نگاه ویژه؛ امنیت سایبری تجهیزات پزشکی
همزمان با رونق بازار اینترنت اشیاء ، امنیت سایبری نیز به یکی از موضوعات داغ تبدیل شده است. حتی در حالیکه ماههای گذشته موضوع در مورد تجهیزات حوزه سلامت مغفول مانده بود اتفاقاتی که اخیرا رخ داده است توجه عمومی را به آسیب پذیری سیستمهای مرتبط در حوزه پزشکی جلب کرده است.
امروزه ایمپلنتها و تعداد بسیار زیادی از وسایل پزشکی نظیر پیس میکرها و پمپ های انسولین بصورت متصل در شبکه دیده میشوند و قادر هستند تا اطلاعات وضعیت حاضر بیمار را انتقال داده و همچنین دستوراتی را برای انجام یک فعالیت دریافت کنند. پیشرفتهای شگرف در زمینه سلامت بیماران، پایشهای پزشکی بویژه برای شرایط مزمن ناشی از پیشرفتهای فناوری بوده ولیکن این نوع از پیشرفتهای ناشی از فناوری مخاطراتی را نیز به دنبال داشته است. بدنبال بروز مشکل امنیتی در یکی از مدلهای پمپ های انسولین تولیدی توسط شرکت جانسون اند جانسون این شرکت با 114000 بیمار در ایالات متحده و کانادا ارتباط برقرار کرد تا نسبت به خطر موجود اطلاع رسانی کند. آسیب پذیریها در سیستم کنترل دیده شده بود بگونه ای که در صورت هک شدن وسیله امکان استفاده از پمپ برای تزریق دور مهلکی از انسولین به بیمار مهیا می گردید.
جی رادکلیف مشاور ارشد امنیتی و محقق در زمینه رایانه و امنیت شبکه کمپانی Rapid7 که خود بیمار دیابتی است نشان داده که در صورت عدم کدگذاری لینک های داده ها از نظر فنی امکان دستیابی مخفیانه به اطلاعات و توقف تبادل اطلاعات و تغییر آنها وجود دارد. عدم وجود سیستم کدگذاری نشان دهنده این است که طراحان ایمپلنتها (کاشتنی ها) امنیت سایبری محصولاتشان را نادیده گرفته اند.
تولیدکنندگان هنوز در زمینه امنیت سایبری به بلوغ نرسیده اند .
در واقع بدلیل توان پردازشی متوسط این نوع از وسیله ها اغلب امکان بکارگیری سیستمهای محافظتی پیشرفته بر روی آنها وجود ندارد. Thomas Gayet سرپرست CERT-UBIK (تیم رایانه ای پاسخگویی اورژانسی در زمینه امنیت دیجیتالی پاریس) اشاره می کند که سطح بلوغ تولیدکنندگان این تجهیزات پزشکی (و سازندگان اشیاء متصل به شبکه در کل) زمانیکه موضوع با امنیت سایبری مرتبط می شود به طور مشهودی در نوسان است.
شگفت آور اینکه سطح امنیت اشیاء متصل عموما با نیازهای واقعی همخوانی ندارد. بعضی از اشیاء متصل که ممکن است بعنوان صرفا یک گجت باشند امنیت بالایی دارند در حالیکه وسایل پزشکی متصل در حالت کلی از امنیت بالا برخوردار نیستند.
هر چند امنیت رایانه برای یک دستبند متصل مورد استفاده توسط افراد در ورزشهای آخر هفته از دید استفاده کنندگان خیلی مهم هست ولی این دید در مورد دفیبرپلاتورها و یا یک پمپ انسولین و یا یک پیس میکر وجود ندارد. طرفداران سریال تلویزیونی Homeland صحنه ای را به خاطر خواهند آورد که معاون رئیس جمهور ویلیام والدن توسط هکری که از راه دور کنترل پیس میکرش را بدست آورده بود ترور شد.
