多層安全是抵御醫(yī)療物聯(lián)網(wǎng)網(wǎng)絡(luò)攻擊的最佳解藥

在大流行期間，連接醫(yī)療設(shè)備的長(zhǎng)期安全弊病現(xiàn)已成為一種漸進(jìn)的全身性疾病，因?yàn)閺臉I(yè)者越來(lái)越依賴(lài)遠(yuǎn)程患者監(jiān)控，遠(yuǎn)程醫(yī)療和其他基于IoMT的遠(yuǎn)程護(hù)理模式。

醫(yī)院內(nèi)部的威脅也比比皆是，包括與傳統(tǒng)有線(xiàn)以太網(wǎng)醫(yī)療系統(tǒng)相關(guān)的威脅，從麻醉機(jī)和MRI到呼吸機(jī)和輸液泵。降低這些風(fēng)險(xiǎn)需要跨整個(gè)互連生態(tài)系統(tǒng)和用例的多層安全設(shè)計(jì)策略。

從醫(yī)院庫(kù)存到家庭保健

醫(yī)院內(nèi)外的IoMT設(shè)備共享一組常見(jiàn)的漏洞和相關(guān)風(fēng)險(xiǎn)，每個(gè)漏洞和風(fēng)險(xiǎn)都可以使用相同的基本網(wǎng)絡(luò)安全原則來(lái)緩解。

在醫(yī)院內(nèi)部，跟蹤設(shè)備和關(guān)鍵資產(chǎn)以提高可見(jiàn)性并防止缺貨越來(lái)越受歡迎。這包括管理供應(yīng)商運(yùn)送到醫(yī)院的寄售庫(kù)存，但僅在使用產(chǎn)品或設(shè)備及相關(guān)消耗品時(shí)開(kāi)具發(fā)票。IoMT技術(shù)提高了醫(yī)療設(shè)備制造商和醫(yī)院的可見(jiàn)性，并在使用物品時(shí)自動(dòng)執(zhí)行訂購(gòu)和開(kāi)票流程。

IoMT技術(shù)還用于簡(jiǎn)化醫(yī)院的安全保證功能，例如，乳膠不耐受患者不會(huì)接受含有橡膠的肺導(dǎo)管。IoMT技術(shù)簡(jiǎn)化了獲取導(dǎo)管批號(hào)，序列號(hào)和有效期的過(guò)程，以確保其對(duì)植入物有效。它可用于確認(rèn)設(shè)備是否真實(shí)，并保持溫度和其他環(huán)境要求。在召回的情況下，它可以加快獲取有關(guān)誰(shuí)可能已收到相關(guān)產(chǎn)品的所有必要信息的獲取速度。

與此同時(shí)，醫(yī)院內(nèi)部的遺留設(shè)備也被拉入IoMT。連接到醫(yī)院網(wǎng)絡(luò)的MRI和其他有線(xiàn)以太網(wǎng)醫(yī)療系統(tǒng)為黑客提供了威脅表面，可以利用該威脅面威脅患者安全以及醫(yī)院運(yùn)營(yíng)的完整性。一旦進(jìn)入醫(yī)院網(wǎng)絡(luò)，黑客就能夠通過(guò)各種零日攻擊來(lái)破壞傳統(tǒng)設(shè)備。

在醫(yī)院外，許多心臟除顫器，胰島素泵，血糖儀和其他連接到物聯(lián)網(wǎng)的設(shè)備都有被無(wú)線(xiàn)劫持和重新編程的風(fēng)險(xiǎn)。例如，攻擊者可以短距離訪(fǎng)問(wèn)胰島素泵的無(wú)線(xiàn)連接，并指示其提供錯(cuò)誤數(shù)量的胰島素或控制起搏器以破壞患者的心律。黑客還可以在傳輸過(guò)程中攔截這些系統(tǒng)的遙測(cè)數(shù)據(jù)，并獲取敏感的患者信息。

