多层安全是抵御医疗物联网网络攻击的最佳解药

在大流行期间，连接医疗设备的长期安全弊病现已成为一种渐进的全身性疾病，因为从业者越来越依赖远程患者监控，远程医疗和其他基于IoMT的远程护理模式。

医院内部的威胁也比比皆是，包括与传统有线以太网医疗系统相关的威胁，从麻醉机和MRI到呼吸机和输液泵。降低这些风险需要跨整个互连生态系统和用例的多层安全设计策略。

从医院库存到家庭保健

医院内外的IoMT设备共享一组常见的漏洞和相关风险，每个漏洞和风险都可以使用相同的基本网络安全原则来缓解。

在医院内部，跟踪设备和关键资产以提高可见性并防止缺货越来越受欢迎。这包括管理供应商运送到医院的寄售库存，但仅在使用产品或设备及相关消耗品时开具发票。IoMT技术提高了医疗设备制造商和医院的可见性，并在使用物品时自动执行订购和开票流程。

IoMT技术还用于简化医院的安全保证功能，例如，乳胶不耐受患者不会接受含有橡胶的肺导管。IoMT技术简化了获取导管批号，序列号和有效期的过程，以确保其对植入物有效。它可用于确认设备是否真实，并保持温度和其他环境要求。在召回的情况下，它可以加快获取有关谁可能已收到相关产品的所有必要信息的获取速度。

与此同时，医院内部的遗留设备也被拉入IoMT。连接到医院网络的MRI和其他有线以太网医疗系统为黑客提供了威胁表面，可以利用该威胁面威胁患者安全以及医院运营的完整性。一旦进入医院网络，黑客就能够通过各种零日攻击来破坏传统设备。

在医院外，许多心脏除颤器，胰岛素泵，血糖仪和其他连接到物联网的设备都有被无线劫持和重新编程的风险。例如，攻击者可以短距离访问胰岛素泵的无线连接，并指示其提供错误数量的胰岛素或控制起搏器以破坏患者的心律。黑客还可以在传输过程中拦截这些系统的遥测数据，并获取敏感的患者信息。

另一个家庭医疗保健的例子是基于IoMT的智能泡罩包装，它使护理提供者能够远程管理和监控患者的处方药依从性。泡罩包装发明于 20 世纪 60 年代，用于保护药物并使患者轻松检索单剂量药物，现在它集成了传感器，并通过蓝牙与具有显示器和摄像头的家庭网关设备进行通信。网关设备在打开水泡时通知患者，然后使用其蜂窝和Wi-Fi连接将相关的剂量事件数据推送到云中。护理人员在需要干预时会收到警报，还可以使用网关进行油井检查和其他远程患者互动。

在这些和其他应用中，使用商用智能手机实现命令和控制功能的需求不断增长。但必须首先解决固有的漏洞，其中最危险的漏洞之一是手机的无线连接。蓝牙，NFC和LTE可以防御某些违规行为，但不是全部。以太网和其他协议也是如此。缓解措施要求必须保护所有系统通信，必须信任每个系统元素，并且智能手机应用程序与物联网设备和云之间必须有“始终在线”的连接。

安全性始于应用层

应用层安全性可抵御各种恶意软件和无线通道网络安全攻击。与仅在消息沿 OSI 堆栈向下移动和返回时保护消息有效负载的典型传输层（第 4 层）安全不同，应用层安全性在发送方和接收方之间创建安全隧道，以保护智能手机应用程序、医疗设备和云之间的整个通信通道。从本质上讲，应用程序本身构建了自己的安全性，而不是依赖于该服务的较低堆栈级别。

使用此方法，可以对会话进行身份验证，并要求在离开应用之前对所有消息进行加密。强大的密钥交换和密钥管理功能使收件人能够在接收方应用程序使用这些消息之前对其进行解密和验证。这些保护措施中的每一项都增强了现有的Android和iOS安全机制，同时也克服了其通信协议中固有的安全漏洞。

下一步：身份验证层安全性

第二层安全性对于智能手机控制的植入式设备以及存在伪造和逆向工程风险的设备至关重要。这种身份验证层安全性可验证用户、智能手机应用程序、云、易耗品以及连接到解决方案通信系统的任何关联设备的完整性，并确保黑客无法出于有害目的获得对权限的“根访问权限”。

该安全层还可以防止伪造。它通过为物联网解决方案中的每个“事物”带来信任来保护患者安全以及健康信息的隐私和完整性。它还通过混淆应用程序代码并确保其他智能手机应用程序不会干扰连接的健康应用程序来防止逆向工程。

为了实现这些目标，必须在设备、云、耗材和智能手机上建立身份验证层的信任根，使用软件或硬件。硬件安全模块 （HSM） 可以在出厂时配置给医疗设备，以便为医疗设备和消耗品提供所需的加密密钥和数字证书，使其在系统中的行为类似于安全元件 （SE）。

在此模拟中，智能手机上未经授权的攻击者应用程序用于控制附近的物联网设备演示板及其控制器应用程序。黑客应用程序发送旨在更改LED灯颜色的虚假温度值。在不安全模式下，物联网演示设备每 2.5 秒向其发送一系列虚假值后，可以轻松接受 LED 更改请求。使用板载开关激活应用层安全性后，控制器应用程序会立即识别出攻击者应用程序的签名无效，并拒绝 LED 更改请求。仅接受来自运行应用层安全性的受信任控制器应用程序的 LED 更改请求。

最后一层：连续连接

第三个IoMT安全层确保系统始终可以接收最新数据并立即更改设备操作，以满足患者的护理要求。对于由手持设备或智能手机控制的解决方案，这可能会有问题，因为它们极易受到通信失误的影响。

有多种方法可以确保这种持续的连接。第一种是通过在iOS或安卓操作系统后台运行的软件应用程序。该应用程序保留在后台，每当其设备靠近智能手机时，就会收集物联网设备数据。无需用户干预。第二种方法是基于硬件的。小型网桥使用一种通信协议（通常仅提供个人区域覆盖）与 IoT 设备进行交互，并使用第二种通信协议与云进行通信。它可以配置为连续操作，也可以仅在主 IoT 到云路径不可用时使用。

确保连续连接的第三种方法对于MRI机器和其他传统的有线以太网医疗系统尤为重要，这些系统是大多数医院攻击的原因。连接到以太网的硬件网关放置在此易受攻击的医疗设备的前面，以提供专门用于与经过身份验证的设备进行通信的单独通道。

持续改进的基石

如今的互联健康解决方案不再需要从头开始开发，而是可以使用构建块方法中的第三方软件开发人员工具包（SDK）实施。这降低了增加安全性的成本，同时提高了灵活性，并能够根据需要对传统设计和基础设施进行改造。此方法还可确保在解决方案生命周期的任何阶段都可以持续改进实现，包括合并 HSM 的使用。

实施所有三个IoMT安全层只会增加患者胰岛素泵或其他系统的成本。同时，它为提供商提供了以高价值方式区分其互联健康产品的机会。也许最重要的是，这种三层方法保护医疗保健提供者免受可能危及患者隐私甚至导致某人受伤或死亡的不可估量的违规成本的影响。

审核编辑：郭婷