醫療機構如何使用物聯網來加強安全性

對於醫療機構而言，確保醫務人員、患者、記錄、裝置和設施的安全比以往任何時候都更加重要。針對醫療保健和勒索軟體需求的網路攻擊正在成為熱點新聞，但物理安全仍然至關重要。這就是物聯網裝置在幫助保護醫院、診所和其中的人方面取得長足進步的地方。

醫療設施將聯網的物聯網裝置用於多種應用，以實現不同地區的法規遵從性，包括美國HIPAA（醫療保險可攜性和責任法案）和醫療保健組織認證聯合委員會 (JCAHO)。為了解決人身安全問題並降低現場風險，醫院和診所正在採用裝置和系統來進行訪問控制、綜合監控、訪客管理、患者走動和脅迫檢測系統。

醫護人員需要保護

與其他行業一樣，醫療保健以極快的速度增加了以安全為中心的裝置，但現在面臨著重大的管理和維護工作量。一個起點是擁有聯網的監控攝像頭、訪問控制系統和防黑客的操作感測器，這些都需要自動化。

大多數針對醫療機構的黑客都使用勒索軟體攻擊來獲取經濟利益，而不是破壞物理安全。然而，在一次大規模的隱私侵犯中，黑客獲得了美國幾個州醫院的攝像頭，並能夠監控重症監護病房的病人。

物聯網裝置不會為黑客提供快速的財務回報；在維護和網路安全方面，它們被忽視了。這是一個錯誤，因為一旦受到攻擊，物理安全裝置就可能成為重大網路攻擊的切入點。

人工智慧可以幫助保護醫療設施

機器學習和人工智慧在較新的物理安全系統中發揮作用。醫療機構現在可以安裝系統來識別未通過授權點進入或未正確註冊的人員。這種面部匹配技術無需使用個人資料即可工作。進入後竊取徽章對於入侵此類系統的入侵者是無效的。

許多設施需要對特定建築區域進行內部訪問控制——例如，心理健康和兒科。其他支援 AI 的應用包括脅迫檢測、槍支檢測和患者遊蕩。

醫療物聯網裝置的安全漏洞

醫院還有一個額外的問題：如何保護有助於保護設施及其中的裝置的連線裝置。不可否認，存在差距。許多醫療機構沒有專門負責網路安全的工作人員。鑑於一些醫院的年度預算超過了它們所在的整個大都市區，因此必須解決這種差異。

網路安全人員短缺可能是導致裝置易受攻擊的兩大非強制錯誤的原因之一：未能更改密碼和使用帶有硬編碼密碼的裝置。

無論是在醫院、倉庫還是商場，監控攝像頭和訪問控制的密碼輪換經常被忽視或遺忘。這是裝置所有者/操作員的責任，但由於手動跟蹤非常困難，因此在許多設施中簡單地跳過了密碼輪換。這意味著相當一部分物理安全裝置多年來共享相同的出廠設定密碼，並且可能永遠不會更新。

至於硬編碼密碼，應該是自動取消資格顯然不是。甚至製造商也使用硬編碼密碼，為了方便或粗心，它們對黑客來說是一份巨大的禮物。如果不修補軟體，它們通常是不可能更改的。

如何加強醫療保健的人身安全

保護與物聯網相關的物理安全的戰鬥已經有一段時間了，醫療機構現在需要採取幾個步驟來加強其安全態勢：

1. 建立對醫院和醫療機構網路上所有連線裝置的 24/7 持續可見性。大型醫院可能有成百上千的影子裝置。
2. 通過立即實施密碼輪換和設施範圍內的韌體更新，自動化攝像機和其他安全系統的安全衛生。這阻止了絕大多數攻擊，不僅針對 IT 基礎設施，還針對維持物理安全的裝置。
3. 對物理安全裝置網路進行分段，以防止針對它們的攻擊在裝置群中傳播或感染整個 IT 基礎設施。
4. 一些安全專家相信，在裝置中嵌入硬體級別的安全性早就應該了。這是一種早期趨勢，製造商剛剛開始學習。
5. 解決網路安全中的人為因素。聘請所需的網路安全專業人員至關重要；教育醫護人員並培訓他們識別和立即響應攻擊以最大程度地減少損失也很重要。

本質上易受惡意軟體和其他攻擊的物聯網裝置包括安全攝像頭和其他用於物理安全的感測器和控制元件。保險公司、網路安全和基礎設施安全域性以及醫療保健行業在合作和制定標準以保護維持醫療場所物理安全的裝置方面有著既得利益。

醫療機構必須實施和自動化裝置安全基礎，如果他們還沒有這樣做的話。管理員還應該關注新興的安全產品，包括人工智慧驅動和基於硬體的選項。

隨著醫院和診所通過新的連線裝置和功能進行創新以提高物理安全性，他們必須牢牢掌握這些系統的日復一日的網路安全要素。他們需要配備正確工具的內部專業人員來大規模自動化裝置管理和安全性。