另一個(gè)家庭醫(yī)療保健的例子是基于IoMT的智能泡罩包裝，它使護(hù)理提供者能夠遠(yuǎn)程管理和監(jiān)控患者的處方藥依從性。泡罩包裝發(fā)明于 20 世紀(jì) 60 年代，用于保護(hù)藥物并使患者輕松檢索單劑量藥物，現(xiàn)在它集成了傳感器，并通過(guò)藍(lán)牙與具有顯示器和攝像頭的家庭網(wǎng)關(guān)設(shè)備進(jìn)行通信。網(wǎng)關(guān)設(shè)備在打開(kāi)水泡時(shí)通知患者，然后使用其蜂窩和Wi-Fi連接將相關(guān)的劑量事件數(shù)據(jù)推送到云中。護(hù)理人員在需要干預(yù)時(shí)會(huì)收到警報(bào)，還可以使用網(wǎng)關(guān)進(jìn)行油井檢查和其他遠(yuǎn)程患者互動(dòng)。

在這些和其他應(yīng)用中，使用商用智能手機(jī)實(shí)現(xiàn)命令和控制功能的需求不斷增長(zhǎng)。但必須首先解決固有的漏洞，其中最危險(xiǎn)的漏洞之一是手機(jī)的無(wú)線(xiàn)連接。藍(lán)牙，NFC和LTE可以防御某些違規(guī)行為，但不是全部。以太網(wǎng)和其他協(xié)議也是如此。緩解措施要求必須保護(hù)所有系統(tǒng)通信，必須信任每個(gè)系統(tǒng)元素，并且智能手機(jī)應(yīng)用程序與物聯(lián)網(wǎng)設(shè)備和云之間必須有“始終在線(xiàn)”的連接。

安全性始于應(yīng)用層

應(yīng)用層安全性可抵御各種惡意軟件和無(wú)線(xiàn)通道網(wǎng)絡(luò)安全攻擊。與僅在消息沿 OSI 堆棧向下移動(dòng)和返回時(shí)保護(hù)消息有效負(fù)載的典型傳輸層（第 4 層）安全不同，應(yīng)用層安全性在發(fā)送方和接收方之間創(chuàng)建安全隧道，以保護(hù)智能手機(jī)應(yīng)用程序、醫(yī)療設(shè)備和云之間的整個(gè)通信通道。從本質(zhì)上講，應(yīng)用程序本身構(gòu)建了自己的安全性，而不是依賴(lài)于該服務(wù)的較低堆棧級(jí)別。

使用此方法，可以對(duì)會(huì)話(huà)進(jìn)行身份驗(yàn)證，并要求在離開(kāi)應(yīng)用之前對(duì)所有消息進(jìn)行加密。強(qiáng)大的密鑰交換和密鑰管理功能使收件人能夠在接收方應(yīng)用程序使用這些消息之前對(duì)其進(jìn)行解密和驗(yàn)證。這些保護(hù)措施中的每一項(xiàng)都增強(qiáng)了現(xiàn)有的Android和iOS安全機(jī)制，同時(shí)也克服了其通信協(xié)議中固有的安全漏洞。

下一步：身份驗(yàn)證層安全性

第二層安全性對(duì)于智能手機(jī)控制的植入式設(shè)備以及存在偽造和逆向工程風(fēng)險(xiǎn)的設(shè)備至關(guān)重要。這種身份驗(yàn)證層安全性可驗(yàn)證用戶(hù)、智能手機(jī)應(yīng)用程序、云、易耗品以及連接到解決方案通信系統(tǒng)的任何關(guān)聯(lián)設(shè)備的完整性，并確保黑客無(wú)法出于有害目的獲得對(duì)權(quán)限的“根訪(fǎng)問(wèn)權(quán)限”。

該安全層還可以防止偽造。它通過(guò)為物聯(lián)網(wǎng)解決方案中的每個(gè)“事物”帶來(lái)信任來(lái)保護(hù)患者安全以及健康信息的隱私和完整性。它還通過(guò)混淆應(yīng)用程序代碼并確保其他智能手機(jī)應(yīng)用程序不會(huì)干擾連接的健康應(yīng)用程序來(lái)防止逆向工程。

為了實(shí)現(xiàn)這些目標(biāo)，必須在設(shè)備、云、耗材和智能手機(jī)上建立身份驗(yàn)證層的信任根，使用軟件或硬件。硬件安全模塊 （HSM） 可以在出廠(chǎng)時(shí)配置給醫(yī)療設(shè)備，以便為醫(yī)療設(shè)備和消耗品提供所需的加密密鑰和數(shù)字證書(shū)，使其在系統(tǒng)中的行為類(lèi)似于安全元件 （SE）。

