醫療設備安全解決方案之市場指南

關鍵字：()；()；()；()；()；

瀏覽次數：775｜歡迎推文：

科技產業資訊室 - 洪長春發表於 2022年5月18日

圖、醫療設備安全解決方案之市場指南

醫療物聯網大數據之安全解決策略
大多數醫療機構(醫療機構)的資訊長(CIO)和訊息安全中心主任(CISO)都沒有最新、完整和準確的企業醫療設備清單。醫療物聯網 (IoMT) 和物聯網 (IoT) 設備數量在醫療機構中的規模和多樣性都在增長，推動了智慧型設備網絡流量的增加以及由此產生的威脅和複雜性。解決這些問題的市場解決方案從簡單的發現和風險評分開始，並發展成為醫療機構內 IoMT群組的成熟安全保護系統。

根據Gartner發表的Market Guide for Medical Device Security Solutions報告指出，推進醫療保健和生命科學數位優化，建議現代化的醫療機構資訊長應選擇具有以下能力的醫療設備安全解決方案來保護其企業：

建立所有 IoMT 設備的準確庫存清單(inventory)，為風險識別、緩解和分析奠定基礎。
分析 IoMT 網絡風險數據，提供企業近乎即時的威脅認知、緩解安全空隙和準確的設備利用率之統計數據。
結合醫療設備安全功能與傳統網絡保護方法，改善組織的整體網絡安全風險管理計劃。

資產發現與IT/OT安全整合
醫療設備安全解決方案市場解決了醫療機構的IoMT設備的軟件、硬件、網絡和數據保護之要求。這些解決方案使組織能夠安全地管理 IoMT 設備，確保 IoMT 端點和數據完整性，並執行資產發現(asset discovery)。這些方案使用了與 IT、營運技術(OT)和實體安全中許多相同的技術和流程，例如深度數據包檢查(deep packet inspection)和風險識別(risk identification)。醫療設備安全解決方案可以幫助 CIO 建立信任並提供安全、可靠、私密和有彈性的數位護理提供之產品和服務。

因應醫療物聯網之網路安全產品正在興起
在廣泛IoMT的醫療保健環境中，安全風險的多樣性和規模非常重要，並產生了巨大而複雜的威脅面。大多數以感測器為主的設備其內部計算資源很少，安裝防病毒、加密和其他形式保護的機會也很有限。但是，它們通常連接到醫療機構後端計算資源並需要保護。因此，專門設計的醫療設備安全產品正在出現，以幫助應對這些挑戰。

醫療機構發展了一系列廣泛的要求，以解決醫療設備在其環境中運行的固有風險。這個市場領域的供應商(vendors)已經響應了特定的功能來滿足這些要求。由於這些功能無法單獨滿足醫療機構的全部需求，購買者還需要與內部系統和其他外部訊息資源做整合。這些要求包括電腦化維護管理系統(computerized maintenance management system ,CMMS)和即時定位服務(real-time location service, RTLS) 整合。圖 2 顯示了醫療設備安全解決方案的主要功能要求。

圖 2、醫療設備安全解決方案的主要功能要求

資產發現-建立醫療機構中的所有醫療設備準確的清單。設備記帳清單應包括連接到組織網絡的所有設備。與清單條目相關的元數據(Metadata)應能夠識別為操作和網絡安全目的進行分析的醫療器材特徵。用於存儲清單的生成數據庫應可供組織中與醫療設備功能關聯的所有其他系統接取，例如:ITSM(IT service management) 或 CMMS 系統。

風險分析-檢查所有清單項目，每個項目是否存在網絡安全漏洞。通常，這些特徵仰賴於已知風險的網絡行業訊息存儲庫(cyber-industry information repositories)，例如設備、使用的協議和嵌入式操作系統等。風險分析的結果將可做為風險評分或漏洞分層之基礎，訊息安全單位可以使用它來告知其緩解方法。其結果還可以為事件檢測和響應能力提供所需的輸入。

風險緩解-解決方案為醫療機構建立了一個計劃的能力，後續以消除或降低醫療設備所帶來的風險。該計劃將包括在設備上執行固件(firmware updates)及操作系統版本之更新、通信協議之更改、應用供應商為已知漏洞提供的補丁以及網絡分段之建議等。

事件檢測和響應-使用風險分析的結果來監控醫療設備內部和周圍的活動，以顯示已識別的風險。當觀察到可操作的風險時，此功能將建立一個事件通知，傳達檢測到的風險之所有已知細節。如果該工具配置正確，還會在某些情況下創建自動響應以保護組織。

