وسایل پزشکی هک شده که در برخی از خبرها به آن پرداخته میشود، موضوعی جالب و در عین حال ترسناک است. با توجه به اینکه دستگاههای پزشکی متصل در حال افزایش هستند احتمال اینکه اطلاعات آنها هک شود زیاد است. توجه ویژه به امنیت تجهیزات پزشکی اهمیت دارد. از یک سو بیماران باید در برابر چنین حملههای امنیتی محافظت شوند. از سوی دیگر در یک شبکه بیمارستانی دستگاههای پزشکی به تعداد زیادی حسگر و دستگاههای نظارت متصل هستند و به هکرها اجازه میدهند به سابقه پزشکی بیماران دسترسی داشته باشند و یا سامانههای حیاتی موجود در بیمارستان را در اختیار بگیرند و از مدیران بیمارستان تقاضای پول کنند. با مجله فناوریهای توانافزا و پوشیدنی همراه باشید.
دیک چینی (Dick Cheney) سیاستمدار آمریکایی درخواست کرد که دستگاه ضربانساز قلب (pacemaker) او را به گونهای تغییر دهند که از آن در برابر هکرها محافظت شود. پاییز سال پیش، شرکت جانسون و جانسون (Johnson & Johnson) فعال در زمینه ارائه تجهیزات پزشکی به مشتریان خود هشدار داد که در یکی از پمپهای انسولین ساخت این شرکت، اشکال امنیتی وجود دارد. یکی دیگر از شرکتهای فعال در ساخت وسایل پزشکی به نام شرکت سنت جود (St. Jude) زمان زیادی را برای برطرفکردن آسیبپذیریهای دستگاههای ضربانساز قلب و الکتروشوک و دیگر تجهیزات الکترونیکی خود صرف کرد. اگر تصور میکنید که شرکتهای سازنده دستگاههای پزشکی در تلاش هستند که امنیت وسایل الکترونیکی خود را اصلاح کنند در اشتباه هستید. کارشناسان اعتقاد دارند که این شرکتها هنوز از مشکلات امنیتی عبرت نگرفتهاند.
همانطور که هکرها به طور فزاینده از سهلانگاری و اشکالهای امنیتی دستگاههای پزشکی سود میبرند، توجه ویژه به امنیت تجهیزات پزشکی اهمیت دارد. از یک سو بیماران باید در برابر چنین حملههای امنیتی محافظت شوند. برای نمونه پمپ انسولین نباید اجازه دهد که هکر دوز کشندهای از انسولین را به بدن بیمار پمپ کند. از سوی دیگر در شبکه بیمارستانی دستگاههای پزشکی به تعداد زیادی حسگر و مانیتور متصل هستند و به هکرها اجازه میدهند به سابقه پزشکی بیماران دسترسی داشته باشند و یا سامانههای حیاتی موجود در بیمارستان را در اختیار بگیرند و از مدیران بیمارستان تقاضای پول کنند.
اد کابررا (Ed Cabrera) مدیر ارشد امنیت سایبری در شرکت پژوهشی تهدید امنیتی ترند میکرو (Trend Micro) ارائه دهنده محصولات نرمافزاری امنیتی و ضد ویروس میگوید: «روشهای اخاذی تغییر کرده است و شما ممکن است در شرایط مرگ و زندگی قرار بگیرید.»
اینترنت اشیا در مراقبتهای پزشکی
خبرهای هک شدن دستگاههای پزشکی در ذهن مردم باقی خواهد ماند. تصور کنید دستگاهی که در بدن یا روی پوست شما قرار دارد توسط هکرها از راه دور قابل کنترل باشد. متاسفانه طیف گستردهای از این دستگاهها دربرابر حمله سایبری آسیبپذیر هستند. برای نمونه پژوهشگران بلژیکی و بریتانیایی در بررسی نسل جدید الکتروشوکهای قابل کاشت قلب، نقص امنیتی یافتند. این اشکال امنیتی در پروتکلهای ارتباطی ده نوع دستگاه الکتروشوک موجود در بازار وجود داشت.