یک پیس میکر رایانه بسیار کوچکی هست که توسط حدودا 80000 خط کد کنترل می شود از این رو وجود حفره های امنیتی امکان سوء استفاده از سوی هکرها را فراهم می کند. ما شروع به ایجاد ارتباط با استارت آپهایی کردیم که بدنبال وارد کردن ایمنی در محصولاتشان بودند و راهکار ایمنی بواسطه طراحی را در پیش گرفتیم. به این درک رسیدند که در فرایند پیشرفت ایمنی کلید ایجاد تمایز در بازار اینترنت اشیاءخواهد بود.
تجهیزات بیمارستانی نیز در معرض تهدید هستند.
درست همانگونه که کاشتنیهای پزشکی دارای حفره های امنیتی هستند در مورد تجهیزات بیمارستانی نیز این امر صادق است . در سال 2015 سازمان غذا و داروی ایالات متحده جمع آوری پمپ های تزریق Symbiq ساخته شده توسط شرکت Hospira آمریکا را ابلاغ کرد. این پمپ ها قادر به تزریق دقیق دوزهای دارویی به بیماران بودند ولیکن مشخص گردید که دوزهایی که بایستی به بیماران تزریق گردد را می توان از راه دور و بوسیله پزشکی کابلی و یا وای فای بیمارستان تغییر داد و این موضوع خطرات بالقوه مشهودی را برای بیماران ایجاد می کرد.
امروزه بخش اعظم تجهیزات پزشکی سرمایه ای بیمارستانی نظیر اسکنرهای MRI, CT به شبکه متصل هستند و بنابراین بصورت بالقوه از آسیب پذیری در مقابل حمله هکرها رنج می برند.
نقص امنیتی می تواند بخشهای قابل توجهی از تجهیزاتی نظیر MRI,CT-SCAN را تحت تاثیر قرار دهد. در سال 2015 گروه پاسخگویی اورژانسی سایبری سیستمهای کنترل صنعتی ICSCERT که زیر نظر دپارتمان امنیت میهنی ایالات متحده کار می کند و تولیدکنندگان موظف به گزارش هر گونه تخلف در امنیتی کشف شده در سیستمهایشان به آنها می باشند، 14 حادثه امنیتی در بخش سلامت را طی یک سال گزارش کرد. در میان اخطارهای اعلام شده از سوی این مرجع نظارتی یک مورد مرتبط با سیستم مدیریت اطلاعاتXper Philips بوده است نرم افزاری که توسط Philips Healthcare برای مدیریت اطلاعات تولید شده است. توصیه های ارائه شده حاوی 460 نقطه آسیب پذیری در سیستمهایی بود که از ویندوز XP بهره میبرند.
علاوه بر کاشتنی های قلبی و پمپ های انسولین تجهیزات پزشکی نظیر اسکنرها شامل اسکنرهای تشدید مغناطیسی نیز مشکلات امنیتی دارند Tristan Savalle مشاور ارشد امنیت اطلاعات در امنیت موسسه امنیت اطلاعات فرانسه aDvens با اعلام این موضوع اضافه می کند که در حال حاضر بصورت جدی برای ایجاد امنیت در این نوع از تجهیزات مشغول به فعالیت هستیم زیرا همه بیمارستانها از آنها استفاده می کنند و اغلب بدون امنیت لازم هستند.
واقعیت تلخ اینکه بیمارستان ها اقدامات احتیاطی مورد نیاز برای محافظت تجهیزات پزشکی از حملات بدخواهانه را جدی نمی گیرند. علاوه بر آن کارکنان مربوطه به قدر کافی برای مداخله مستقیم در مواقع بروز مشکل و قبل از آن توانمند نشده اند بعنوان مثال نصب یک نرم افزار ساده آنتی ویروس بر روی دستگاه چنین دستگاههای بصورت بالقوه هدفی برای هکرهای رایانه ای می باشد که ممکن است منجر به توقف فعالیت چنین دستگاههای گرانقیمت شده و بدنبال آن بیمارستان با نامه ها الکترونیک سیاه برای اخاذی مواجه شود.
