的安全隱患。

即使這系列的攻擊，有時(shí)候不是直接針對(duì)某個(gè)醫(yī)療物聯(lián)網(wǎng)設(shè)備(IoMT)，但它也可以通過醫(yī)院的內(nèi)部網(wǎng)絡(luò)，感染用于診斷和治療患者的設(shè)備，如靜脈泵、患者監(jiān)控器、呼吸機(jī)和x光機(jī)。

正如美國(guó)醫(yī)院協(xié)會(huì)(AHA)網(wǎng)絡(luò)安全和風(fēng)險(xiǎn)高級(jí)顧問約翰·里吉(John Riggi)所說：“最壞的情況是，這些用于挽救生命的醫(yī)療設(shè)備，可能在被感染后直接無(wú)法使用。”

對(duì)醫(yī)院而言，防止網(wǎng)絡(luò)攻擊和保護(hù)IoMT設(shè)備不受感染的最佳方法，是將最脆弱和最關(guān)鍵的設(shè)備，彼此隔離或保持虛擬距離，也就是所謂的網(wǎng)絡(luò)分段。

醫(yī)院可以采取以下實(shí)際步驟，來(lái)分段臨床網(wǎng)絡(luò)，減少攻擊面，并保護(hù)患者免受網(wǎng)絡(luò)攻擊：

1.首先明確誰(shuí)來(lái)負(fù)責(zé)?

傳統(tǒng)意義上，醫(yī)療設(shè)備安全一直是生物醫(yī)學(xué)工程設(shè)備專家的責(zé)任。

然而，隨著IoMT設(shè)備的日益普及和針對(duì)醫(yī)療保健的網(wǎng)絡(luò)攻擊的增加，醫(yī)院信息科室的IT團(tuán)隊(duì)不得不在醫(yī)療設(shè)備安全方面投入更多的精力。因此，信息科室和生物醫(yī)學(xué)工程研究團(tuán)隊(duì)之間需要緊密合作，為臨床網(wǎng)絡(luò)設(shè)計(jì)和實(shí)施安全有效的安全政策。

為確保醫(yī)療設(shè)備的安全，并將IT和生物醫(yī)學(xué)團(tuán)隊(duì)進(jìn)行跨部門整合，這時(shí)候就需要一個(gè)單獨(dú)的、最終的IoMT網(wǎng)絡(luò)安全政策決策者。

一些大型機(jī)構(gòu)，甚至增設(shè)醫(yī)療設(shè)備安全員(MDSO)的角色，直接負(fù)責(zé)整個(gè)醫(yī)院整個(gè)臨床網(wǎng)絡(luò)中的醫(yī)療設(shè)備安全。

2.創(chuàng)建可靠的設(shè)備清單

如果沒有對(duì)醫(yī)院連接的醫(yī)療設(shè)備、設(shè)備上的配置文件、通信模式，有足夠深入了解，就無(wú)法設(shè)置網(wǎng)絡(luò)分割策略。

自動(dòng)化庫(kù)存工具，還必須能夠在了解IoMT設(shè)備行為、臨界性、脆弱性的情況下，對(duì)設(shè)備進(jìn)行持續(xù)分析。

3.評(píng)估每種設(shè)備的風(fēng)險(xiǎn)

風(fēng)險(xiǎn)評(píng)分，應(yīng)根據(jù)設(shè)備可能造成的危急程度和醫(yī)療影響來(lái)計(jì)算。風(fēng)險(xiǎn)評(píng)估應(yīng)持續(xù)進(jìn)行，并持續(xù)監(jiān)控網(wǎng)絡(luò)異常行為。為了評(píng)估風(fēng)險(xiǎn)，必須考慮以下因素：

• 與正常設(shè)備功能所需的外部服務(wù)器通信(即供應(yīng)商通信)
• 設(shè)備需要存儲(chǔ)和發(fā)送ePHI，以及用于什么目的?
• 設(shè)備使用模式
• 設(shè)備是否運(yùn)行不支持的操作系統(tǒng)或有任何已知的漏洞?如果是，是用補(bǔ)丁，還是用網(wǎng)絡(luò)分割方法來(lái)保護(hù)設(shè)備?

4. 實(shí)時(shí)關(guān)注監(jiān)管指南和規(guī)則

如果醫(yī)院不遵守聯(lián)邦和州監(jiān)管標(biāo)準(zhǔn)，將面臨數(shù)百萬(wàn)美元的罰款。拋開金錢損失不談，不遵守網(wǎng)絡(luò)安全準(zhǔn)則會(huì)使醫(yī)療設(shè)備面臨風(fēng)險(xiǎn)，并可能危及患者的安全、商業(yè)誠(chéng)信和醫(yī)院的聲譽(yù)。

涉及醫(yī)療保健和醫(yī)療設(shè)備的準(zhǔn)則和條例定期更新。為了保持合規(guī)，醫(yī)院必須密切關(guān)注州聯(lián)邦機(jī)構(gòu)發(fā)布的監(jiān)管標(biāo)準(zhǔn)和更新，包括：

• 美國(guó)食品和藥物管理局(FDA)
• 醫(yī)療設(shè)備信息共享和分析(MDISS)倡議
• 《健康保險(xiǎn)可攜性和問責(zé)法》(HIPAA)

5. 設(shè)計(jì)、驗(yàn)證和執(zhí)行分段策略

分段策略用以減少攻擊面，并阻止?jié)撛谕{。網(wǎng)絡(luò)分段還可以通過將流量限制到指定區(qū)域和減少網(wǎng)絡(luò)負(fù)載，來(lái)幫助網(wǎng)絡(luò)更順暢地運(yùn)行。

然而，在臨床網(wǎng)絡(luò)上執(zhí)行任何分段策略之前，應(yīng)測(cè)試其安全性和有效性。醫(yī)院安全團(tuán)隊(duì)?wèi)?yīng)始終驗(yàn)證分段策略，然后在網(wǎng)絡(luò)上執(zhí)行，以確保醫(yī)療服務(wù)和臨床操作的連續(xù)性。