دستگاههای پزشکی با ویژگیهایی مانند ارتباط بیسیم و سنجش از راه دور و فناوری ارتباط حوزه نزدیک (NFC) به پزشکان اجازه میدهد دستگاههای کاشتنی بدن را بدون نیاز به روشهای تهاجمی تنظیم کنند. این ویژگی بسیاری مفیدی است اما پتانسیل حمله سایبری را نیز بالا میبرد. کدهای اختصاصی امنیتی موجود در این دستگاهها با مهندسی معکوس قابل دسترسی هستند.
با توجه به اینکه دستگاههای پزشکی متصل در حال افزایش هستند احتمال اینکه اطلاعات آنها هک شود زیاد است. در حالیکه امروزه به تجهیزات کاشتنی در بدن توجه ویژهای میشود ولی دنیای گسترده گجتهای پزشکی صنعت مراقبتهای پزشکی را در معرض خطر حمله قرار میدهد. طبق پژوهش اخیر شرکت امنیت اینترنت اشیا Zingbox، در بیمارستانهای آمریکا بین ۵ تا ۱۰ دستگاه متصل برای هر تخت بیمارستانی وجود دارد. یک بیمارستان بزرگ مانند جکسون مموریال در میامی ۵۰۰۰ تخت بیمارستانی دارد.
می وانگ (May Wang) مدیر ارشد فناوری شرکت Zingbox میگوید: « ما فکر میکنیم که مراقبتهای بهداشتی و پزشکی محافظهکارانه هستند و به دلیل وجود مقررات به کندی پیش میروند اما به خاطر مزیت دستگاههای متصل مبتنی بر اینترنت اشیا، بیمارستانها در حال گسترش چنین دستگاههایی هستند. این در حالی است که در سه سال گذشته، بخش بهداشت و درمان بیشتر از بخش مالی هک شده است. هدف بیشتر حملههای سایبری دستگاههای پزشکی هستند.»
تا حدودی به خاطر این است که این دستگاهها به سادگی هک میشوند. طبق بررسیهای اخیر شرکت ترند میکرو، بیش از ۳۶۰۰۰ دستگاه پزشکی در آمریکا به راحتی در موتور جستجوی دستگاههای متصل Shodan قابل شناسایی هستند. با اینکه همه این دستگاهها در معرض خطر حمله نیستند اما احتمال آنها بیشتر است که در معرض حمله سایبری قرار گیرند. این پژوهش نشان میدهد که بخش قابلتوجهی از دستگاههای پزشکی متصل هنوز از سیستمعاملهای قدیمی استفاده میکنند که چنین شرایطی آنها را آسیبپذیرتر میکند. برای نمونه ۳ درصد از دستگاهها هنوز از سیستمعامل ویندوز اکسپی (Windows XP) استفاده میکنند که دیگر مایکرسافت برنامههای امنیتی آن را به روز نمیکند. اد کابررا مدیر ترند میکرو توضیح میدهد: «چالش اصلی شناسایی زیرساختهای آسیبپذیر و توسعه یک برنامه برای تضمین امنیت آنها است.»
حمله سایبری MedJack
برخلاف رایانههای رومیزی و سرورها که نرمافزارهای ضدویروس و دیگر نرمافزارهای امنیتی را اجرا میکنند، تنوع بالای دستگاههای اینترنت اشیا و عدم توجه به حوزه امنیت دستگاههای IoT در مراحل ابتدایی پیدایش آنها، در معرض مشکلات امنیتی بیشتری خواهند بود. در یکی از انواع حملههای امنیتی به نام MedJack، حملهکنندهها نوعی بدافزار به دستگاههای پزشکی ارسال میکنند تا در سراسر شبکه دستگاهها گسترش یابند. دادههای پزشکی در چنین حملههای امنیتی در اختیار حملهکنندهها قرار میگیرند و برای هدف تقلب مالیاتی یا سرقت هویت مورد استفاده قرار میگیرند. حتی با دسترسی به نسخههای دارویی آنلاین هکرها میتوانند دارو خریداری کنند و در وب تاریک (Dark Web) به فروش میرسند. وب تاریک به شبکهای گفته میشود که در دسترس عموم قرار نمیگیرد و بیشتر برای مقاصد غیرقانونی مورد استفاده قرار میگیرد و همه فعالیتهای آن غیرقابل ردیابی و شناسایی است. در این شبکه اطلاعات جامعی نهفته شده که افراد ناشناس آنها را مدیریت میکنند، هکرها و افراد سودجو غالباً این دسته از افراد را تشکیل میدهند.
