物聯網醫療設備中存在安全漏洞 安全需要設備商等多方合作

　　物聯網醫療設備中的四個漏洞

　　硬編碼管理密碼，用于允許對多個設備上相同的設備進行特權訪問。攻擊者可以對設備制造商進行研究，并輕松學習硬編碼密碼，以獲得管理員訪問設備及其數據的權限。

　　缺乏對醫療設備的認證訪問權限。雖然服務技術人員使用管理帳戶進行設備管理，但通常不需要對常規用戶訪問進行身份驗證。這顯然意味著任何地方的任何人都可以登錄到設備。不需要高深的黑客技能。

　　智能醫療設備是無線的，并通過連接傳輸未加密的數據，所以攻擊者連接醫院內的無線網絡并不困難。獲得對這些無線網絡的訪問意味著攻擊者能夠從設備捕獲任何和所有未加密的流量，從而暴露敏感的患者信息。

　　使用開源軟件漏洞構建的設備所有代碼都包含漏洞。通過利用開源軟件，許多開發人員可以使用預先存在的代碼快速解決問題。這是整個軟件行業的常見做法，因為它可以節省開發產品的時間。

　　遺憾的是，利用現有代碼的固有優勢帶來了采用現有和已知漏洞的更大風險。攻擊者掃描網絡，尋找允許利用設備的漏洞。

　　轉型技術的危險

　　新興醫療技術將繼續成為醫療服務質量和速度的關鍵，吸引患者并提供最佳患者治療效果。

　　許多物聯網設備，加上網絡中患者數據的自由流動，會對正在發生的事情造成大量內部盲點。最大的威脅是網絡內部，周邊安全是盲目的。

　　當涉及到基礎設施的變化時，醫療保健領域的IT安全團隊往往處于落后的狀態。例如，新的物聯網醫療設備通常連接到網絡而不通知IT安全團隊。

　　對于醫療保健提供商而言，隨著采用和部署尖端醫療技術，更好地了解網絡內的流量和行為可以幫助醫療保健團隊保持警惕和更加自信。

　　手動跟蹤設備以提高可見性確實很困難，尤其是對于小型安全團隊。當你考慮安全團隊發現數據泄露所需的時間時，IT安全團隊顯然需要保持技術領先地位。

　　許多醫療保健提供商正在通過人工智能擴充其安全團隊，以自動檢測和分類網絡中的網絡攻擊，同時加速事件響應。對于物聯網設備制造商而言，實施基本的安全防衛將大大降低攻擊的可能性。唯一的默認密碼和安全補丁更新機制至少會大大降低攻擊者破壞設備的能力。

　　國內物聯網卡供應平臺物聯卡商城表示，最終，保護醫療設備需要制造商和醫療保健提供商之間的協作。例如，制造商應向醫療保健組織提供軟件物料清單。制造商應告知醫療保健提供商產品中的軟件，使IT團隊能夠更好地實施和管理安全性，作為其資產管理計劃的一部分。利用長期的行業努力來提高安全性，同時立即采取措施縮小醫療設備生態系統的差距，這將確保醫療保健組織始終領先于攻擊者。