对于医疗机构而言,确保医务人员、患者、记录、设备和设施的安全比以往任何时候都更加重要。针对医疗保健和勒索软件需求的网络攻击正在成为热点新闻,但物理安全仍然至关重要。这就是物联网设备在帮助保护医院、诊所和其中的人方面取得长足进步的地方。
医疗设施将联网的物联网设备用于多种应用,以实现不同地区的法规遵从性,包括美国HIPAA(医疗保险可携性和责任法案)和医疗保健组织认证联合委员会 (JCAHO)。为了解决人身安全问题并降低现场风险,医院和诊所正在采用设备和系统来进行访问控制、综合监控、访客管理、患者走动和胁迫检测系统。
医护人员需要保护
与其他行业一样,医疗保健以极快的速度增加了以安全为中心的设备,但现在面临着重大的管理和维护工作量。一个起点是拥有联网的监控摄像头、访问控制系统和防黑客的操作传感器,这些都需要自动化。
大多数针对医疗机构的黑客都使用勒索软件攻击来获取经济利益,而不是破坏物理安全。然而,在一次大规模的隐私侵犯中,黑客获得了美国几个州医院的摄像头,并能够监控重症监护病房的病人。
物联网设备不会为黑客提供快速的财务回报;在维护和网络安全方面,它们被忽视了。这是一个错误,因为一旦受到攻击,物理安全设备就可能成为重大网络攻击的切入点。
人工智能可以帮助保护医疗设施
机器学习和人工智能在较新的物理安全系统中发挥作用。医疗机构现在可以安装系统来识别未通过授权点进入或未正确注册的人员。这种面部匹配技术无需使用个人数据即可工作。进入后窃取徽章对于入侵此类系统的入侵者是无效的。
许多设施需要对特定建筑区域进行内部访问控制——例如,心理健康和儿科。其他支持 AI 的应用包括胁迫检测、枪支检测和患者游荡。
医疗物联网设备的安全漏洞
医院还有一个额外的问题:如何保护有助于保护设施及其中的设备的连接设备。不可否认,存在差距。许多医疗机构没有专门负责网络安全的工作人员。鉴于一些医院的年度预算超过了它们所在的整个大都市区,因此必须解决这种差异。
网络安全人员短缺可能是导致设备易受攻击的两大非强制错误的原因之一:未能更改密码和使用带有硬编码密码的设备。
无论是在医院、仓库还是商场,监控摄像头和访问控制的密码轮换经常被忽视或遗忘。这是设备所有者/操作员的责任,但由于手动跟踪非常困难,因此在许多设施中简单地跳过了密码轮换。这意味着相当一部分物理安全设备多年来共享相同的出厂设置密码,并且可能永远不会更新。
至于硬编码密码,应该是自动取消资格显然不是。甚至制造商也使用硬编码密码,为了方便或粗心,它们对黑客来说是一份巨大的礼物。如果不修补软件,它们通常是不可能更改的。
如何加强医疗保健的人身安全
保护与物联网相关的物理安全的战斗已经有一段时间了,医疗机构现在需要采取几个步骤来加强其安全态势:
- 建立对医院和医疗机构网络上所有连接设备的 24/7 持续可见性。大型医院可能有成百上千的影子设备。
- 通过立即实施密码轮换和设施范围内的固件更新,自动化摄像机和其他安全系统的安全卫生。这阻止了绝大多数攻击,不仅针对 IT 基础设施,还针对维持物理安全的设备。
- 对物理安全设备网络进行分段,以防止针对它们的攻击在设备群中传播或感染整个 IT 基础设施。
- 一些安全专家相信,在设备中嵌入硬件级别的安全性早就应该了。这是一种早期趋势,制造商刚刚开始学习。
- 解决网络安全中的人为因素。聘请所需的网络安全专业人员至关重要;教育医护人员并培训他们识别和立即响应攻击以最大程度地减少损失也很重要。
本质上易受恶意软件和其他攻击的物联网设备包括安全摄像头和其他用于物理安全的传感器和控件。保险公司、网络安全和基础设施安全局以及医疗保健行业在合作和制定标准以保护维持医疗场所物理安全的设备方面有着既得利益。
医疗机构必须实施和自动化设备安全基础,如果他们还没有这样做的话。管理员还应该关注新兴的安全产品,包括人工智能驱动和基于硬件的选项。
随着医院和诊所通过新的连接设备和功能进行创新以提高物理安全性,他们必须牢牢掌握这些系统的日复一日的网络安全要素。他们需要配备正确工具的内部专业人员来大规模自动化设备管理和安全性。