多层安全是抵御医疗物联网网络攻击的最佳解药

在大流行期间，互联医疗设备的长期安全问题现已成为一种渐进的全身性疾病，因为从业者越来越依赖远程患者监控、远程医疗和其他基于 IoMT 的远程护理模式。

医院内部的威胁也比比皆是，包括与传统有线以太网医疗系统相关的威胁，从麻醉机和MRI到呼吸机和输液泵。减轻这些风险需要在整个互连生态系统和用例范围内采用多层安全设计策略。

从医院库存到家庭医疗保健

医院内外的 IoMT 设备共享一组通用的漏洞和相关风险，每个漏洞都可以使用相同的基本网络安全原则来缓解。

在医院内部，跟踪设备和关键资产以提高可见性并防止缺货越来越受欢迎。这包括管理供应商运送到医院的寄售库存，但仅在使用产品或设备以及相关消耗品时开具发票。IoMT 技术提高了医疗设备制造商和医院的可见性，并在使用商品时自动执行订购和开票流程。

IoMT技术还用于简化医院的安全保证功能，例如，乳胶不耐受的患者不会接受含有橡胶的肺导管。IoMT 技术简化了获取导管批号、序列号和有效期的过程，以确保其对植入物有效。它可用于确认设备是真实的，并保持温度和其他环境要求。在召回的情况下，它可以加快获取有关谁可能收到相关产品的所有必要信息。

与此同时，医院内的遗留设备也被拉入IoMT。连接到医院网络的MRI和其他有线以太网医疗系统为黑客提供了一个威胁面，可以利用该威胁来威胁患者安全以及医院运营的完整性。一旦进入医院网络，黑客就有能力通过各种零日攻击来破坏旧设备。

在医院外，许多心脏除颤器、胰岛素泵、血糖仪和其他连接到物联网的设备都有被无线劫持和重新编程的风险。例如，攻击者可以短距离访问胰岛素泵的无线连接，并指示它提供错误数量的胰岛素或控制起搏器来扰乱患者的心律。黑客还可以在传输过程中拦截这些系统的遥测数据，并获取敏感的患者信息。

另一个家庭医疗保健示例是基于IoMT的智能泡罩包装，使护理提供者能够远程管理和监控患者的处方药依从性。泡罩包装发明于 1960 年代，旨在保护药物并使患者可以轻松取回单剂量，现在包含传感器并通过蓝牙与具有显示器和摄像头的家庭网关设备进行通信。网关设备通知患者何时需要打开水泡，然后使用其蜂窝和 Wi-Fi 连接将相关的给药事件数据推送到云端。护理人员在需要干预时会收到警报，还可以使用网关进行井检和其他远程患者互动。

在这些和其他应用中，使用商用智能手机实现命令和控制功能的需求不断增长。但必须首先解决固有的漏洞，其中最危险的是手机的无线连接。蓝牙，NFC和LTE可以防御某些违规行为，但不是全部。以太网和其他协议也是如此。缓解措施要求必须保护所有系统通信，必须信任每个系统元素，并且智能手机应用程序与物联网设备和云之间必须存在“始终在线”的连接。

安全性从应用层开始

应用层安全性可抵御各种恶意软件和无线信道网络安全攻击。与典型的传输层（第 4 层）安全性不同，典型的传输层（第 4 层）安全性仅在消息有效负载向下移动和返回时保护消息有效负载，而应用层安全性在发送方和接收方之间创建安全隧道，以保护智能手机应用程序、医疗设备和云之间的整个通信通道。从本质上讲，应用程序本机构建自己的安全性，而不是依赖于该服务的较低堆栈级别。

使用此方法，可以对会话进行身份验证，并要求所有消息在离开应用程序之前对其进行加密。强大的密钥交换和密钥管理功能使收件人能够在收件人应用使用这些消息之前对其进行解密和验证。这些保护措施中的每一个都增强了现有的Android和iOS安全机制，同时也克服了其通信协议中固有的安全漏洞。

下一步：身份验证层安全性

第二层安全对于智能手机控制的植入式设备以及存在伪造和逆向工程风险的设备至关重要。此身份验证层安全性可验证连接到解决方案通信系统的用户、智能手机应用程序、云、消耗品和任何相关设备的完整性，并确保黑客无法出于有害目的获得对权限的“root访问权限”。

该安全层还可以防止假冒。它通过为物联网解决方案中的每个“事物”带来信任来保护患者安全以及健康信息的隐私和完整性。它还通过混淆应用程序代码并确保其他智能手机应用程序不会干扰连接的健康应用程序来防止逆向工程。

为了实现这些目标，必须在设备、云、消费品和智能手机上使用软件或硬件建立身份验证层的信任根。硬件安全模块 （HSM） 可以在工厂配置到医疗设备，以便为医疗设备和消耗品提供它们在系统中表现得像安全元件 （SE） 所需的加密密钥和数字证书。

在此模拟中，智能手机上未经授权的攻击者应用程序用于控制附近的物联网设备演示板及其控制器应用程序。黑客应用程序发送虚假的温度值，旨在改变 LED 灯的颜色。在不安全模式下，物联网演示设备每 2.5 秒向其发送一系列假值后，可以轻松接受 LED 更改请求。使用板载交换机激活应用层安全性后，控制器应用程序会立即识别攻击者应用程序的签名无效，并拒绝 LED 更改请求。仅接受来自运行应用层安全性的受信任控制器应用程序的 LED 更改请求。

最后一层：持续连接

第三个 IoMT 安全层确保系统始终可以接收最新数据并立即更改设备操作以满足患者的护理要求。对于由手持设备或智能手机控制的解决方案，这可能会有问题，因为它们极易受到通信失误的影响。

有多种方法可以确保这种连续连接。第一种是通过在iOS或Android操作系统后台运行的软件应用程序。该应用程序保留在后台，并在其设备靠近智能手机时收集物联网设备数据。无需用户干预。第二种方法是基于硬件的。小型网桥使用一种通信协议（通常仅提供个人区域覆盖）与 IoT 设备交互，并使用另一种协议与云通信。它可以配置为连续运行，也可以仅在主要的物联网到云路径不可用时使用。

确保连续连接的第三种方法对于MRI机器和其他导致大多数医院攻击的传统有线以太网医疗系统尤为重要。连接到以太网的硬件网关放置在此易受攻击的医疗设备的前面，以提供专门用于与经过身份验证的设备通信的单独通道。

持续改进的基石

如今的互联健康解决方案不再需要从头开始开发，而是可以使用第三方软件开发人员工具包 （SDK） 以构建块方法实施。这降低了增加安全性的成本，同时提高了灵活性，并允许根据需要改造传统设计和基础设施。此方法还可确保在解决方案生命周期的任何阶段都可以持续改进实施，包括合并 HSM 的使用。

实施所有三个 IoMT 安全层只会增加患者胰岛素泵或其他系统的成本几美分。同时，它为提供商提供了以高价值方式区分其互联健康产品的机会。也许最重要的是，这种三层方法可以保护医疗保健提供者免受可能危及患者隐私甚至导致某人受伤或死亡的不可估量的违规成本。

审核编辑：郭婷