在此模擬中，智能手機(jī)上未經(jīng)授權(quán)的攻擊者應(yīng)用程序用于控制附近的物聯(lián)網(wǎng)設(shè)備演示板及其控制器應(yīng)用程序。黑客應(yīng)用程序發(fā)送旨在更改LED燈顏色的虛假溫度值。在不安全模式下，物聯(lián)網(wǎng)演示設(shè)備每 2.5 秒向其發(fā)送一系列虛假值后，可以輕松接受 LED 更改請(qǐng)求。使用板載開(kāi)關(guān)激活應(yīng)用層安全性后，控制器應(yīng)用程序會(huì)立即識(shí)別出攻擊者應(yīng)用程序的簽名無(wú)效，并拒絕 LED 更改請(qǐng)求。僅接受來(lái)自運(yùn)行應(yīng)用層安全性的受信任控制器應(yīng)用程序的 LED 更改請(qǐng)求。

最后一層：連續(xù)連接

第三個(gè)IoMT安全層確保系統(tǒng)始終可以接收最新數(shù)據(jù)并立即更改設(shè)備操作，以滿(mǎn)足患者的護(hù)理要求。對(duì)于由手持設(shè)備或智能手機(jī)控制的解決方案，這可能會(huì)有問(wèn)題，因?yàn)樗鼈儤O易受到通信失誤的影響。

有多種方法可以確保這種持續(xù)的連接。第一種是通過(guò)在iOS或安卓操作系統(tǒng)后臺(tái)運(yùn)行的軟件應(yīng)用程序。該應(yīng)用程序保留在后臺(tái)，每當(dāng)其設(shè)備靠近智能手機(jī)時(shí)，就會(huì)收集物聯(lián)網(wǎng)設(shè)備數(shù)據(jù)。無(wú)需用戶(hù)干預(yù)。第二種方法是基于硬件的。小型網(wǎng)橋使用一種通信協(xié)議（通常僅提供個(gè)人區(qū)域覆蓋）與 IoT 設(shè)備進(jìn)行交互，并使用第二種通信協(xié)議與云進(jìn)行通信。它可以配置為連續(xù)操作，也可以?xún)H在主 IoT 到云路徑不可用時(shí)使用

確保連續(xù)連接的第三種方法對(duì)于MRI機(jī)器和其他傳統(tǒng)的有線(xiàn)以太網(wǎng)醫(yī)療系統(tǒng)尤為重要，這些系統(tǒng)是大多數(shù)醫(yī)院攻擊的原因。連接到以太網(wǎng)的硬件網(wǎng)關(guān)放置在此易受攻擊的醫(yī)療設(shè)備的前面，以提供專(zhuān)門(mén)用于與經(jīng)過(guò)身份驗(yàn)證的設(shè)備進(jìn)行通信的單獨(dú)通道。

持續(xù)改進(jìn)的基石

如今的互聯(lián)健康解決方案不再需要從頭開(kāi)始開(kāi)發(fā)，而是可以使用構(gòu)建塊方法中的第三方軟件開(kāi)發(fā)人員工具包（SDK）實(shí)施。這降低了增加安全性的成本，同時(shí)提高了靈活性，并能夠根據(jù)需要對(duì)傳統(tǒng)設(shè)計(jì)和基礎(chǔ)設(shè)施進(jìn)行改造。此方法還可確保在解決方案生命周期的任何階段都可以持續(xù)改進(jìn)實(shí)現(xiàn)，包括合并 HSM 的使用。

實(shí)施所有三個(gè)IoMT安全層只會(huì)增加患者胰島素泵或其他系統(tǒng)的成本。同時(shí)，它為提供商提供了以高價(jià)值方式區(qū)分其互聯(lián)健康產(chǎn)品的機(jī)會(huì)。也許最重要的是，這種三層方法保護(hù)醫(yī)療保健提供者免受可能危及患者隱私甚至導(dǎo)致某人受傷或死亡的不可估量的違規(guī)成本的影響。

審核編輯：郭婷