在大流行期間，互聯(lián)醫(yī)療設(shè)備的長期安全問題現(xiàn)已成為一種漸進的全身性疾病，因為從業(yè)者越來越依賴遠程患者監(jiān)控、遠程醫(yī)療和其他基于 IoMT 的遠程護理模式。

醫(yī)院內(nèi)部的威脅也比比皆是，包括與傳統(tǒng)有線以太網(wǎng)醫(yī)療系統(tǒng)相關(guān)的威脅，從麻醉機和MRI到呼吸機和輸液泵。減輕這些風險需要在整個互連生態(tài)系統(tǒng)和用例范圍內(nèi)采用多層安全設(shè)計策略。

從醫(yī)院庫存到家庭醫(yī)療保健

醫(yī)院內(nèi)外的 IoMT 設(shè)備共享一組通用的漏洞和相關(guān)風險，每個漏洞都可以使用相同的基本網(wǎng)絡(luò)安全原則來緩解。

在醫(yī)院內(nèi)部，跟蹤設(shè)備和關(guān)鍵資產(chǎn)以提高可見性并防止缺貨越來越受歡迎。這包括管理供應(yīng)商運送到醫(yī)院的寄售庫存，但僅在使用產(chǎn)品或設(shè)備以及相關(guān)消耗品時開具發(fā)票。IoMT 技術(shù)提高了醫(yī)療設(shè)備制造商和醫(yī)院的可見性，并在使用商品時自動執(zhí)行訂購和開票流程。

IoMT技術(shù)還用于簡化醫(yī)院的安全保證功能，例如，乳膠不耐受的患者不會接受含有橡膠的肺導管。IoMT 技術(shù)簡化了獲取導管批號、序列號和有效期的過程，以確保其對植入物有效。它可用于確認設(shè)備是真實的，并保持溫度和其他環(huán)境要求。在召回的情況下，它可以加快獲取有關(guān)誰可能收到相關(guān)產(chǎn)品的所有必要信息。

與此同時，醫(yī)院內(nèi)的遺留設(shè)備也被拉入IoMT。連接到醫(yī)院網(wǎng)絡(luò)的MRI和其他有線以太網(wǎng)醫(yī)療系統(tǒng)為黑客提供了一個威脅面，可以利用該威脅來威脅患者安全以及醫(yī)院運營的完整性。一旦進入醫(yī)院網(wǎng)絡(luò)，黑客就有能力通過各種零日攻擊來破壞舊設(shè)備。

在醫(yī)院外，許多心臟除顫器、胰島素泵、血糖儀和其他連接到物聯(lián)網(wǎng)的設(shè)備都有被無線劫持和重新編程的風險。例如，攻擊者可以短距離訪問胰島素泵的無線連接，并指示它提供錯誤數(shù)量的胰島素或控制起搏器來擾亂患者的心律。黑客還可以在傳輸過程中攔截這些系統(tǒng)的遙測數(shù)據(jù)，并獲取敏感的患者信息。

另一個家庭醫(yī)療保健示例是基于IoMT的智能泡罩包裝，使護理提供者能夠遠程管理和監(jiān)控患者的處方藥依從性。泡罩包裝發(fā)明于 1960 年代，旨在保護藥物并使患者可以輕松取回單劑量，現(xiàn)在包含傳感器并通過藍牙與具有顯示器和攝像頭的家庭網(wǎng)關(guān)設(shè)備進行通信。網(wǎng)關(guān)設(shè)備通知患者何時需要打開水泡，然后使用其蜂窩和 Wi-Fi 連接將相關(guān)的給藥事件數(shù)據(jù)推送到云端。護理人員在需要干預時會收到警報，還可以使用網(wǎng)關(guān)進行井檢和其他遠程患者互動。

在這些和其他應(yīng)用中，使用商用智能手機實現(xiàn)命令和控制功能的需求不斷增長。但必須首先解決固有的漏洞，其中最危險的是手機的無線連接。藍牙，NFC和LTE可以防御某些違規(guī)行為，但不是全部。以太網(wǎng)和其他協(xié)議也是如此。緩解措施要求必須保護所有系統(tǒng)通信，必須信任每個系統(tǒng)元素，并且智能手機應(yīng)用程序與物聯(lián)網(wǎng)設(shè)備和云之間必須存在“始終在線”的連接。

安全性從應(yīng)用層開始

應(yīng)用層安全性可抵御各種惡意軟件和無線信道網(wǎng)絡(luò)安全攻擊。與典型的傳輸層（第 4 層）安全性不同，典型的傳輸層（第 4 層）安全性僅在消息有效負載向下移動和返回時保護消息有效負載，而應(yīng)用層安全性在發(fā)送方和接收方之間創(chuàng)建安全隧道，以保護智能手機應(yīng)用程序、醫(yī)療設(shè)備和云之間的整個通信通道。從本質(zhì)上講，應(yīng)用程序本機構(gòu)建自己的安全性，而不是依賴于該服務(wù)的較低堆棧級別。

