连网医疗设备目前正透过更快且更精确的诊断、较低的营运成本、透过自动化提升的效率以及整体病患成效的改善来强化病患体验，因而彻底改变整个医疗产业。连网的临床和营运 IoT 装置可被应用在包括病患监控到办公室系统在内的各种领域。不过，同样的装置却也会扩大攻击范围而沦为最脆弱的一环，并且会遭到攻击者利用而渗透到医院网路中。

在过去 12 年 (2010-2022) 中，医疗业相较於其他产业，一直以来都是最容易遭到入侵以及入侵损失平均成本最高的产业。连网的医疗装置是一种有利可图的目标，因为攻击者会利用勒索软体来挟持医院，或窃取病患位於装置中的敏感个人医疗资讯 (PHI) 等重要数据。

Palo Alto Networks Unit 42 威胁情报小组的调查发现，医疗装置会因为本身的严重弱点而成为医院网路中最脆弱的环节：

·在本研究中，有 75% 的注射帮浦都至少存在一个弱点或曾发出至少一次的安全警示。

·例如 X 光、核磁共振 (MRI) 和电脑断层 (CT) 扫描仪等成像装置特别容易受到攻击，就以 X 光机来说，其中有 51% 会暴露在高严重性的一般弱点(CVE-2019-11687) 中。

·另外，有 20% 的一般成像设备会执行不受支援的 Windows 版本。

·而有 44% 的 CT 扫描仪和 31% 的 MRI 机器会暴露在高严重性的 CVE 中。

然而上述的装置数量及其弱点还只是冰山一角而已。这些现代化医疗装置也会因为以下原因而难以进行保护：

·由於缺乏对於未受管理、已连网之医疗装置的可视性，无法掌握实际的攻击范围。

·因缺乏装置脉络而看不见弱点，让医院暴露在未知的威胁当中。

·传统安全架构 (具有扁平式网路且容易发生错误、手动制定安全政策的方式) 会妨碍对於法规需求的合规性，例如健康保险可携性和责任法案 (HIPAA)。

·在管理多个单一功能安全产品时会增加复杂度并产生安全漏洞。

医疗组织需要全面的零信任网路安全解决方案来支援他们的数位转型过程、导向更理想的病患照护结果，同时可确保病患数据隐私权和法规合规性。零信任的网路安全策略可透过持续验证数位互动的各个阶段来消除隐藏式信任。零信任采取「永不信任，持续验证」的原则，藉以保护现代数位医疗环境。该原则会采用最低存取控制权和政策，并透过持续信任验证和监控装置行为来封锁零日攻击。

唯有 Palo Alto Networks 才能提供最全面且快速的零信任安全方法，让医疗组织得以无後顾之??地提供病患最隹照顾

Palo Alto Networks 推出的医疗 IoT 安全建构在目前经证实的 IoT 安全技术上并以零信任方法为基础，同时使用机器学习 (ML) 向医疗服务业者提供专为医疗装置设计的 IoT 安全产品。该解决方案会快速探索及评估每个装置，轻松地区隔及执行最低存取权，并透过简化的作业来防御各种已知和未知的威胁。此外，此一新产品可让医疗服务业者提升安全性并减少弱点：

·验证网路区隔：视觉化呈现完整的连线装置概图，并确保每个装置都位於规划的网路区段中。适当的网路区隔可确保装置只会与授权的系统进行通讯。

·根据规则自动进行安全回应：建立政策规则以查看装置是否有任何行为异常并自动触发适当的回应。例如，正常情况下只会在夜间传送少量数据的医疗装置若突然开始使用大量频宽，则预先设定的规则会自动中断装置的网际网路连线并向安全团队发出警示。

·零信任最隹实践政策和执行自动化：只要按一下即可在支援的执行技术装置上执行建议的最低权限存取政策。这可避免容易出错且耗时的手动政策设定，并可透过相同的设定档轻松地在同一组装置中调整。

·了解设备弱点和风险状况：立即掌握每个设备的风险状况，包括生命周期结束状态、FDA 召回通知、预设密码警示和未授权外部网站通讯、MDS2、CVE、行为异常、Unit42 威胁研究等等。额外存取每个医疗设备的软体材料清单 (SBOM) 并将其对应至一般弱点和暴露 (CVE)。此对应会识别用於医疗设备和任何相关弱点的软体程式库。

·提升合规性：轻松地了解医疗装置弱点、修补状态和安全设定，然後取得建议以使装置能符合各种规则和指南，例如健康保险可携性和责任法案 (HIPAA)、一般数据保护法规 (GDPR) 以及类似的法律和规范。

·简化作业：两种不同的仪表板可让 IT 和生物医学工程团队各自查看与其职务有关的重要资讯。与 AIMS 和 Epic 系统等现有的医疗资讯管理系统整合以自动化工作流程。

符合数据存放要求：医疗 IoT 安全可让我们位於美国、德国、新加坡、日本和澳洲等地的客户透过本机云端托管来采用 IoT 安全服务。区域性医疗 IoT 安全服务可用性可确保能符合如 GDPR 等当地数据存放和本地化要求。

医疗 IoT 安全提供可采取行动的指南

随着医疗产业自行转型来为病患提供更好的服务，连线的医疗装置将会持续成长。以零信任架构为基础的医疗 IoT 安全提供可采取行动的指南来保护其完整的生命周期，使整个产业能以更安全的方式使用连网的临床装置。医疗 IoT 安全提供可视性、风险和行动，使医疗系统能针对所有连网的医疗装置和应用程式实施零信任政策。