前段時間，在美國肯塔基州舉行的DerbyCon大會上，3名對黑客活動感興趣的醫生講述了他們對醫療設備安全漏洞的分析。他們表示，平均來看一臺聯網設備有大約1000個可利用CVE漏洞，某些甚至達到了1400個之多。這些漏洞并非全都能遠程利用，但很多確實可以被遠程操控，而且，“只需1個，1個漏洞就能讓設備淪陷“。其中一名醫生指出，85%的美國醫院沒有任何IT安全員工。

到底這些漏洞會給目前的醫療形勢帶來多大的危害，這些醫生做了個實驗，對醫院的系統進行了大規模的網絡攻擊演練，結果令人震驚。模擬演練算出的死亡人數，大多出現在第一天，也就是說，一旦醫院的系統遭到嚴重攻擊，患者可能活不過當天！

這些模擬演練中所有死亡的案例都是被簡單的黑客活動導致的，甚至都不用物理接觸到醫療設備就能利用那些漏洞。原因在于，醫院很多老舊設備壓根不能打上補丁，一旦進入其網絡或在公共互聯網上發現它們，利用起來易如反掌。而新系統的制造商響應安全漏洞的速度，也是慢得令人心酸。

國內情況同樣不容樂觀。據一份最新的報告顯示，安全漏洞已經成為目前三甲醫院所面臨的主要風險。

從數據分析結果來看，垃圾郵件、域名及IP黑名單是三甲醫院普遍存在的安全問題，安全漏洞仍是對業務影響最嚴重的安全問題，能否及時識別以及修補漏洞已成為評價一個三甲醫院安全級別高低的重要指標。

法律出臺，更多條例規范醫療行業

從信息化醫療到數字化醫療再到智慧醫療，新型技術的使用也將帶來新的安全風險，為了應對這些風險，國家也出臺了一系列的措施。2017年1月20日，國家食藥監總局在其官網上發布了《醫療器械網絡安全注冊技術審查指導原則》（《指導原則》），從相關技術標準和注冊申報資料兩個角度對特定醫療器械產品的“網絡安全”做了要求。

這是自去年11月7日《網絡安全法》頒布以來，首次有相關主管部門針對具體行業及產品專門出臺涉及網絡安全的規范性文件，因此其內容和影響值得關注。從指導原則看，醫療機械產品既要從產品的安全性進行監管，同時還需要考慮其網絡連接特性或數據傳輸功能，但想要達到這些要求并不容易。