使用此方法，可以對會話進行身份驗證，并要求所有消息在離開應(yīng)用程序之前對其進行加密。強大的密鑰交換和密鑰管理功能使收件人能夠在收件人應(yīng)用使用這些消息之前對其進行解密和驗證。這些保護措施中的每一個都增強了現(xiàn)有的Android和iOS安全機制，同時也克服了其通信協(xié)議中固有的安全漏洞。

下一步：身份驗證層安全性

第二層安全對于智能手機控制的植入式設(shè)備以及存在偽造和逆向工程風險的設(shè)備至關(guān)重要。此身份驗證層安全性可驗證連接到解決方案通信系統(tǒng)的用戶、智能手機應(yīng)用程序、云、消耗品和任何相關(guān)設(shè)備的完整性，并確保黑客無法出于有害目的獲得對權(quán)限的“root訪問權(quán)限”。

該安全層還可以防止假冒。它通過為物聯(lián)網(wǎng)解決方案中的每個“事物”帶來信任來保護患者安全以及健康信息的隱私和完整性。它還通過混淆應(yīng)用程序代碼并確保其他智能手機應(yīng)用程序不會干擾連接的健康應(yīng)用程序來防止逆向工程。

為了實現(xiàn)這些目標，必須在設(shè)備、云、消費品和智能手機上使用軟件或硬件建立身份驗證層的信任根。硬件安全模塊 （HSM） 可以在工廠配置到醫(yī)療設(shè)備，以便為醫(yī)療設(shè)備和消耗品提供它們在系統(tǒng)中表現(xiàn)得像安全元件 （SE） 所需的加密密鑰和數(shù)字證書。

在此模擬中，智能手機上未經(jīng)授權(quán)的攻擊者應(yīng)用程序用于控制附近的物聯(lián)網(wǎng)設(shè)備演示板及其控制器應(yīng)用程序。黑客應(yīng)用程序發(fā)送虛假的溫度值，旨在改變 LED 燈的顏色。在不安全模式下，物聯(lián)網(wǎng)演示設(shè)備每 2.5 秒向其發(fā)送一系列假值后，可以輕松接受 LED 更改請求。使用板載交換機激活應(yīng)用層安全性后，控制器應(yīng)用程序會立即識別攻擊者應(yīng)用程序的簽名無效，并拒絕 LED 更改請求。僅接受來自運行應(yīng)用層安全性的受信任控制器應(yīng)用程序的 LED 更改請求。

最后一層：持續(xù)連接

第三個 IoMT 安全層確保系統(tǒng)始終可以接收最新數(shù)據(jù)并立即更改設(shè)備操作以滿足患者的護理要求。對于由手持設(shè)備或智能手機控制的解決方案，這可能會有問題，因為它們極易受到通信失誤的影響。

有多種方法可以確保這種連續(xù)連接。第一種是通過在iOS或Android操作系統(tǒng)后臺運行的軟件應(yīng)用程序。該應(yīng)用程序保留在后臺，并在其設(shè)備靠近智能手機時收集物聯(lián)網(wǎng)設(shè)備數(shù)據(jù)。無需用戶干預。第二種方法是基于硬件的。小型網(wǎng)橋使用一種通信協(xié)議（通常僅提供個人區(qū)域覆蓋）與 IoT 設(shè)備交互，并使用另一種協(xié)議與云通信。它可以配置為連續(xù)運行，也可以僅在主要的物聯(lián)網(wǎng)到云路徑不可用時使用。

確保連續(xù)連接的第三種方法對于MRI機器和其他導致大多數(shù)醫(yī)院攻擊的傳統(tǒng)有線以太網(wǎng)醫(yī)療系統(tǒng)尤為重要。連接到以太網(wǎng)的硬件網(wǎng)關(guān)放置在此易受攻擊的醫(yī)療設(shè)備的前面，以提供專門用于與經(jīng)過身份驗證的設(shè)備通信的單獨通道。

持續(xù)改進的基石

如今的互聯(lián)健康解決方案不再需要從頭開始開發(fā)，而是可以使用第三方軟件開發(fā)人員工具包 （SDK） 以構(gòu)建塊方法實施。這降低了增加安全性的成本，同時提高了靈活性，并允許根據(jù)需要改造傳統(tǒng)設(shè)計和基礎(chǔ)設(shè)施。此方法還可確保在解決方案生命周期的任何階段都可以持續(xù)改進實施，包括合并 HSM 的使用。

實施所有三個 IoMT 安全層只會增加患者胰島素泵或其他系統(tǒng)的成本幾美分。同時，它為提供商提供了以高價值方式區(qū)分其互聯(lián)健康產(chǎn)品的機會。也許最重要的是，這種三層方法可以保護醫(yī)療保健提供者免受可能危及患者隱私甚至導致某人受傷或死亡的不可估量的違規(guī)成本。

審核編輯：郭婷