設備分析-提供給醫療機構管理者有關設備使用情況的操作訊息。包括早期一段時間內活動設備的準確計數，以告知設備群組水平。此功能有助於組織調整設備數量水平，通常可顯示出未充分利用的設備之可見性來降低成本。

鎖定醫療物聯網之資安供應商大量增加
目前市場已經從少數IoMT 特定的解決方案發展為大量供應商之情況。從發現和風險評分開始已經發展成為醫療機構內部IoMT群組的成熟安全保護系統。在過去兩年中，Gartner表示有關該解決方案領域的查詢顯著增加，顯示客戶對這些功能的濃厚興趣，加上供應商的數量增加證明了市場的成長趨勢。

Gartner預計醫療機構採用IoMT 在內的物聯網將會加速。由於每次物聯網收購，醫療機構都會擴大其威脅面，必須擴展其網絡保護實踐，以覆蓋其網絡上的新設備群組。隨著醫療設備安全解決方案領域競爭的加劇，期望看到具有特定客製化的創新方法來滿足醫療保健的特定臨床網絡物理需求。

IT安全人員安全部署需與臨床工程/生醫工程及醫療團隊密切協調
醫療機構實施IoMT 安全解決方案後，鑑於新的監控功能，已識別的網絡事件的數量自然會增加。CIO的網絡團隊必須有適當的流程和程序來與臨床護理團隊協調可操作的威脅響應。大多數IoMT網絡事件是在提供患者護理期間，設備處於活動狀態時發生。 IT人員採取的任何可能影響設備持續其功能的行動都必須與臨床工程/生物醫學工程和患者護理團隊協調。

隱私合規性正成為這些工具中越來越重要的組成部分。使用深度數據包檢查揭示受保護的健康信息(PHI)數據流，一些代表性供應商可提供其合規顧問的實踐或與 Clearwater、CynergisTek 和 Fortified Health Security 等公司合作來滿足這些需求。隨著這個市場的發展，應可期望在軟件平台中內置更多的隱私合規監控和響應功能。

隨著領域市場的成熟，出現了更多的威脅面，例如醫療設備製造商提供內置於設備中的嵌入式無線接入點，允許系統組件之間進行無線通信，醫學成像系統就是一個例子。如果沒有得到適當的保護和監控，這些獨立的接入點可以在外部世界和醫療機構的網絡之間架起一座橋樑。 AirEye 和 LOCH Technologies 銷售的解決方案解決了這一新興威脅面。

美國FDA對醫材廠商發布網絡風險指南 凸顯該領域網路安全需求
高調引人注目的網絡攻擊可能會造成影響醫療機構後台和現場照護的損害。隨著醫療機構對其基礎設施進行現代化改造並使用更新的、聯網的和可編程的替代品更新老化的醫療設備時，網絡攻擊造成損害的風險也在增加。網絡攻擊已促使一些醫療機構開始為這些保護技術編制預算。美國食品和藥物管理局 (FDA)對醫療器材製造商發布有關網絡風險預防的上市前和上市後指南來解決醫療器材風險問題，可看出醫療器材物聯網領域對患者安全的雙重影響，因此也凸顯了對安全的需求。

如今大多數解決方案都是對醫療設備安全採取被動的方法，主要在檢測安全問題，然後採取行動做出響應，通常響應的建議是進行網絡分段更改。隨著市場的發展，預計會出現一種更主動的方法，對於臨床、商業和患者影響相關的更深入之漏洞利用分析，威脅的累積響應採取自動響應，這些安全解決方案將會關閉威脅途徑，提供新的保護級別。隨著越來越多的即時需求浮出檯面，這種主動式安全保護將採用持續自適應風險和信任評估 (continuous adaptive risk and trust assessment,CARTA)策略方法，成為醫療設備安全解決方案的基線功能。(2670字；圖1)

參考資料：
Market Guide for Medical Device Security Solutions. Gartner，2022/3/2

相關文章：
1. AI結合5G將改變醫療保健產業診療模式與流程
2. Gartner：醫療物聯網之技術佈署應策略性排序並與內部程序相整合
3. 隨著數位科技進入醫療領域2022年四大健康科技趨勢
4. 智慧醫療保健產業2018年後發展五大趨勢
5. 科技大廠整合AI決戰智慧醫院
6. 健康大數據給醫療保健帶來革命性影響

歡迎來粉絲團按讚！

--------------------------------------------------------------------------------------------------------------------------------------------