این حملههای امنیتی به تدریج در حال توسعه هستند. طبق گفته شرکت امنیتی شبکه TrapX، حمله امنیتی MedJack در چند ماه اخیر، روشهای جدید و پیچیدهتر را به کار گرفته است. این شرکت از فناوری تقلید (emulation technology) استفاده کرد تا دستگاههای جعل هویت مانند دستگاه سیتی اسکن را در شبکه تجهیزات پزشکی بیمارستان به کارگیرد. هنگامی که هکرها این دستگاهها را شناسایی کردند تا از آنها در راستای حمله امنیتی بهره گیرند، TrapX متوجه شد که حمله MedJack عمدا از بدافزارهای قدیمی برای هک کردن تجهیزات پزشکی با سیستمعاملهای قدیمی مثل ویندوز اکسپی و ویندوز سرور ۲۰۰۳ استفاده میکند. با هک کردن دستگاههای قدیمی، هکرها از شناسایی شدن در امان میمانند. TrapX این موضوع را فهمید که هکرها به دستگاههای جدید با سیستمعاملهای به روز حمله نمیکنند. دستگاههای به روز در برابر نرمافزارهای مخرب قدیمی مقاوم هستند و به عنوان یک تهدید نه چندان قوی طبقهبندی میشوند.
آنتونی جیمز (Anthony James) معاون ارشد بازاریابی شرکت TrapX میگوید: «هر زمانیکه ما برای معرفی محصولات خود به مراکز مراقبتهای بهداشتی و پزشکی میرویم متوجه میشویم که آنها در معرض حمله MedJack قرار گرفتهاند. درحالیکه هیچکدام از آنها از این حمله در شبکه خود، آگاه نیستند چون هیچ نظارتی بر دستگاهها برای شناسایی حملههای امنیتی وجود ندارد. هیچکس فکر نمیکند که یک دستگاه سیتیاسکن (CT scanner) و یا امآرآی (MRI) فرصت مناسبی برای حمله امنیتی به وجود میآورد.»
هکرها با یک بار هک میتوانند با دیگر انواع حملهها از شبکه سواستفاده کنند. یکی از حملههای امنیتی که در حال افزایش است حمله باجافزارها (ransomware) هستند. باجافزار گونهای از بدافزار است که دسترسی به سامانه را محدود میکند و ایجادکننده آن برای برداشتن محدودیت از کاربر میخواهد مبالغی را واریز کند. بسیاری از این نوع حملهها با روشهای سنتی پروندههای دیجیتال را رمزنگاری میکنند مانند حمله اخیر به کلینیک کودکان Rainbow در تگزاس. در حمله باجافزار به مرکز پزشکی پروتستان هالیوود رایانهها برای مدت یک هفته آفلاین شدند و در یک بیمارستان آلمانی، چنین باجافزاری باعث شد ایمیلها از کار بیفتند و کارکنان مجبور شدند از کاغذ و دستگاههای فکس استفاده کنند. بیمارستانها نه تنها سرمایه خود را برای چنین حملهای از دست میدهند بلکه منابع حیاتی و مهم مربوط به درمان بیماران را برای مدتی در اختیار ندارند.
