اهمیت امنیت تجهیزات پزشکی در برابر حمله‌ های سایبری

وسایل پزشکی هک شده که در برخی از خبرها به آن پرداخته می‌شود، موضوعی جالب و در عین حال ترسناک است. با توجه به این‌که دستگاه‌های پزشکی متصل در حال افزایش هستند احتمال این‌که اطلاعات آن‌ها هک شود زیاد است. توجه ویژه به امنیت تجهیزات پزشکی اهمیت دارد. از یک سو بیماران باید در برابر چنین حمله‌های امنیتی محافظت شوند. از سوی دیگر در یک شبکه بیمارستانی دستگاه‌های پزشکی به تعداد زیادی حسگر و دستگاه‌های نظارت متصل هستند و به هکرها اجازه می‌دهند به سابقه پزشکی بیماران دسترسی داشته باشند و یا سامانه‌های حیاتی موجود در بیمارستان را در اختیار بگیرند و از مدیران بیمارستان تقاضای پول کنند. با مجله فناوری‌های توان‌افزا و پوشیدنی همراه باشید.

اهمیت امنیت تجهیزات پزشکی در برابر حمله‌ های سایبری

دیک چینی (Dick Cheney) سیاستمدار آمریکایی درخواست کرد که دستگاه ضربان‌ساز قلب (pacemaker) او را به گونه‌ای تغییر دهند که از آن در برابر هکرها محافظت شود. پاییز سال پیش، شرکت جانسون و جانسون (Johnson & Johnson) فعال در زمینه ارائه تجهیزات پزشکی به مشتریان خود هشدار داد که در یکی از پمپ‌های انسولین ساخت این شرکت، اشکال امنیتی وجود دارد. یکی دیگر از شرکت‌های فعال در ساخت وسایل پزشکی به نام شرکت سنت جود (St. Jude) زمان زیادی را برای برطرف‌کردن آسیب‌پذیری‌های دستگاه‌های ضربان‌ساز قلب و الکتروشوک و دیگر تجهیزات الکترونیکی خود صرف کرد. اگر تصور می‌کنید که شرکت‌های سازنده دستگاه‌های پزشکی در تلاش هستند که امنیت وسایل الکترونیکی خود را اصلاح کنند در اشتباه هستید. کارشناسان اعتقاد دارند که این شرکت‌ها هنوز از مشکلات امنیتی عبرت نگرفته‌اند.

همان‌طور که هکرها به طور فزاینده از سهل‌انگاری و اشکال‌های امنیتی دستگاه‌های پزشکی سود می‌برند، توجه ویژه به امنیت تجهیزات پزشکی اهمیت دارد. از یک سو بیماران باید در برابر چنین حمله‌های امنیتی محافظت شوند. برای نمونه پمپ انسولین نباید اجازه دهد که هکر دوز کشنده‌ای از انسولین را به بدن بیمار پمپ کند. از سوی دیگر در شبکه بیمارستانی دستگاه‌های پزشکی به تعداد زیادی حسگر و مانیتور متصل هستند و به هکرها اجازه می‌دهند به سابقه پزشکی بیماران دسترسی داشته باشند و یا سامانه‌های حیاتی موجود در بیمارستان را در اختیار بگیرند و از مدیران بیمارستان تقاضای پول کنند.

اد کابررا (Ed Cabrera) مدیر ارشد امنیت سایبری در شرکت پژوهشی تهدید امنیتی ترند میکرو (Trend Micro) ارائه دهنده محصولات نرم‌افزاری امنیتی و ضد ویروس می‌گوید: «روش‌های اخاذی تغییر کرده است و شما ممکن است در شرایط مرگ و زندگی قرار بگیرید.»

اینترنت اشیا در مراقبت‌های پزشکی

خبرهای هک شدن دستگاه‌های پزشکی در ذهن مردم باقی خواهد ماند. تصور کنید دستگاهی که در بدن یا روی پوست شما قرار دارد توسط هکرها از راه دور قابل کنترل باشد. متاسفانه طیف گسترده‌ای از این دستگاه‌ها دربرابر حمله سایبری آسیب‌پذیر هستند. برای نمونه پژوهشگران بلژیکی و بریتانیایی در بررسی نسل جدید الکتروشوک‌های قابل کاشت قلب، نقص امنیتی یافتند. این اشکال امنیتی در پروتکل‌های ارتباطی ده نوع دستگاه الکتروشوک موجود در بازار وجود داشت.

