پنج شنبه, 23 شهریور 1396 ساعت 15:24

امنیت سایبری تجهیزات پزشکی زیر نگاه ویژه

ali jahan

همزمان با رونق بازار اینترنت اشیاء، امنیت سایبری نیز به یکی از موضوعات داغ تبدیل شده است. حتی در حالیکه ماههای گذشته موضوع در مورد تجهیزات حوزه سلامت مغفول مانده بود اتفاقاتی که اخیرا رخ داده است توجه عمومی را به آسیب پذیری سیستمهای مرتبط در حوزه پزشکی جلب کرده است.

ترجمه : مهندس رستمعلی جهاندیده
کارشناس ارشد مهندسی پزشکی- رئیس اداره تجهیزات پزشکی دانشگاه علوم پزشکی و خدمات بهداشتی و درمانی آذربایجان غربی



امروزه ایمپلنت ها و تعداد بسیار زیادی از وسایل پزشکی نظیر پیس میکرها و پمپ های انسولین بصورت متصل در شبکه دیده میشوند و قادر هستند تا اطلاعات وضعیت حاضر بیمار را انتقال داده و همچنین دستوراتی را برای انجام یک فعالیت دریافت کنند. پیشرفتهای شگرف در زمینه سلامت بیماران، پایشهای پزشکی بویژه برای شرایط مزمن ناشی از پیشرفتهای فناوری بوده ولیکن این نوع از پیشرفتهای ناشی از فناوری مخاطراتی را نیز به دنبال داشته است. بدنبال بروز مشکل امنیتی در یکی از مدلهای پمپ های انسولین تولیدی توسط شرکت جانسون اند جانسون این شرکت با 114000 بیمار در ایالات متحده و کانادا ارتباط برقرار کرد تا نسبت به خطر موجود اطلاع رسانی کند. آسیب پذیریها در سیستم کنترل دیده شده بود بگونه ای که در صورت هک شدن وسیله امکان استفاده از پمپ برای تزریق دوز مهلکی از انسولین به بیمار مهیا می گردید.

جی رادکلیف مشاور ارشد امنیتی و محقق در زمینه رایانه و امنیت شبکه کمپانی Rapid7 که خود بیمار دیابتی است نشان داده که در صورت عدم کدگذاری لینک های داده ها از نظر فنی امکان دستیابی مخفیانه به اطلاعات و توقف تبادل اطلاعات و تغییر آنها وجود دارد. عدم وجود سیستم کدگذاری نشان دهنده این است که طراحان ایمپلنتها (کاشتنی ها) امنیت سایبری محصولاتشان را نادیده گرفته اند.


تولیدکنندگان هنوز در زمینه امنیت سایبری به بلوغ نرسیده اند

در واقع بدلیل توان پردازشی متوسط این نوع از وسیله ها اغلب امکان بکار گیری سیستمهای محافظتی پیشرفته بر روی آنها وجود ندارد. Thomas Gayet سرپرست CERT-UBIK (تیم رایانه ای پاسخگویی اورژانسی در زمینه امنیت دیجیتالی پاریس) اشاره می کند که سطح بلوغ تولیدکنندگان این تجهیزات پزشکی (و سازندگان اشیاء متصل به شبکه در کل) زمانیکه موضوع با امنیت سایبری مرتبط می شود به طور مشهودی در نوسان است.

شگفت آور اینکه سطح امنیت اشیاء متصل عموما با نیازهای واقعی همخوانی ندارد. بعضی از اشیاء متصل که ممکن است بعنوان صرفا یک گجت باشند امنیت بالایی دارند در حالیکه وسایل پزشکی متصل در حالت کلی از امنیت بالا برخوردار نیستند.

هرچند امنیت رایانه برای یک دستبند متصل مورد استفاده توسط افراد در ورزشهای آخر هفته از دید استفاده کنندگان خیلی مهم هست ولی این دید در مورد دفیبریلاتورها و یا یک پمپ انسولین و یا یک پیس میکر وجود ندارد. طرفداران سریال تلویزیونی Homeland صحنه ای را به خاطر خواهند آورد که معاون رئیس جمهور ویلیام والدن توسط هکری که از راه دور کنترل پیس میکرش را بدست آورده بود ترور شد.

