连网医疗设备日益普及，可提供病患更完善的照护，却也为网络犯罪大开方便之门。据healthcare dive报导，投资公司muddy waters和安全公司medsec惊爆st. jude心脏植入物隐含安全疑虑，美国食品药物管理局(fda)对此展开调查，2017年初发出安全警告，认为该心脏植入物可能遭骇。

st. jude为了息事宁人，宣称遭骇风险“极低”，但同时也成立医疗咨询委员会主打连网设备的安全问题，fda也把安全列为2017年十大药厂法规重要事项。

加州安全公司 arxan营销官mandeep khera表示，最大的安全威胁是遭到有心人士骇入，恐威胁病患的生命，虽然目前没有实际案例，但随着连网医疗设备普及，这迟早会发生，黑客通常会侵入系统等待最佳时机发动攻击。

温哥华absolute software全球安全策略专家指出，有些医疗设备会连接旧系统，把测试结果回传中央服务器，一旦系统遭到勒索软件攻击，那些数据都会遭到冻结，以致医生无法作出临床诊断，若医院舍不得旧系统，就会支付赎金。

为了降低这些风险，it部门必须随时注意连网设备所收集的数据。连网医疗设备使用第三方开源函式库或其他开源软件时，也可能遭到黑客的阻断服务攻击(ddos)，mirai等殭尸网络(botnets)就曾经阻断数百万用户的网络服务。

医疗组织必须做好把关工作，确认连网设备制造商有没有修补程序的能力，一旦有安全危机或遭到黑客入侵，制造商能够多快做出回应，此外连网设备也要有认证功能，以便进行追踪和补救。

加州羚羊谷医院(antelope valley hospital)表示，医疗机构要确保制造商提供软件保证(sa)，软件保证亦即从软件开发、除错、瑕疵侦测到安全测试，都有针对软件功能进行分析和追踪。

fda特别针对医疗设备上市前设计考虑和上市后安全管理，以及内含现成软件连网设备的安全发布准则草案。khera表示，fda很重视医疗设备遭骇的问题，只要医疗设备不符合这些准则，就难以取得fda核准，迫使制造商重视安全问题。

制造商必须有完整的安全计划，确保软件应用程序和所有通讯活动受到保护，制造商也要有备案计划，若不幸遭受攻击该如何因应，从制造商内部人员到医疗机构，也必须有安全意识训练，但这一块仍备受忽略。

至于医疗机构必须提供病患最先进而有效的工具，同时确保这些设备和数据的安全和隐私。最后报导建议，医院应检视目前既有的安全控制措施，能否直接套用到医疗设备上。

（转载）

以上是网络信息转载，信息真实性自行斟酌。