دستگاه‌های پزشکی با ویژگی‌هایی مانند ارتباط بی‌سیم و سنجش از راه دور و فناوری ارتباط حوزه نزدیک (NFC) به پزشکان اجازه می‌دهد دستگاه‌های کاشتنی بدن را بدون نیاز به روش‌های تهاجمی تنظیم کنند. این ویژگی بسیاری مفیدی است اما پتانسیل حمله سایبری را نیز بالا می‌برد. کدهای اختصاصی امنیتی موجود در این دستگاه‌ها با مهندسی معکوس قابل دسترسی هستند.

با توجه به این‌که دستگاه‌های پزشکی متصل در حال افزایش هستند احتمال این‌که اطلاعات آن‌ها هک شود زیاد است. در حالی‌که امروزه به تجهیزات کاشتنی در بدن توجه ویژه‌ای می‌شود ولی دنیای گسترده گجت‌های پزشکی صنعت مراقبت‌های پزشکی را در معرض خطر حمله قرار می‌دهد. طبق پژوهش اخیر شرکت امنیت اینترنت اشیا Zingbox، در بیمارستان‌های آمریکا بین ۵ تا ۱۰ دستگاه متصل برای هر تخت بیمارستانی وجود دارد. یک بیمارستان بزرگ مانند جکسون مموریال در میامی ۵۰۰۰ تخت بیمارستانی دارد.

می وانگ (May Wang) مدیر ارشد فناوری شرکت Zingbox می‌گوید: « ما فکر می‌کنیم که مراقبت‌های بهداشتی و پزشکی محافظه‌کارانه هستند و به دلیل وجود مقررات به کندی پیش می‌روند اما به خاطر مزیت دستگاه‌های متصل مبتنی بر اینترنت اشیا، بیمارستان‌ها در حال گسترش چنین دستگاه‌هایی هستند. این در حالی است که در سه سال گذشته، بخش بهداشت و درمان بیشتر از بخش مالی هک شده‌ است. هدف بیشتر حمله‌های سایبری دستگاه‌های پزشکی هستند.»

تا حدودی به خاطر این است که این دستگاه‌ها به سادگی هک می‌شوند. طبق بررسی‌های اخیر شرکت ترند میکرو، بیش از ۳۶۰۰۰ دستگاه پزشکی در آمریکا به راحتی در موتور جستجوی دستگاه‌های متصل Shodan قابل شناسایی هستند. با این‌که همه این دستگاه‌ها در معرض خطر حمله نیستند اما احتمال آن‌ها بیشتر است که در معرض حمله سایبری قرار گیرند. این پژوهش نشان می‌دهد که بخش قابل‌توجهی از دستگاه‌های پزشکی متصل هنوز از سیستم‌عامل‌های قدیمی استفاده می‌کنند که چنین شرایطی آن‌ها را آسیب‌پذیرتر می‌کند. برای نمونه ۳ درصد از دستگاه‌ها هنوز از سیستم‌عامل ویندوز اکس‌پی (Windows XP) استفاده می‌کنند که دیگر مایکرسافت برنامه‌های امنیتی آن را به روز نمی‌کند. اد کابررا مدیر ترند میکرو توضیح می‌دهد: «چالش اصلی شناسایی زیرساخت‌های آسیب‌پذیر و توسعه یک برنامه برای تضمین امنیت آن‌ها است.»

حمله سایبری MedJack

برخلاف رایانه‌های رومیزی و سرورها که نرم‌افزارهای ضدویروس و دیگر نرم‌افزارهای امنیتی را اجرا می‌کنند، تنوع بالای دستگاه‌های اینترنت اشیا و عدم توجه به حوزه امنیت دستگاه‌های IoT در مراحل ابتدایی پیدایش آن‌ها، در معرض مشکلات امنیتی بیشتری خواهند بود. در یکی از انواع حمله‌های امنیتی به نام MedJack، حمله‌کننده‌ها نوعی بدافزار به دستگاه‌های پزشکی ارسال می‌کنند تا در سراسر شبکه دستگاه‌ها گسترش یابند. داده‌های پزشکی در چنین حمله‌های امنیتی در اختیار حمله‌کننده‌ها قرار می‌گیرند و برای هدف تقلب مالیاتی یا سرقت هویت مورد استفاده قرار می‌گیرند. حتی با دسترسی به نسخه‌های دارویی آنلاین هکرها می‌توانند دارو خریداری کنند و در وب تاریک (Dark Web) به فروش می‌رسند. وب تاریک به شبکه‌ای گفته می‌شود که در دسترس عموم قرار نمی‌گیرد و بیشتر برای مقاصد غیرقانونی مورد استفاده قرار می‌گیرد و همه فعالیت‌های آن غیرقابل ردیابی و شناسایی است. در این شبکه اطلاعات جامعی نهفته شده که افراد ناشناس آن‌ها را مدیریت می‌کنند، هکرها و افراد سودجو غالباً این دسته از افراد را تشکیل می‌دهند.

