医疗物联网安全保障

意义鉴于中国人口老龄化和对医疗设施的需求日益增加，医疗设备联网可以大大提高整个体系的工作效率，降低成本和提升患者体验。葡萄糖监测装置在中国的使用是医疗设备联网的一个好例子。中国是亚太地区糖尿病发病率最高的国家。中国的医疗专业人士正在采用数字医疗系统，为患者保存电子健康记录，并管理医疗项目。在市场上引进智能、可穿戴设备等技术成果，有助于提高葡萄糖监测设备的市场 渗透率，预计未来增速 显著。目前，中国 80%以上的人口已经适应使用数字技术新产品，大约40%的人口使用健康应用程序跟踪日常活动。1 救生的医疗物联网设备，从心脏起搏器到输液泵，正日益成为数据和网络安全违规的渠道。对于医院和医疗专业人员来说，此种日益增加的风险对他们如何管理和运营医疗设施有重大影响。可喜的是，各国相关机构和企业已经意识到问题的严重性，并积极制定应对措施。对此，普华永道给出三点建议：网络入侵就像是一种“非自然”灾难 医疗机构应该做好准备，应对更频繁发生的网络安全事件，并对所需的规划、防御措施和人员进行投资。此外，他们也可以像应对自然灾难一样未雨绸缪，应该制定并测试网络安全入侵和修复计划。如果设备发生故障，或者甚至怀疑网络有可能遭受入侵，各机构也应做好应对准备。而且还应制定可以离线访问的业务永续经营计划。此外，医疗机构也应该慎重考虑应用网络安全保险，在发生网络安全事件时降低财务成本和损失。了解组织面临的风险 安全故障可能意味着设备无法运行，重要的病历被盗或者不能使用，甚至于作为预防措施而不得不关闭整个医疗机构。网络入侵会影响患者的医疗保健，其所造成的财务和声誉成本也有可能远远超过业务中断所造成的收入损失。普华永道之前进行的消费者调研 显 示 ，在 受 黑 客 事 件 影 响 的 消 费 者中，26%的人员表示，他们因为自己的医疗信息在黑客事件中被盗，而决定更换医生、医院、保险商或者医疗机构；38%的消费者称，他们会对医疗设备遭受黑客攻击的医院持 警 惕 态 度 。随 着 电 子 医 疗 记 录 系 统（EHR）对联网设备的采用日益增加，这意味着如果对所收集数据的完整性有疑虑的话，公司的款项支付数据也可能面临危险。供应商应从战略角度慎重考虑如何管理自己的联网设备通过使用一种分层方法，包括限制访问设备的人员以及限制设备的用途，达到管控网络安全风险的目的。普华永道健康研究院相关报告显示，虽然95%的医疗机构高管们认为自己的措施足够安全，能够抵御网络安全威胁，但是只有36%的医疗机构落实了访问管理政策，34%落实了网络安全审计流程。此外，许多公司内部还缺乏网络安全专业知识，需要求助外部。我们建议，公司可以通过签订供应商合同，明文规定设备制造商的责任，包括安全更新和安全支持等。例如，越来越多的医疗机构在采购产品之前，会确保并要求其供应商遵守安全标准，以及进行第三方安全测试或提供第三方网络安全测试报告。医疗设备联网将整个医疗体系连接在一起，在病人照护、医疗记录和支付记账等工作中发挥着关键作用，但是每个联网设备都可能成为网络犯罪入侵的一扇大门。在过去的2018年中，医疗行业出现了大量的网络安全漏洞。美国国土安全部出具的报告显示，医疗设备的网络安全漏洞增加了525%，因此医院等医疗机构必须快速采取果断的行动，以保护数据隐私，确保联网医疗设备的安全，维护患者的利益（参见图1）。医疗业已成为所谓“勒索软件”最常锁定的攻击目标之一。例如在名为“WannaCry”的网络攻击事件中，入侵者访问受害方文件，对其进行加密，随后索要数字货币，如此才能解除。2017年，美国至少两家医院在遭遇“WannaCry”入侵后出现了问题。而在英国，则有16家医院受其侵害不能访问联网设备。《人民日报》报道称，有些中国医院也因为“WannaCry”的攻击遭受损失和不便。普华永道健康研究院的全球信息安全状况调查 (GSISS)发现，2016年，有16%的医疗机构遭到“WannaCry”的攻击；另有11家医疗设备制造商警告称，该软件可能会影响他们的设备，而且几家制造商已确认受到了影响。许多医院都有成千上万的医疗设备连接至网络，但某些医院却缺乏采购管控或严格的联网规则，导致其甚至不知道医院所拥有的此类设备的确切数目，更不用说安全系数。GSISS调查称，64%的医疗机构称他们对联网的设备和技术开展了风险评估，以查找可能存在的安全漏洞，而其中只有55%的机构表示他们已经为这些设备落实了安全控制措施。图1：有关设备漏洞的报告激增至创纪录水平1 Arizton Advisory & Intelligence, “Glucose Monitoring Devices Market - Global Outlook and Forecast 2018-2023”(2018), http://www.arizton.com/public/market-reports/glucose-monitoring-devices-market一是评估了解组织正面临的风险：我们在调查中发现，医疗安全领域的漏洞会导致设备无法运行，医疗资料无法及时抽取调用，在最严重的情景中，整个医疗机构都会陷入瘫痪。二是未雨绸缪，在事故发生前尽可能做好准备：医疗行业覆盖的各家机构和公司应加大对预防措施的投资，培训相关环节工作人员以提高其防范意识，制定详实的规划以应对有可能发生的“瘫痪”事件。三在采购医疗设备时，要求其供应商遵守安全标准，应提前进行一套完整设备安全测试。此外与供应商敲定有关设备受限后如何恢复以及维护等问题，明确供应商责任，以免自己陷入彻底被动的局面。任何组织都无法免受数字化便利同时所带来的网络安全威胁。企业需要思考如何有效应对，建立安全保障。普华永道可祝您一臂之力!来穆萨普华永道中国网络安全和法务会计业务主管合伙人201425201542016252017不仅如此，GSISS报告还表明，员工培训也是一个关键问题，只有31%的医疗机构计划在今年对其员工开展有关物联网安全实践的培训；另外31%的受访者表示，他们计划在今年制定有关联网设备的政策。“WannaCry”这案件造成各方都在重新考虑制定安全实践计划，”美国医院协会健康信息和政策运营副会长Chantal Worzala表示。她认为，问题在于“医院部署了数千台设备，而如果受到网络安全攻击的话，尝试修复所有这些设备是一个非常艰巨的挑战。尤其在许多设备公司未提供有关潜在漏洞信息，或者能够用于修复漏洞的更新和补丁时，更是如此。”另一个问题则有关监管机构，在提醒公众这一点上，他们可能行动迟缓。2014年，美国相关领域研究者发现了一处严重医疗设备漏洞，直到一年多后，美国食品药品监督管理局（FDA）才发出相关警告。数据来源：普华永道健康研究院对美国国土安全部 ICS-CERT系列安全出版物的分析。数据截止至2017年9月25日。医疗物联网安全保障热点问题