去年，美國網(wǎng)絡安全和基礎設施安全局（CISA）發(fā)布的警告中與藥物泵有關的警告就超過了半數(shù)。例如，在百特國際和Becton Dickinson Alaris System公司生產(chǎn)的泵中發(fā)現(xiàn)的漏洞，黑客就可能利用它來發(fā)動DDoS攻擊，以此來改變系統(tǒng)配置或竊取患者的數(shù)據(jù)。

網(wǎng)絡安全成為了聯(lián)邦藥品管理局的一個重要工作。2020年，F(xiàn)DA發(fā)布了一連串的警告，敦促醫(yī)療設備制造商和醫(yī)院針對一系列的含有漏洞的硬件進行修復，包括SweynTooth，URGENT/11，Ripple20和SigRed。

比如Ripple20是2020年6月發(fā)現(xiàn)的一組bug，該漏洞影響了5.3萬個醫(yī)療設備。根據(jù)Forescout的研究，這些漏洞可以讓攻擊者執(zhí)行遠程代碼。

根據(jù)Ordr的數(shù)據(jù)，通過對500萬臺醫(yī)療物聯(lián)網(wǎng)（IoMT）設備進行了為期一年的分析，發(fā)現(xiàn)有86%的醫(yī)療軟件部署在內(nèi)網(wǎng)的被召回的醫(yī)療設備上。被召回的IoMT設備可以認為是有漏洞的，或者是會造成安全風險的設備。

專家警告說，醫(yī)療設備安全是一個長期的問題，現(xiàn)在又由于受到COVID的影響，這一形勢又變得更加的嚴峻。為了能夠拯救更多的生命，醫(yī)院必須要優(yōu)先考慮設備預算和人員的配置， 這也就意味著網(wǎng)絡安全常常被放置于次要的地位。更加糟糕的是，黑客們也意識到了這一點，現(xiàn)在他們也在利用醫(yī)療機構(gòu)薄弱的網(wǎng)絡安全措施，進行了大量的勒索軟件和釣魚攻擊。

Universal Health Services是2020年受到勒索軟件攻擊的幾個醫(yī)院之一，由于該機構(gòu)受到了網(wǎng)絡犯罪分子的攻擊，對美國、波多黎各和英國的400多個設施造成了重大的影響。據(jù)長期工作在醫(yī)療領域的CISO Tom August介紹，這種針對醫(yī)療設備進行攻擊的問題不容忽視。

August說："如果這些設備中的一個被攻擊，那么造成的潛在的影響真的很大，但是被攻擊的可能性很小。也許你在我的電腦上安裝了勒索軟件，對于我來說這很糟糕。但如果你在病人連接的醫(yī)療設備上安裝惡意軟件，就會對人的生命造成巨大的危害。"

我們應該認識到，如何保證醫(yī)療設備的安全性在安全領域一直是一個很有挑戰(zhàn)性的問題，長期以來，醫(yī)療設備的安全管理是非常艱難的。也就是說，醫(yī)療設備往往存在補丁發(fā)布和更新機制不明確，設備配置錯誤等諸多問題（比如忘記更改默認密碼）。

醫(yī)療物聯(lián)網(wǎng)設備被召回在并運行在內(nèi)部網(wǎng)絡中。Tripwire產(chǎn)品管理和戰(zhàn)略副總裁Tim Erlin說："冠狀病毒并沒有在醫(yī)療設備上制造更多的漏洞，而是將已經(jīng)存在的漏洞暴露了出來"。

該領域也面臨著一些特有的挑戰(zhàn)。例如，由于FDA對設備的配置有嚴格要求而且機構(gòu)和供應商簽訂了合同，護理機構(gòu)往往必須依靠辦事效率低下的供應商進行打補丁、升級和更換，這是一個十分緩慢的過程。

August說："醫(yī)療設備是醫(yī)院的一個盲點，在許多情況下，醫(yī)院不能管理設備 ，這項工作必須由供應商來做。我們不能給它們打補丁，因為供應商不允許。我們不能安裝反惡意軟件進行保護，因為供應商說這樣會違反保修的合同。"

減少醫(yī)療設備的網(wǎng)絡安全風險可能特別困難，但有一些很好的實踐案例可以幫助到我們。

清查醫(yī)療設備是確保網(wǎng)絡安全的第一步。Ordr研究發(fā)現(xiàn)，51%的IT團隊不知道什么類型的設備已經(jīng)連接到了他們的網(wǎng)絡中。

Ordr還發(fā)現(xiàn)Facebook和YouTube應用程序可以在MRI和Windows XP等系統(tǒng)上運行。

根據(jù)報告，"使用醫(yī)療設備進行上網(wǎng)可能會使機構(gòu)面臨著更高的安全風險，很容易受到勒索軟件和其他惡意軟件的攻擊"。

同時，提出以下的評估物聯(lián)網(wǎng)設備的建議：評估設備暴露在互聯(lián)網(wǎng)上的情況，禁用設備上不必要的或未使用的服務，并按照設備的需求來劃分網(wǎng)絡。