این حمله‌های امنیتی به تدریج در حال توسعه هستند. طبق گفته شرکت امنیتی شبکه TrapX، حمله امنیتی MedJack در چند ماه اخیر، روش‌های جدید و پیچیده‌تر را به کار گرفته است. این شرکت از فناوری تقلید (emulation technology) استفاده کرد تا دستگاه‌های جعل هویت مانند دستگاه سی‌تی اسکن را در شبکه تجهیزات پزشکی بیمارستان به کارگیرد‌. هنگامی که هکرها این دستگاه‌ها را شناسایی کردند تا از آن‌ها در راستای حمله امنیتی بهره گیرند، TrapX متوجه شد که حمله MedJack عمدا از بدافزارهای قدیمی برای هک کردن تجهیزات پزشکی با سیستم‌عامل‌های قدیمی مثل ویندوز اکس‌پی و ویندوز سرور ۲۰۰۳ استفاده می‌کند. با هک کردن دستگاه‌های قدیمی، هکرها از شناسایی شدن در امان می‌مانند. TrapX این موضوع را فهمید که هکرها به دستگاه‌های جدید با سیستم‌عامل‌های به روز حمله نمی‌کنند. دستگاه‌های به روز در برابر نرم‌افزارهای مخرب قدیمی مقاوم هستند و به عنوان یک تهدید نه چندان قوی طبقه‌بندی می‌شوند.

آنتونی جیمز (Anthony James) معاون ارشد بازاریابی شرکت TrapX می‌گوید: «هر زمانی‌که ما برای معرفی محصولات خود به مراکز مراقبت‌های بهداشتی و پزشکی می‌رویم متوجه می‌شویم که آن‌ها در معرض حمله MedJack قرار گرفته‌اند. درحالی‌که هیچکدام از آن‌ها از این حمله در شبکه خود، آگاه نیستند چون هیچ نظارتی بر دستگاه‌ها برای شناسایی حمله‌های امنیتی وجود ندارد. هیچ‌کس فکر نمی‌کند که یک دستگاه سی‌تی‌اسکن (CT scanner) و یا ام‌آر‌آی (MRI) فرصت مناسبی برای حمله امنیتی به وجود می‌آورد.»

هکرها با یک بار هک می‌توانند با دیگر انواع حمله‌ها از شبکه سواستفاده کنند. یکی از حمله‌های امنیتی که در حال افزایش است حمله باج‌افزارها‌ (ransomware) هستند. باج‌افزار‌ گونه‌ای از بدافزار است که دسترسی به سامانه را محدود می‌کند و ایجادکننده آن برای برداشتن محدودیت از کاربر می‌خواهد مبالغی را واریز کند. بسیاری از این نوع حمله‌ها با روش‌های سنتی پرونده‌های دیجیتال را رمزنگاری می‌کنند مانند حمله اخیر به کلینیک کودکان Rainbow در تگزاس. در حمله باج‌افزار به مرکز پزشکی پروتستان هالیوود رایانه‌ها برای مدت یک هفته آفلاین شدند و در یک بیمارستان آلمانی، چنین باج‌افزاری باعث شد ایمیل‌ها از کار بیفتند و کارکنان مجبور شدند از کاغذ و دستگاه‌های فکس استفاده کنند. بیمارستان‌ها نه تنها سرمایه خود را برای چنین حمله‌ای از دست می‌دهند بلکه منابع حیاتی و مهم مربوط به درمان بیماران را برای مدتی در اختیار ندارند.

