2017年，由于大規模勒索軟件攻擊，英國的16家醫院被迫暫時關閉。這起未遂攻擊導致了預約取消、大規模混亂以及據報道國民保健系統損失9200萬英鎊。

它清楚地提醒我們，醫療機構和設備可能會成為網絡犯罪分子的誘人目標。它們提供了巨大的、危及生命的破壞可能性，以及對高度敏感信息的訪問。現在，在一個連網醫療設備的數量和范圍正以閃電般速度激增的時代，醫療行業為網絡犯罪分子提供了無數的潛在目標。

連網醫療設備的范圍從簡單的可穿戴跟蹤設備（如心率和血壓）到高度復雜的醫院級設備（如連網掃描儀），再到植入患者體內的智能設備（如連網起搏器）。所有這些都是惡意軟件和網絡犯罪分子的潛在目標，如果受到攻擊，都可能導致巨大的破壞和生命危險。

正在進行的冠狀病毒大流行使人們更清楚地認識到，連網醫療設備安全的重要性。當醫療機構承受著巨大的壓力時，無論是由于患者人數的快速增加、與新疾病作斗爭的復雜性，還是由于關鍵設備和藥品的短缺，確保安全都是至關重要。一個處于壓力之下的醫療機構現在最不想面對的就是網絡攻擊。

那么，我們如何使連網醫療設備盡可能安全？

有幾個不同的方面需要考慮。設備本身必須安全，但它們生成、發送和接收的數據也必須安全。這需要一個由不同技術和流程組成的復雜生態系統，而所有這些都致力于確保信任、穩健性和彈性。

這從可靠地識別相關設備開始，也就是說，讓人們相信它是真實的、經過認證的已知連網醫療設備，而不是受損或假冒的設備。這就要求每臺醫療設備在首次使用時都必須獲得數字證書，并進行適當處理以避免偽造。

供應商有責任公布其安全特性和漏洞披露政策，展示其如何遵守相關監管框架，并解釋其所經歷的測試程序。當然，他們還必須確保及時修復所有已發現的漏洞。

一旦設備進入醫療保健機構，這些數字證書必須用于識別和驗證每臺設備，然后才能在實際運行中設置和配置。

應該在所有連網醫療設備之間，以及在存儲數據的地方，促進通常使用TLS的端到端數據加密。理想情況下，患者數據根本不應通過互聯網。如果數據在兩個方向上傳輸，即離開和返回連網設備，那么兩端都需要相互驗證。

在運行過程中，所有軟件更新都必須經過數字簽名，以確保代碼的完整性，并防止惡意軟件的惡意注入。還應考慮入侵檢測系統、持續滲透測試和監控等流程。

最后，保護醫療設備是一個復雜而持續的過程，這在醫療保健行業為網絡犯罪分子引入無數新目標的世界中，尤為重要。
責任編輯:pj