وسایل پزشکی مانند ساعت و وسایل سنجش سلامت که برای سالها در بازار موجود هستند نیاز به رویکردهای امنیتی مانند نظارت بر امنیت و روشهای آسان دانلود به روزرسانیها دارند. از سوی دیگر، نسلهای آینده دستگاههای پزشکی باید امکانات امنیتی قویتر و پایدارتر داشته باشند. بسیاری از تولیدکنندگان مسئله امنیت را در مراحل ابتدایی کار نادیده میگیرند و از برنامههای شخص سوم (third-party component) استفاده میکنند که خود باعث آسیبپذیری بیشتر میشود. برنامههای شخص سوم، برنامههایی هستند که برای کار درون سیستمعاملها نوشته شده اما به وسیله افراد یا شرکتها به غیر از تولیدکننده سیستمعامل نوشته میشوند.
خوشبختانه سازمان غذا و داروی آمریکا (FDA) به این مسئله مهم پرداخته است و در سال ۲۰۱۳ ارزیابی امنیت سایبری دستگاه پزشکی و به روزرسانی آن را به عنوان یک معیار برای تایید محصول اعلام کرده است. در سال ۲۰۱۴ موسسه ملی فناوری و استانداردهای آمریکا (NIST) چارچوبی برای بهبود امنیت سایبری زیرساختارهای اساسی وضع کرد. NIST اکنون بر نسخههای جدید این چارچوب کار میکند و یک سند جداگانه را برای جزییات رویکرد اساسی توسعه سامانههای دیجیتالی امن و قابلاعتماد منتشر کرده است. این سند هنوز به مرحله اجرا نرسیده است ولی آغاز خوبی به شمار میآید.
یکی از نویسندگان چارچوب NIST اعتقاد دارد «اگر چارچوب بهبود امنیت سایبری پذیرفته شود تاثیر به سزایی بر امینت هر سامانه از گوشیهای هوشمند و تجهیزات پزشکی گرفته تا سامانههای کنترل صنعتی و حتی نیروگاهها خواهد داشت. بر اساس این سند امنیت وسایل پزشکی افزایش مییابد چون تهدیدهای امنیتی و آسیبپذیریها محدود خواهد شد.»
جیمز اسکات (James Scott)، عضو ارشد موسسه غیرانتفاعی فناوری زیرساختهای اساسی میگوید: «آنچه که سازمان FDA برای جامعه فناوریهای دستگاههای پزشکی ارائه داد باعث یادآوری اهمیت مسائل امنیتی دستگاهها شد و نتیجه کار وابسته به فعالیتهای صنعت در این راستا است.»
اگرچه سازمان FDA مجوز رسیدگی و تعقیب قانونی دارد. سوزان شوارتز (Suzanne Schwartz) مدیر مشارکتهای علمی و استراتژیک مرکز سلامتی دستگاههای پزشکی (CDRH) سازمان FDA توضیح میدهد: «اگر دستگاههای پزشکی مطابق با استانداردهای وضع شده نباشند، سازمان FDA اجازه ورود دستگاهها به بازار را نمیدهد. از سوی دیگر درنظر گرفتن امنیت در دستگاههای پزشکی دیگر اختیاری نخواهد بود بلکه تولیدکننده میتواند روشهای متفاوتی برای آن انتخاب کند.» او میافزاید که FDA در حمایتهای امینت سایبری برای محصولات جدید تحت بررسی پیشرفت کرده است. چون توسعه یک دستگاه طی سالها ممکن است به طول انجامد و سازمان تنها چند سال اخیر به بخش امنیتی دستگاهها تمرکز کرده است پس مطمئنا زمان زیادی طول میکشد تا نتیجه دلخواه از این چارچوب و سند راهنما به دست آید. دستگاههای پزشکی امن و قابل اعتماد و به کارگیری آنها در بخش مراقبت های بهداشتی و پزشکی فرآیندی تدریجی است.
در همین زمینه بخوانیم:
>>آیا با رابط مغز و رایانه امکان سو استفاده از اطلاعات سیگنالهای مغزی وجود دارد؟
>>کودک یازده ساله با هک کردن دستگاه های کارشناسان امنیت سایبری آنها را شگفت زده کرد!
منبع: Wired
«استفاده و بازنشر مطالب تنها با ذکر لینک منبع و نام (مجله فناوریهای توانافزا و پوشیدنی) مجاز است»