وسایل پزشکی مانند ساعت و وسایل سنجش سلامت که برای سال‌ها در بازار موجود هستند نیاز به رویکردهای امنیتی مانند نظارت بر امنیت و روش‌های آسان دانلود به روزرسانی‌ها دارند. از سوی دیگر، نسل‌های آینده دستگاه‌های پزشکی باید امکانات امنیتی قوی‌تر و پایدارتر داشته باشند. بسیاری از تولیدکنندگان مسئله امنیت را در مراحل ابتدایی کار نادیده می‌گیرند و از برنامه‌های شخص سوم (third-party component) استفاده می‌کنند که خود باعث آسیب‌پذیری بیشتر می‌شود. برنامه‌های شخص سوم، برنامه‌هایی هستند که برای کار درون سیستم‌عامل‌ها نوشته شده اما به وسیله افراد یا شرکت‌ها به غیر از تولیدکننده سیستم‌عامل نوشته می‌شوند.

خوشبختانه سازمان غذا و داروی آمریکا (FDA) به این مسئله مهم پرداخته است و در سال ۲۰۱۳ ارزیابی امنیت سایبری دستگاه پزشکی و به روزرسانی آن را به عنوان یک معیار برای تایید محصول اعلام کرده است. در سال ۲۰۱۴ موسسه ملی فناوری و استانداردهای آمریکا (NIST) چارچوبی برای بهبود امنیت سایبری زیرساختارهای اساسی وضع کرد. NIST اکنون بر نسخه‌های جدید این چارچوب کار می‌کند و یک سند جداگانه را برای جزییات رویکرد اساسی توسعه سامانه‌های دیجیتالی امن و قابل‌اعتماد منتشر کرده است. این سند هنوز به مرحله اجرا نرسیده است ولی آغاز خوبی به شمار می‌آید.

یکی از نویسندگان چارچوب NIST اعتقاد دارد «اگر چارچوب بهبود امنیت سایبری پذیرفته شود تاثیر به سزایی بر امینت هر سامانه‌ از گوشی‌های هوشمند و تجهیزات پزشکی گرفته تا سامانه‌های کنترل صنعتی و حتی نیروگاه‌ها خواهد داشت. بر اساس این سند امنیت وسایل پزشکی افزایش می‌یابد چون تهدیدهای امنیتی و آسیب‌پذیری‌ها محدود خواهد شد.»

جیمز اسکات (James Scott)، عضو ارشد موسسه غیرانتفاعی فناوری زیرساخت‌های اساسی می‌گوید: «آنچه که سازمان FDA برای جامعه فناوری‌های دستگاه‌های پزشکی ارائه داد باعث یادآوری اهمیت مسائل امنیتی دستگاه‌ها شد و نتیجه کار وابسته به فعالیت‌های صنعت در این راستا است.»

اگرچه سازمان FDA مجوز رسیدگی و تعقیب قانونی دارد. سوزان شوارتز (Suzanne Schwartz) مدیر مشارکت‌های علمی و استراتژیک مرکز سلامتی دستگاه‌های پزشکی (CDRH) سازمان FDA توضیح می‌دهد: «اگر دستگاه‌های پزشکی مطابق با استانداردهای وضع شده نباشند، سازمان FDA اجازه ورود دستگاه‌ها به بازار را نمی‌دهد. از سوی دیگر درنظر گرفتن امنیت در دستگاه‌های پزشکی دیگر اختیاری نخواهد بود بلکه تولیدکننده می‌تواند روش‌های متفاوتی برای آن انتخاب کند.» او می‌افزاید که FDA در حمایت‌های امینت سایبری برای محصولات جدید تحت بررسی پیشرفت کرده است. چون توسعه یک دستگاه طی سال‌ها ممکن است به طول انجامد و سازمان تنها چند سال اخیر به بخش امنیتی دستگاه‌ها تمرکز کرده است پس مطمئنا زمان زیادی طول می‌کشد تا نتیجه دلخواه از این چارچوب و سند راهنما به دست آید. دستگاه‌های پزشکی امن و قابل اعتماد و به کارگیری آن‌ها در بخش مراقبت های بهداشتی و پزشکی فرآیندی تدریجی است.


در همین زمینه بخوانیم:

>>آیا با رابط مغز و رایانه امکان سو استفاده از اطلاعات سیگنال‌های مغزی وجود دارد؟
>>کودک یازده ساله با هک کردن دستگاه های کارشناسان امنیت سایبری آنها را شگفت زده کرد!


منبع: Wired

«استفاده و بازنشر مطالب تنها با ذکر لینک منبع و نام (مجله فناوری‌های توان‌افزا و پوشیدنی) مجاز است»

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *