IEC标准强调医疗行业的网络安全

据IBM报告，2020年，医院和其他医疗设施遭受的网络攻击增加了一倍多。这些攻击发生在新冠疫情期间，当时全世界各地医院都在奋力抢治激增的病人。

医院内联网医疗设备的增加，加速了一度分离的IT和运营技术（OT）领域的融合，从而使网络安全变得复杂。挑战在于，与业务系统不同，医院网络的设计实际上是为了方便不同网络的访问。

在IT环境中，网络安全策略旨在保护信息系统（CIA）的机密性、完整性和可用性。在医院，IT和OT技术的融合将重点放在保护各种流量的安全性、完整性、可用性和机密性（SIAC）。

医院和其他关键系统更加重视可用性。理解这一点最简单的方法是考虑在发生攻击时会发生什么。

对于以IT为主导的组织来说，第一道防线之一就是关闭整个系统。然而，在医院，救生医疗设备必须能够永久运行，以确保患者安全。此外，医疗设备需要能够在整个医院互通有无。

其他基本服务也同样如此，如配药室和导诊台，完全不能接受关闭整个系统。

不幸的是，强调维护开放的网络，虽然能够对病人的医疗需求作出迅疾反应，但也使得医院相对容易成为网络犯罪分子的目标。

最近由IEC发布的IEC技术报告（IEC TR 60601-4-5:2021）提供了关于使IEC 62443适应医疗保健行业特定需求的详细指南。IEC 62443最初是为工业过程部门制定的，但现在已用于所有网络物理环境。

IEC TR 60601-4-5提供了连接到医院IT网络的医疗电气设备和系统的安全规范。其中包括IEC TS 62443‑1‑1中规定的七项基本要求：识别和身份验证控制；使用控制；系统完整性；数据保密；数据流受限：及时响应事件；以及资源可用性。

该报告定义了四个安全级别，以及设备达到特定级别所需的技术能力。该报告特别引用了IEC 62443‑4‑2中规定的IT网络组件的安全级别要求，使用该报告的任何人都必须阅读该要求。

报告中包括的其他重要标准有IEC 60601-1和IEC 80001。前者涵盖了医疗设备基本安全和基本性能的一般要求，而后者则涉及将风险管理应用于包含医疗设备的医院网络。

最重要的是，IEC TR 60601-4-5强调了医疗器械制造商和运营商分担安全责任的重要性。