高风险医疗物联网设备普遍存在

网络安全公司Claroty最新研究显示，89%的医疗机构网络中部署着风险等级最高的1%医疗物联网（IoMT，Internet of Medical Things）设备。这些设备不仅存在与活跃勒索软件活动相关的已知可利用漏洞（KEVs，Known Exploitable Vulnerabilities），还通过不安全方式连接互联网。这些数据表明，医疗机构亟需将此类高风险设备作为安全修复工作的首要目标。

该报告基于对351家医疗机构的分析，涵盖超过225万台医疗物联网设备和64.7万台运营技术（OT，Operational Technology）设备。

医疗设备安全漏洞威胁患者安全

医疗机构的网络安全负责人（CISO）面临着多重风险挑战，其核心目标是保障患者安全和医疗服务的持续可用性。然而，他们不得不管理大量过时的老旧技术设备，这些设备的操作系统存在诸多安全漏洞，且厂商已停止技术支持。

安全补丁更新问题尤为棘手。由于医疗设备制造商需要获得美国食品药品监督管理局（FDA）对任何网络安全相关变更的批准，CISO们只能旁观这场旷日持久的拉锯战。随着越来越多的医疗物联网设备接入互联网（其中许多在设计之初就未考虑网络安全因素），医疗机构的网络攻击面不断扩大。

数据显示：

• 9%的医疗物联网设备存在已确认的KEV漏洞，影响99%的医疗机构
• 8%的影像系统（X光、CT、MRI、超声等）存在与勒索软件和不安全网络连接相关的KEV漏洞，成为风险最高的医疗设备类别，影响85%的机构
• 20%的医院信息系统（HIS）存在类似漏洞，这些系统管理着患者临床数据及行政财务信息，影响58%的机构

网络犯罪集团瞄准医疗机构

俄罗斯等地的网络犯罪团伙将医疗机构作为冷酷的攻击目标。其策略很明确：利用医院核心基础设施的网络安全弱点，以及机构必须维持基本医疗服务的特性，迫使这些关键基础设施目标支付赎金。

2025年，双重勒索已成为攻击常态。攻击者不仅加密关键系统和文件，还窃取凭证并利用面向互联网的应用程序和系统中的漏洞，在医院网络中建立初始立足点。其中，与俄罗斯有关联的Black Basta和BlackCat/ALPHV团伙被认为是2024年医疗行业最大数据泄露事件的幕后黑手（分别攻击了Ascension和Change Healthcare）。

调查显示：

• 78%的受访机构支付过50万美元及以上赎金
• 39%的机构支付了100万至500万美元赎金

攻击目标不仅限于医院，还包括供应链、支付处理商等第三方机构。地缘政治因素也不容忽视，国家背景的黑客与犯罪团伙为实现其目标（无论是牟利还是破坏医疗行业公信力）进行合作并提供 tacit support（默许支持）。

联网手术设备风险加剧

医院中联网手术设备的使用日益普及。理想情况下这些系统应该零漏洞，但它们都运行在由人类编写的软件和固件上。虽然高风险设备数量相对较少，但一旦在攻击中受损导致设备不可用，将直接威胁患者治疗和健康。

特别值得关注的是运行在老旧Windows和Linux系统上的医疗物联网设备，这些系统可能已停止安全更新。更严重的是，管理这些设备的机构中有很大比例将其以不安全方式接入互联网。93%的机构确认其医疗物联网设备存在KEV漏洞和不安全网络连接。

Claroty医疗行业首席专家Ty Greenhalgh指出："医院在推进数字化转型的同时，面临着保障关键医疗系统安全的巨大压力。网络犯罪分子（特别是勒索软件组织）利用过时技术和不安全连接入侵医院网络。为应对这些威胁，医疗安全负责人应采取以风险暴露为核心的防护策略——优先处理最关键的漏洞，并遵循HHS的HPH网络安全绩效目标等行业指南——以保护患者安全并确保业务连续性。"

参考来源：

Healthcare’s alarming cybersecurity reality