但伴随着机遇,物联网也给科技企业带来了风险。当前,有三分之一的NHS信托机构没有跟踪IoT设备的方法。这可能会使数据和服务面临严重的安全问题。如果这项技术无法按预期工作,患者可能会受到伤害或暴露敏感的个人健康信息。
此类漏洞比想象还更为常见。《连线》杂志去年报道称,医疗安全企业CyberMDX的研究人员在一个远程访问平台上发现了7个容易被利用的漏洞,这个平台在医疗设备中特别流行。平台遭到破坏可能会影响数十万台设备的安全。更具体些,攻击者有可能从医疗设备或其他医疗保健设备中窃取数据,可能会篡改实验室结果,使关键设备不可用,甚至完全接管。
预测危险
尽管不可能消除物联网的所有风险,但技术企业可以通过面对不断变化的风险保持警惕,并预测可能出现的危险来加强其安全性。以下是需要牢记的重要物联网风险类别:
1、人身伤害
如果物联网设备运行不正常,技术企业可能要对由此造成的用户或患者的伤害或死亡负责。生产物联网技术的企业应该了解,由于设计或制造缺陷、产品误用或未能警告消费者产品使用中的潜在危险而面临的人身伤害风险。
例如,如果医生开出带有可吞咽芯片的药丸来验证记忆障碍患者的依从性,并且存在缺陷阻止将依从性数据传输给医生,则医生可能不会收到患者未服用药物的警报。如果患者的病情恶化,患者可能会因未能传输合规数据而起诉生产相关药物的企业。
2、技术错误和遗漏
由于设计中的错误、遗漏或疏忽行为,物联网技术可能无法按预期工作。如果购买者遭受经济损失,可以向设备开发商提出责任索赔。仅国防开支就可能摧毁一家技术企业。
例如,如果健康保险企业向使用健身追踪器的客户提供奖励,而追踪软件中的错误夸大了步数,那么该企业可能会发放过多的折扣。保险企业可能会将经济损失归因于设备的外部操作导致的步数错误。
3、网络风险
如果窃贼破坏基于物联网的信息系统并泄露数据,企业可能会因未能妥善保护信息系统而面临经济损失、中断或声誉损害。
例如,一家生产可穿戴心脏监测仪的企业可以将医疗读数上传到云端。如果负责云安全的工程师未能正确配置安全补丁,黑客就可以进入,然后出售并威胁暴露患者的敏感健康数据。
防范物联网风险
随着新的医疗物联网应用不断被发现,新的风险也随之出现。在此过程中,技术企业可能因人身伤害、第三方经济损失以及未能妥善保护数据而承担责任。但它们也可以防范这些类别的风险。经纪企业和保险企业可以通过帮助企业评估和实施适当的质量和风险管理系统,就如何建立有效的网络安全控制提供建议,以及审查企业合同实践,成为有价值的合作伙伴。
医疗技术保险也是企业风险管理策略的重要组成部分。旅行者技术和医疗技术网络保险提供广泛、灵活的承保选项,帮助保护客户免受与物联网安全漏洞相关的损失。这涵盖了许多医疗技术特定风险,包括网络勒索、数据恢复、违规通知、业务中断和声誉损害。
在技术快速发展的环境中,无懈可击的保护是不可能的,但医疗技术企业可以采取措施,使其更难以成为网络犯罪分子的目标。通过这样做,可以使自己置于更有利的地位,以利用物联网的回报并减轻其危害。