سیستمها باید از ابتدا ایمن باشند.
در حالیکه امنیت تجهیزات هنوز به طور مشهودی ناکافی و مغفول مانده است اکنون اشیاء در حال تغییر هستند. از یک طرف زمانیکه متخصصان موارد نقض امنیتی را آشکار می کنند و انتشار آنها در رسانه ها موجب می شود که مشکلاتی در کسب و کار تولیدکنندگان مرتبط بوجود بیاید. شرکت St.Jude Medical بدنبال ادای آسیب پذیری سایبری ضرت کشنده ای را بر پیکر کسب و کارشنان فرود می آورد. متخصصان امنیت اعلام می کنند که گام اولی که طراحان تجهیزات بایستی طی کنند دربرگیرنده پارامترهای امنیت سایبری باشد نه اینکه در مراحل پایانی به فکر انجام آن باشند.
اگر می خواهید مطمئن شوید که یک وسیله پزشکی ایمن هست یا نه نیاز هست بدانید که آلمان امنیت سایبری در گامهای ابتدایی طراحی آن بکار گرفته شده است یا نه؟ شما بایستی تهدیدهایی را که متوجه تجهیزات مشخصی هستند تحلیل کنید و تصمیم بگیرید تا با شفافیت مسئولیت آنچه می سازید را قبول کنید. شما بایستی با این واقعیت کنار بیایید که در حال حاضر طراحان دستگاه های MRI, CT- SCAN تمام تلاش خود را برای بهبود محصول بکار می گیرند ولی در زمینه امنیت سایبری طراحی هایشان، این امر مغفول مانده است.
وجود پورت یو اس بی بر روی پانل کنترل یک تجهیز ریسک واقعی بوجود می آورد. جدا از زمینه های تجاری، چارچوب قانونگذاری نیز جهت در نظر گرفتن مخاطرات بیشتر و دور از ذهن نیاز به تکامل دارند.
در حالیکه میزبانی از اطلاعات پزشکی اشخاص در کشورهایی نظیر فرانسه نیازمند اینست تا نسبت به اخذ مجوز رسمی و با همکاری با یک میزبان دارای مجوز است قانونگذاری در حیطه تجهیزات متصل به شبکه به طرز مشهودی مغفول مانده است. قانونگذاری برای این نوع از تجهیزات سختگیرانه بوده است اما زمینه های کمی از امنیت سایبری را در بر گرفته است. Tristan Savalle با ابراز تاسف اشاره می کند. به هر حال با افزایش آگاهی بین مردم فشار به تولیدکنندگان برای مجهیز شدن تجهیزات تولیدی شان در برابر حملات سایبری افزایش یافته است.
در اکتبر 2014 سازمان غذا و داروی ایالات متحده (FDA) یکسری راهنمائیهای کوتاه داخلی را در زمینه امنیت سایبری برای تجهیزات پزشکی تدوین نمود در حالیکه در فرانسه HAS پا را فراتر نهاده و راهنمای هایی شامل 101 قانون عملیاتی با هدف تشویق بیشتر برای طراحی های ایمن اشیاء و تجهیزات متصل به شبکه در حوزه سلامت ارائه داد. Savalle اشاره می کند که به هر حال ما هنوز در مرحله استخراج و تدوین دستورالعمل های عملیاتی هستیم تا نوشتن قوانین مربوطه. گام بعدی بدون شک معرفی روشهای تایید و صدور گواهینامه برای تجهیزات پزشکی خواهد بود که دربرگیرنده جنبه های امنیت سایبری هستند برای مثال استفاده از روشهای آزمون نفوذ ارائه شده توسط هکرهای معروف به good guy نظیر آنهایی که برای آژانس امنیت دیجیتال ملی فرانسه ANSSI انجام شد. این چنین کارهایی قبلا برای تجهیزات امنیت IT انجام شده و در حال حاضر در حال تبدیل شده به استاندارد هایی برای تجهیزات استفاده شده در بخشهای مختلف از صنعت می باشد.