傳統的醫療物聯網設備可能缺少安全功能，但是圍繞商品組件構建的較新設備可能具有整套不同的漏洞，攻擊者可以更好地理解這些漏洞。

對于使醫療保健網絡更容易受到網絡攻擊的損害，專家們的分歧在于舊的連接的醫療設備還是更新的醫療設備。

不安全的物聯網的經典敘述集中在將舊設備集成到網絡中。 在某些行業中，這些設備要比Internet早一些，有時要花相當長的時間，因此，在保護其免受遠程入侵的威脅方面，企業面臨很多挑戰也就不足為奇了。

即使這些設備還不是很舊，它們通常也缺少關鍵功能，尤其是遠程軟件更新和可配置的密碼保護，這些功能將幫助IT人員防御現代威脅。

醫療物聯網安全初創公司Cylera的首席安全策略師Richard Staynings認為，就醫療領域而言，這可能并非完全正確。他認為，近年來醫療物聯網設備的數量和種類呈爆炸式增長，其中許多小工具至少與該領域真正的傳統設備一樣不安全。

Staynings說，在某些情況下，較舊的設備實際上可能比較新的設備安全得多。特別是那些基于過時技術的產品，例如電可擦可編程只讀存儲器（EEPROM）的舊版本。

他說：“較早的系統是用EEPROM編寫的-您需要一個EEPROM讀取器才能將它們弄亂。” “代碼庫不在Internet上供黑客查看，您需要對EEPROM進行物理訪問才能重寫它。”

相反，較新的設備經常使用潛在攻擊者更加熟悉的軟件和硬件組件。 “他們在設計和構造上更普遍-他們使用［消費者現成的］操作系統，例如Windows Embedded，無論您信不信由你，該操作系統仍在使用，并且與傳統相比，它們更容易受到攻擊系統”，Staynings說。

當前一代醫療物聯網硬件的不安全性還可能帶來持續存在的問題，而不僅僅是緊迫的問題。盡管IT資產得到快速更換，但IoT設備的更換周期通常更長。 Staynings說：“醫療器械具有of的半衰期。” “他們只是不會消失。”

在Staynings對醫療物聯網威脅的描述中，其他專家則鮮為人知，他們認為，新設備要比舊設備構成更大威脅的想法在面對最近使它們更安全的努力時就不成立了。基思·穆拉爾斯基（Keith Mularski）指導安永咨詢公司的網絡安全咨詢業務，并將Staynings的主張描述為“令人驚訝”，并指出互聯醫療設備的監管格局正在朝著積極的方向迅速發展標準。

“ FDA有一些相當嚴格的指導原則，在設備投入市場之前，您需要將威脅建模放在一起，因此要研究安全架構，向量等，然后除了FDA準備準備要求上市前提交文件中的第三方筆測試，” Mularski說。 “使用舊版設備，這些上市前提交的申請就不那么完整了。”

Mularski確實承認，某些特別易受攻擊的舊設備通常在設計上通常與網絡更加隔離，部分原因是它們更容易識別為易受攻擊的資產。例如，Windows 95老式X射線機很容易被發現為壞演員的潛在目標。

他說：“在大多數情況下，我認為在大多數醫院環境中，他們在認識到自己擁有這些舊設備以及較脆弱的設備方面做得很好。”

這強調了大多數專家討論的主題–對給定網絡上潛在的安全漏洞的簡單認識對于保護醫療網絡至關重要。 Greg Murphy是Ordr的首席執行官，Ordr是一家總部位于圣塔克拉拉的網絡可見性和安全性初創公司。他說，穆拉爾斯基和斯廷寧斯都表示贊成。

他說：“將遺留設備問題降到最低的任何人都必須走醫院的生物醫學工程部門的步伐，”。 “ 但是，另一方面，連接到網絡的新設備本身也具有巨大的漏洞。許多制造商本身都不知道他們的設備存在哪些漏洞。”

Murphy說，解決問題的唯一真正方法是在網絡級別上-試圖在設備級別上確保所有內容的安全在許多情況下幾乎是不可能的，甚至無法準確了解連接到網絡的每個設備的情況。通常需要使用自動化解決方案。

他說：“這不再是人類規模的問題。”

Mularski和Staynings都同意這一點。無論特定網絡上的哪些設備最容易受到攻擊，都應記住，網絡犯罪分子通常不會特別關注其危害，只要他們能夠獲得訪問權限即可。

Mularski說：“可能有攻擊者橫穿這些設備，進行掃描并偶然發現［漏洞］，但我們確實還沒有看到針對醫療設備的特定目標。” “確保具有醫療設備的公司枚舉其網絡，跟蹤其設備，這一點很重要。”
責任編輯：tzh