标准2025据IBM报告,2020年,医院和其他医疗设施遭受的网络攻击增加了一倍多。这些攻击发生在新冠疫情期间,当时全世界各地医院都在奋力抢治激增的病人。
医院内联网医疗设备的增加,加速了一度分离的IT和运营技术(OT)领域的融合,从而使网络安全变得复杂。挑战在于,与业务系统不同,医院网络的设计实际上是为了方便不同网络的访问。
在IT环境中,网络安全策略旨在保护信息系统(CIA)的机密性、完整性和可用性。在医院,IT和OT技术的融合将重点放在保护各种流量的安全性、完整性、可用性和机密性(SIAC)。
医院和其他关键系统更加重视可用性。理解这一点最简单的方法是考虑在发生攻击时会发生什么。
对于以IT为主导的组织来说,第一道防线之一就是关闭整个系统。然而,在医院,救生医疗设备必须能够永久运行,以确保患者安全。此外,医疗设备需要能够在整个医院互通有无。
其他基本服务也同样如此,如配药室和导诊台,完全不能接受关闭整个系统。
不幸的是,强调维护开放的网络,虽然能够对病人的医疗需求作出迅疾反应,但也使得医院相对容易成为网络犯罪分子的目标。
最近由IEC发布的IEC技术报告(IEC TR 60601-4-5:2021)提供了关于使IEC 62443适应医疗保健行业特定需求的详细指南。IEC 62443最初是为工业过程部门制定的,但现在已用于所有网络物理环境。
IEC TR 60601-4-5提供了连接到医院IT网络的医疗电气设备和系统的安全规范。其中包括IEC TS 62443‑1‑1中规定的七项基本要求:识别和身份验证控制;使用控制;系统完整性;数据保密;数据流受限:及时响应事件;以及资源可用性。
该报告定义了四个安全级别,以及设备达到特定级别所需的技术能力。该报告特别引用了IEC 62443‑4‑2中规定的IT网络组件的安全级别要求,使用该报告的任何人都必须阅读该要求。
报告中包括的其他重要标准有IEC 60601-1和IEC 80001。前者涵盖了医疗设备基本安全和基本性能的一般要求,而后者则涉及将风险管理应用于包含医疗设备的医院网络。
最重要的是,IEC TR 60601-4-5强调了医疗器械制造商和运营商分担安全责任的重要性。