隨著勒索軟件攻擊不斷升級，其中最為常見的目標是物聯網設備，醫院和其他關鍵的醫療系統面臨著飆升的風險。僅在2021年，針對醫療保健機構的物聯網勒索軟件攻擊事件就增加了123%。

　　盡管大多數醫療保健系統都非常重視保護其設施中大量的醫療物聯網(IoMT)設備的重要性，但許多系統都存在一些誤解，阻礙了實現最佳IoMT安全保護和最佳實踐的能力。這些誤解，以及醫療保健組織應該理解并基于其實踐的嚴酷現實，包括:

　　1) 傳統的IT安全工具已足夠。

　　醫療保健系統經常犯這樣的錯誤：認為所有設備的安全性都是一樣的，并且認為為標準IT設備，如服務器和筆記本電腦，提供的保護也可以有效地保護IoMT設備。

　　由于多種原因，傳統的IT安全性無法可靠地保護IoMT設備。首先，許多傳統安全工具利用主動掃描來檢測威脅。但大部分IoMT設備無法承受主動掃描，并會崩潰，可能會影響患者的健康。為保護傳統設備而設計的工具也不太可能可靠地發現和盤點IoMT設備，也無法保護所不知道的設備。這種方法也缺乏評估或將未連接IoMT設備相關風險的能力。

　　更好的方法是采用針對當前任務的安全策略。有效的安全性將利用特定于IoMT的數據、框架和MDS2制造商披露聲明來理解和緩解已知的漏洞。IoMT安全還需要全面了解每個設備的連接和周圍的生態系統。這些細節對于確定IoMT設備漏洞是否代表真正需要解決的威脅至關重要。

　　2) 增加IoMT專用安全系統超出預算。

　　醫療保健組織中的IT和安全決策者天生具有預算意識。然而，攻擊影響患者健康的真正可能性，以及安全缺陷導致6到7位數的監管處罰，都有力地支持了他們無法承擔不投資IoMT安全的論點。

　　就像在醫療保健行業本身一樣，一盎司的IoMT安全風險預防勝過一磅的治療。實施有效的IoMT安全性可以通過消除識別和修復設備漏洞所需的大量現有支出來進一步控制成本

　　，以及通過標記存在和不存在構成實際風險的漏洞來大大提高效率。IoMT安全洞察力還可以實現更高效的設備采購，為更全面的安全策略的ROI最大化提供更大的可視性。

　　3) 為IoMT安全目的收集數據會增加違反HIPAA的風險。

　　當然，醫療保健系統必須優先考慮受保護的健康信息(PHI)的安全性和HIPAA法規。這不僅保護了患者，還避免了罰款和名譽損害。為了持續實現合規性，IT和安全團隊對傳輸到供應商或云的任何信息謹慎實施數據共享限制。

　　然而，認為收集數據為IoMT的安全實踐提供信息會增加違反HIPAA的風險的觀點是錯誤的。IoMT安全分析側重于網絡流量數據，其中不包括PHI數據。安全保護措施還可以應用過濾器，防止PHI通過云傳輸，畢竟云本身也可以符合HIPAA。使用完全本地化的IoMT基礎設施可以有效地防止外部數據傳輸和風險。

　　4) IoMT安全部署需要數月的努力。

　　雖然部署一個新的電子健康記錄系統可能需要組織整整一年的時間來完成，但IoMT特定的安全實施是一條完全不同的前進路徑，過程要快得多。IoMT安全性采用了許多基于云的安全措施，不需要硬件采購或冗長的生產部署，而這些會拖延其他領域的實施。依賴于邊緣設備的IoMT安全系統仍然可以在短短幾小時內實施。一般來說，部署特定于IoMT的安全性并不會過于繁瑣或冗長。

　　真相: IoMT特有的安全性是觸手可及的。

　　如果目前的趨勢如預測的那樣繼續下去，勒索軟件和其他針對IoMT設備的攻擊只會變得更加頻繁。對于醫療保健系統，避免數據泄露和業務本身面臨巨額罰款和嚴重聲譽損害至關重要。攻擊者希望IT決策者繼續相信IoMT過于復雜和具有挑戰性，無法妥善保護。好在，采用高效的IoMT特定安全措施的費用和難度并不像仍然普遍存在的誤解所暗示的那樣令人生畏。