我们中的许多人一想到联网的智能家居扬声器是如何监听我们的，就会感到不安，但我们不太担心医疗设备会共享什么信息。个人健康信息在黑市上售价数百至数千美元，而信用卡和社会保障号码分别约为25美分和10美分。被泄露的患者数据不仅会危及隐私和患者个人信息，还会危及个人安全。被黑客攻击的医院输液泵可能被用来注射致命剂量，易受攻击的起搏器可能导致致命电击。此外，冠状病毒危机无疑影响了医疗系统，并吸引了网络犯罪分子，大大增加了攻击向量。
保护敏感健康信息的第一步是保护连接的医疗物联网（IoMT）设备，如胰岛素泵、起搏器和其他监测设备。许多运行在过时的软件上，连接的设备不断变化，这使得管理它们变得极其困难。目前IoMT设备约有100亿台，但预计到2028年将翻五番，达到500亿台。

数字证书可以加密信息并对用户进行身份验证
数字证书可以通过加密敏感信息、在允许访问之前验证与设备的连接以及确保通信数据的完整性来帮助保护设备。例如，DigiCert最近被一位客户要求帮助快速、安全地部署一项检测新冠肺炎抗体的测试，该测试适用于世界各地的医疗保健提供者。该客户在全球部署了实验室设备，可以进行这些抗体测试，但这些设备需要更新才能加载并启用这种新的抗体测试。由于将这一测试能力交到医疗保健提供商手中的紧迫性，更新需要通过空中进行，而不是派遣现场服务工程师到每个设备加载更新。DigiCert与该客户合作部署了一个安全的空中更新，利用代码签名证书来确保更新安全到达，并且在传输过程中不会被修改。抗体测试是在首次接触DigiCert几天后安全部署的，目前已在世界各地的患者身上使用。
这个例子相对简单，只需几天就可以部署。但随着越来越多的设备连接起来，我们遇到了问题，因为制造商正在用不同的标准制造设备，这些标准不一定能协同工作。在两到五年内，我们不仅会担心与供应商设备的连接，还会担心与整个生态系统的连接。

智能家居制造商如何实现互操作性和安全性
当智能家居物联网设备制造商遇到类似问题时，他们联合起来创建了一个也强调安全的互操作性标准。如今的消费者需要连接；他们希望自己的智能灯、电视和恒温器能够连接到语音助手集线器，无论是谁制造的。当亚马逊、谷歌和苹果开始收到消费者的投诉，称他们的物联网中心（Alexa、GoogleHome和HomeKit）没有连接到许多智能家居设备时，他们意识到他们都有同样的痛点，需要做点什么。他们还意识到，消费者开始期待并基于安全性做出购买决定。因此，他们在Zigbee联盟下联合起来，成立了IP连接家庭（CHIP）项目，以建立一种标准化的方法，允许任何符合CHIP标准的智能家居设备以安全的方式免版税地一起工作。自该项目形成以来，已有数十家领先的智能家居制造商、有机硅供应商和安全专家加入该项目。该组织的目标是在今年年底制定标准草案并初步实现开源。
为了确保设备得到正确的认证和保密处理，DigiCert被邀请参与CHIP项目。DigiCert正在与CHIP的参与者合作，以确保公钥基础设施（PKI）的设计和架构以及数字证书的使用是健全的，并且具有适当的根层次结构和管理文件。一旦该标准最终确定并部署，制造商将能够简化开发，消费者将不必担心将他们的智能家居设备与智能家居集线器相匹配，因为他们的设备将与符合该标准的任何其他设备安全地互操作。

医疗保健可以从智能家居设备制造商那里学到什么
对连接的需求也是医疗行业的一个问题。我们现在需要展望未来，规划一个互联的生态系统，以制定标准，使未来的互操作性成为可能。安全性必须从一开始就从根本上融入到设计中。在这种情况下，我们可以学习智能家居制造商为解决他们共同的挑战所做的工作，并将其应用于医疗保健。如果一组医疗物联网设备制造商合作确定全行业的规格，那么整个行业都将从这一标准化中受益，使IoMT设备能够安全、可靠和互连。
任何行业变革的问题都在于推动发展。谁负责启动标准化，以及如何启动标准化？我认为有两种可能的解决方案：监管机构或市场领导者需要挺身而出（或两者兼而有之）。

1.  首先，监管机构可以挺身而出，制定规则，促使医疗设备制造商采用安全最佳实践。或者，美国食品药品监督管理局也可以召集行业领袖，鼓励制定安全标准，而不是监管。

2.  其次，领先的医疗设备制造商可以效仿智能家居行业，召集一个类似于CHIP项目的小组。只需要行业中的少数大公司就可以就一种方法达成一致，并进行正确的合作来制定行业标准。一旦该行业看到了谈判桌上的重要参与者，还会有更多的参与者紧随其后。

监管机构和行业领导者都要发挥作用。有能力召集合适的参与者并推动这种合作的人需要挺身而出并发挥领导作用。
DigiCert支持创建一个互联世界，并拥有大规模保持通信和交易安全的技术。在整个行业中创建设备互操作性的方法是通过PKI，如果架构正确，它可以在生态系统中建立信任的根源。DigiCert支持CHIP项目制定安全标准，并随时准备并愿意做同样的事情，帮助制定医疗设备安全和互操作性标准。
我们需要认真对待医疗保健信息的隐私和安全，就像我们对待自己家的隐私和安全一样。PKI可以帮助保护设备的安全，并提供规范物联网设备之间通信方式的技术。医疗设备制造商可以效仿智能家居设备制造商创建项目来解决这些挑战。这些只是保护患者个人信息的第一步，但在医疗保健行业，安全的每一步都很重要，因为这是拯救生命的一步。

本文由 聚力诚信 根据 Digicert 博客

WHAT IOMT DEVICE MANUFACTURERS CAN LEARN FROM SMART HOME IOT 编译整理，转载请注明出处。

厦门聚力诚信科技有限公司（BestCert.net）是网络安全领域的专业服务提供商，专注提供SSL证书，邮件安全证书，代码签名证书等国际、国密双算法的数字证书管理服务, 涵盖所有市场主流的SSL证书类型和品牌，从证书的申请，验证，安装，证书专家全程在线支持！公司同时为各行业客户提供电子签章，身份认证等电子认证服务解决方案。