2025年医疗设备网络安全趋势：将如何塑造行业

医疗设备正在革新医疗保健行业。这些设备从跟踪和记录生命体征到测量血糖水平再到支持心脏状况，大大改善了患者的治疗效果。医疗设备的未来充满潜力，但同时也伴随着网络安全风险。

2024年，我们见证了美国食品药品监督管理局（FDA）关于安全和隐私的新指南的第一个完整年度，这给制造商在上市前和上市后带来了压力。

医疗设备中的人工智能可能增加风险

人工智能（AI）已经成为许多医疗保健领域的关键因素，医疗设备也越来越多地应用了这一技术。FDA报告称，2023年有221项医疗设备提交包含AI组件，而2024年的数量预计将超过这一数字。AI的机会涵盖了多个方面，从算法分析医疗设备生成的数据到识别漏洞。

然而，AI的扩展也增加了风险。网络犯罪分子可以利用复杂的手段操纵AI来攻击设备，例如分布式拒绝服务（DDoS）攻击。另一个直接关注的问题是数据重识别。虽然这些信息通常不包括个人健康信息（PHI）或个人身份信息（PII），但在黑客控制下的算法可能会重新识别某些数据，导致潜在的身份盗窃。

微分段技术引入零信任安全

医疗设备作为端点，可能允许网络犯罪分子入侵整个网络。微分段可以通过建立零信任安全原则来缓解这种威胁。零信任的一个优点是，默认情况下“信任”任何人或系统，并要求持续验证和认证。

通过这种方法，医疗设备应仅与授权系统通信。实现这一点需要了解设备的位置及其活动。自动化设备发现和分类有助于实施零信任。持续监控这些活动并在必要时进行调整也是至关重要的。

设计安全理念可解决速度优先于安全的困境

当医疗设备制造商从设计阶段开始就注重安全时，它为未来的网络安全保障奠定了更可靠的基础。安全性从开发初期就被纳入考虑，并在整个开发过程中成为优先事项。

将安全视为核心业务举措而非功能或强制要求的制造商能够更好地满足FDA当前和未来的要求。

在安全与创新之间一直存在摩擦，这使得许多公司未能采纳设计安全的理念。不幸的是，许多组织更重视速度而不是安全。一项医疗设备安全调查显示，93%的公司认为缩短上市时间可以更快带来收入，但这必须有一个平衡。忽视安全可能导致上市前申请被拒，甚至更糟糕的是全面的网络攻击或勒索软件攻击。如果发生这种情况，盈利能力将大幅下降。找到正确的平衡需要专家讨论所有功能和安全因素。

互操作性挑战仍然存在

FDA在其2023年的指南中指出，互操作性是网络安全中的一个关注领域。它涉及医疗设备连接到网络、信息系统或其他设备。互操作性长期以来一直是医疗技术的痛点。遗留系统和不太理想的网络使风险更大。

要克服这一点，连接环境必须成为任何网络安全策略的一部分。此外，医疗机构应逐步淘汰老旧、安全性较差的软件，并实施更现代的应用程序。

关注设备的未来防护

联网医疗设备能否实现未来防护？任何技术都能吗？这是一个复杂的问题，有时答案是肯定的。随着设备市场的扩展和新玩家的出现，在网络安全方面进行未来防护是一个良好的竞争策略。

每个设备都是独特的，但制造商可以采取一些一致的做法来实现这一目标。以FDA指南为框架是一个好的起点，例如：

• 持续更新和审查软件物料清单（SBOM）

• 采用安全产品开发框架（SPDF）以增强端点安全

• 确保与数据交换相关的加密始终是最新的和最强大的

• 上市后监测，包括漏洞扫描、审计和渗透测试

• 制定和调整与新威胁和弱点相关的风险管理策略

2025年医疗设备网络安全：建立安全文化

应对风险和安全趋势的关键是什么？不是空洞的口号，而是真正的安全文化。如果整个行业真正拥抱安全文化，我们将受益匪浅——制造商、医疗机构和患者都将从中受益。

在这种理想环境中，每个人都将安全视为核心和关键部分，而不仅仅是障碍。FDA在其监管指南中提出了高期望，这可以成为建立安全文化的良好起点。

无论2025年的趋势如何，保护患者的安全和隐私是不可谈判的，应该始终是首要动机。

(全文结束)