多层安全对抗医疗物联网网络攻击

随着从业者越来越依赖远程患者监测、远程医疗和其他基于 IoMT 的远程护理模式，联网医疗设备的慢性安全问题现已成为大流行期间的一种渐进性系统性疾病。

医院内部的威胁也比比皆是，包括与传统有线以太网医疗系统相关的威胁，从麻醉机和 MRI 到呼吸机和输液泵。减轻这些风险需要在整个互连生态系统和用例范围内采用多层安全设计策略。

从医院库存到家庭医疗保健

医院内外的 IoMT 设备共享一组共同的漏洞和相关风险，每个漏洞都可以使用相同的基本网络安全原则进行缓解。

在医院内部，跟踪设备和关键资产以提高可见性并防止缺货越来越流行。这包括管理供应商运送到医院的寄售库存，但仅在使用产品或设备及相关耗材时开具发票。IoMT 技术提高了医疗设备制造商和医院的可见性，并在使用物品时自动执行订购和开票流程。

IoMT 技术还用于简化医院的安全保障功能，例如，不耐受乳胶的患者不会接受含有橡胶的肺导管。IoMT 技术简化了获取导管批号、序列号和有效期的过程，以确保其对植入物有效。它可用于确认设备的真实性并保持符合温度和其他环境要求。如果发生召回事件，它会加快获取有关谁可能收到了相关产品的所有必要信息。

与此同时，医院内的遗留设备也被拉入 IoMT。连接到医院网络的 MRI 和其他有线以太网医疗系统为黑客提供了一个威胁面，可被利用来威胁患者安全以及医院运营的完整性。一旦进入医院网络，黑客就有能力通过各种零日攻击来破坏遗留设备。

在医院外，许多心脏除颤器、胰岛素泵、血糖仪和其他连接到物联网的设备都面临被无线劫持和重新编程的风险。例如，攻击者可以短距离访问胰岛素泵的无线连接，并引导其输送错误量的胰岛素或控制起搏器以扰乱患者的心律。黑客还可以在传输过程中拦截这些系统的遥测数据并获取敏感的患者信息。

另一个家庭医疗保健示例是基于 IoMT 的智能泡罩包装，它使护理提供者能够远程管理和监控患者的处方药依从性。泡罩包装于 1960 年代发明，用于保护药物并使患者更容易取回单剂量，泡罩包装现在包含传感器并通过蓝牙与具有显示器和摄像头的家庭网关设备通信。网关设备会在需要打开水泡时通知患者，然后使用其蜂窝和 Wi-Fi 连接将相关的给药事件数据推送到云端。护理人员在需要干预时会收到警报，并且还可以使用网关进行良好检查和其他远程患者交互。

在这些和其他应用中，使用商用智能手机进行命令和控制功能的需求不断增长。但必须首先解决固有漏洞，其中最危险的漏洞之一是手机的无线连接。蓝牙、NFC 和 LTE 可以防御一些漏洞，但不是全部。这也适用于以太网和其他协议。缓解要求必须保护所有系统通信，必须信任每个系统元素，并且智能手机应用程序与物联网设备和云之间必须有“永远在线”的连接。

安全始于应用层

应用层安全防御各种恶意软件和无线通道网络安全攻击。与仅在消息有效负载向下移动到 OSI 堆栈并返回时保护消息有效负载的典型传输层（第 4 层）安全性不同，应用层安全性在发送方和接收方之间创建了一条安全隧道，以保护智能手机应用程序之间的整个通信通道，医疗设备和云。从本质上讲，应用程序本身就构建了自己的安全性，而不是依赖于该服务的较低堆栈级别。

使用这种方法，可以对会话进行身份验证，并要求在所有消息离开应用程序之前对其进行加密。强大的密钥交换和密钥管理功能使接收者能够在这些消息被接收者应用程序使用之前对其进行解密和验证。这些保护措施中的每一项都增强了现有的 Android 和 iOS 安全机制，同时还克服了其通信协议中固有的安全漏洞。

下一步：身份验证层安全

第二层安全对于智能手机控制的植入式设备以及那些有被伪造和逆向工程风险的设备至关重要。这种身份验证层安全性可验证连接到解决方案通信系统的用户、智能手机应用程序、云、消耗品和任何相关设备的完整性，并确保黑客无法出于有害目的获得对特权的“root 访问”。

该安全层还可以防止伪造。它通过信任物联网解决方案中的每个“事物”来保护患者安全以及健康信息的隐私和完整性。它还通过混淆应用程序代码并确保其他智能手机应用程序不会干扰连接健康应用程序来防止逆向工程。

为了实现这些目标，必须使用软件或硬件在设备、云、消费品和智能手机上建立身份验证层的信任根。硬件安全模块 （HSM） 可以在工厂提供给医疗设备，以便为医疗设备和耗材提供加密密钥和数字证书，它们需要像系统中的安全元件 （SE） 一样工作。

下面的视频展示了这个安全层是如何工作的。在此模拟中，智能手机上未经授权的攻击者应用程序用于控制附近的物联网设备演示板及其控制器应用程序。黑客应用程序发送虚假的温度值，旨在改变 LED 灯的颜色。在不安全模式下，IoT 演示设备在每 2.5 秒向其发送一系列假值后轻松接受 LED 更改请求。在使用板载开关激活应用层安全性后，控制器应用程序立即识别出攻击者应用程序的签名无效并拒绝 LED 更改请求。LED 更改请求仅接受来自运行应用层安全性的受信任控制器应用程序。

最后一层：持续连接

第三个 IoMT 安全层确保系统始终可以接收最新数据并立即更改设备操作以满足患者的护理要求。这对于由手持设备或智能手机控制的解决方案可能会出现问题，因为它们极易受到通信故障的影响。

有多种方法可以确保这种持续连接。第一种是通过在 iOS 或 Android 操作系统后台运行的软件应用程序。该应用程序保留在后台，并在其设备靠近智能手机时收集物联网设备数据。无需用户干预。第二种方法是基于硬件的。小型网桥使用一种通信协议（通常仅提供个人区域覆盖）与物联网设备交互，另一种与云通信。它可以配置为连续运行或仅在主要的 IoT 到云路径不可用时使用（参见图 2）。

（图 2：如果出现 Wi-Fi 故障，IoT 通信和安全堆栈可用于在固件远程套接字 （FRS） 组件和电话远程套接字 （PRS） 组件之间发送/接收数据。）

第三种确保连续连接的方法对于 MRI 机器和其他导致大多数医院攻击的传统有线以太网医疗系统尤为重要。连接到以太网的硬件网关被放置在这个易受攻击的医疗设备前面，以提供一个单独的通道，专门用于与经过身份验证的设备进行通信。

持续改进的基石

今天的互联健康解决方案不再需要从头开始开发，而是可以使用第三方软件开发工具包 （SDK） 以构建块的方式实施。这降低了增加安全性的成本，同时提高了灵活性，并使传统设计和基础设施能够根据需要进行改造。这种方法还确保可以在解决方案生命周期的任何时候不断改进实施，包括结合使用 HSM。

实施所有三个 IoMT 安全层只会增加患者胰岛素泵或其他系统的成本几美分。同时，它为供应商提供了以高价值方式区分其互联健康产品的机会。也许最重要的是，这种三层方法可以保护医疗保健提供者免受可能危害患者隐私甚至导致某人受伤或死亡的不可估量的违规成本。

审核编辑：郭婷