前段时间，在美国肯塔基州举行的DerbyCon大会上，3名对黑客活动感兴趣的医生讲述了他们对医疗设备安全漏洞的分析。他们表示，平均来看一台联网设备有大约1000个可利用CVE漏洞，某些甚至达到了1400个之多。这些漏洞并非全都能远程利用，但很多确实可以被远程操控，而且，“只需1个，1个漏洞就能让设备沦陷“。其中一名医生指出，85%的美国医院没有任何IT安全员工。

到底这些漏洞会给目前的医疗形势带来多大的危害，这些医生做了个实验，对医院的系统进行了大规模的网络攻击演练，结果令人震惊。模拟演练算出的死亡人数，大多出现在第一天，也就是说，一旦医院的系统遭到严重攻击，患者可能活不过当天！

这些模拟演练中所有死亡的案例都是被简单的黑客活动导致的，甚至都不用物理接触到医疗设备就能利用那些漏洞。原因在于，医院很多老旧设备压根不能打上补丁，一旦进入其网络或在公共互联网上发现它们，利用起来易如反掌。而新系统的制造商响应安全漏洞的速度，也是慢得令人心酸。

国内情况同样不容乐观。据一份最新的报告显示，安全漏洞已经成为目前三甲医院所面临的主要风险。

从数据分析结果来看，垃圾邮件、域名及IP黑名单是三甲医院普遍存在的安全问题，安全漏洞仍是对业务影响最严重的安全问题，能否及时识别以及修补漏洞已成为评价一个三甲医院安全级别高低的重要指标。

法律出台，更多条例规范医疗行业

从信息化医疗到数字化医疗再到智慧医疗，新型技术的使用也将带来新的安全风险，为了应对这些风险，国家也出台了一系列的措施。2017年1月20日，国家食药监总局在其官网上发布了《医疗器械网络安全注册技术审查指导原则》（《指导原则》），从相关技术标准和注册申报资料两个角度对特定医疗器械产品的“网络安全”做了要求。

这是自去年11月7日《网络安全法》颁布以来，首次有相关主管部门针对具体行业及产品专门出台涉及网络安全的规范性文件，因此其内容和影响值得关注。从指导原则看，医疗机械产品既要从产品的安全性进行监管，同时还需要考虑其网络连接特性或数据传输功能，但想要达到这些要求并不容易。