美國 NIST 發布智慧喇叭安全指引，降低遠距醫療資安風險

智慧家庭裝置在居家醫療照護的應用日益普及，但也伴隨資安風險。美國國家標準暨技術研究院(NIST)近期發布安全指引，協助醫療機構與病患防範智慧喇叭等物聯網(IoT)裝置的潛在威脅。

攻擊者可能入侵這些裝置來竄改處方簽、竊取醫療資料，甚至讓病患與假冒的醫療人員連線。NIST的這份指引針對這些資安挑戰提出具體防護建議。

遠距醫療智慧裝置的安全隱憂

這份指引探討智慧喇叭與其他 IoT 裝置在遠距醫療（Telehealth）環境中的安全與隱私挑戰。這類系統稱為居家醫院計畫（hospital-at-home programs），讓病患透過語音指令與連網醫療監測裝置完成每日健康檢查、查看檢測結果，並與醫療人員互動。

智慧喇叭會將語音資料傳送至雲端服務進行處理。病患的語音指令在傳送過程中經過多個網路節點，若缺乏足夠的防護機制，資料就可能遭到攔截或竊取。

NIST 指引列舉整合式智慧家庭系統中，病患資料與控制功能可能面臨的威脅，包括：資料外洩（Data exfiltration）、資料竄改（Data manipulation）、阻斷服務攻擊（Denial of service）、作業系統或應用程式中斷（Operating system or application disruption），以及未經授權存取（Unauthorized access）。

這份文件引用 NIST 既有的安全與隱私框架，包括網路安全框架 2.0 版（Cybersecurity Framework 2.0）與隱私框架 1.0 版（Privacy Framework 1.0），將緩解建議對應到既有實務做法。

建議採用的防護措施

NIST 指引建議採用加密通訊，並限制僅有經授權的使用者與裝置可存取系統。核心建議之一是醫療機構應在醫療或生物識別裝置與家中其他網路及醫療系統之間建立網路區隔（network segmentation）。

網路區隔是將網路切分成多個獨立區段的技術，通常使用防火牆等工具。這種做法讓攻擊者更難在入侵一個裝置後，進一步滲透到其他裝置。

雖然這份指引主要針對技術與資安團隊，但也包含對病患有用的建議。不過需要注意的是，這些防護措施僅限於裝置的使用層面，不涵蓋裝置製造、硬體、作業系統或支援臨床存取功能的軟體開發方法。

NIST 國家網路安全卓越中心（NCCoE）的資安專家 Ron Pulivarti 表示，有些人可能無法前往醫院，但可以透過智慧喇叭與醫療人員溝通。遠距醫療的病患與醫療提供者會透過網路交換機密資訊，我們希望展示可能出現的風險，以及可採取的防護措施。

本文轉載自 HelpNetSecurity。