یک پیس میکر رایانه بسیار کوچکی هست که توسط حدودا 80000 خط کد کنترل می شود از این رو وجود حفره های امنیتی امکان سوء استفاده از سوی هکرها را فراهم می کند. ما شروع به ایجاد ارتباط با استارت آپهایی کردیم که بدنبال وارد کردن ایمنی در محصولاتشان بودند و راهکار ایمنی بواسطه طراحی را در پیش گرفتیم. به این درک رسیدند که در فرایند پیشرفت ایمنی کلید ایجاد تمایز در بازار اینترنت اشیاء خواهد بود.


تجهیزات بیمارستانی نیز در معرض تهدید هستند

درست همانگونه که کاشتنی های پزشکی دارای حفره های امنیتی هستند در مورد تجهیزات بیمارستانی نیز این امر صادق است. در سال 2015 سازمان غذا و داروی ایالات متحده جمع اوری پمپ های تزریق Symbiq ساخته شده توسط شرکت Hospira آمریکا را ابلاغ کرد. این پمپ ها قادر به تزریق دقیق دوزهای دارویی به بیماران بودند ولیکن مشخص گردید که دوزهایی که بایستی به بیماران تزریق گردد را می توان از راه دور و بوسیله شبکه کابلی و یا وای فای بیمارستان تغییر داد و این موضوع خطرات بالقوه مشهودی را برای بیماران ایجاد می کرد.

امروزه بخش اعظم تجهیزات پزشکی سرمایه ای بیمارستانی نظیر اسکنرهای CT و MRI به شبکه متصل هستند و بنابراین بصورت بالقوه از آسیب پذیری در مقابل حمله هکرها رنج می برند.

نقص امنیتی می تواند بخشهای قابل توجهی از تجهیزاتی نظیر CT-SCAN و MRI را تحت تاثیر قرار دهد. در سال 2015 گروه پاسخگویی اورژانسی سایبری سیستمهای کنترل صنعتی ICSCERT که زیر نظر دپارتمان امنیت میهنی ایالات متحده کار می کند و تولیدکنندگان موظف به گزارش هرگونه تخلف در امنیتی کشف شده در سیستمهایشان به آنها می باشند، 14 حادثه امنیتی در بخش سلامت را طی یک سال گزارش کرد. در میان اخطارهای اعلام شده از سوی این مرجع نظارتی یک مورد مرتبط با سیستم مدیریت اطلاعات Philips Xper بوده است نرم افزاری که توسط Philips Healthcare برای مدیریت اطلاعات تولید شده است. توصیه های ارائه شده حاوی 460 نقطه آسیب پذیری در سیستمهایی بود که از ویندوز XP بهره می برند.

"علاوه بر کاشتنی های قلبی و پمپ های انسولین تجهیزات پزشکی نظیر اسکنرها شامل اسکنرهای تشدید مغناطیسی نیز مشکلات امنیتی دارند" Tristan Savalle مشاور ارشد امنیت اطلاعات در امنیت موسسه امنیت اطلاعات فرانسه aDvens با اعلام این موضوع اضافه می کند که : "در حال حاضر بصورت جدی برای ایجاد امنیت در این نوع از تجهیزات مشغول به فعالیت هستیم زیرا همه بیمارستانها از آنها استفاده می کنند و اغلب بدون امنیت لازم هستند".

واقعیت تلخ اینکه بیمارستان ها اقدامات احتیاطی مورد نیاز برای محافظت تجهیزات پزشکی از حملات بدخواهانه را جدی نمی گیرند. علاوه بر آن کارکنان مربوطه به قدر کافی برای مداخله مستقیم در مواقع بروز مشکل و قبل از آن توانمند نشده اند بعنوان مثال نصب یک نرم افزار ساده آنتی ویروس بر روی دستگاه. چنین دستگاههایی بصورت بالقوه هدفی برای هکرهای رایانه ای می باشد که ممکن است منجر به توقف فعالیت چنین دستگاههای گرانقیمت شده و بدنبال آن بیمارستان با نامه ها الکترونیک سیاه برای اخاذی مواجه شود.


سیستم ها باید از ابتدا ایمن باشند

درحالیکه امنیت تجهیزات هنوز به طور مشهودی ناکافی و مغفول مانده است اکنون اشیاء در حال تغییر هستند. از یک طرف زمانیکه متخصصان موارد نقض امنیتی را آشکار می کنند و انتشار آنها در رسانه ها موجب می شود که مشکلاتی در کسب و کار تولید کنندگان مرتبط بوجود بیاید. شرکت St. Jude Medical بدنبال ادعای آسیب پذیری سایبری در ایمپلنت های قلبی تولیدی اش با 5% افت در کسب و کارش مواجه گردید. مدیران شرکت اکنون بر این واقعیت اذعان دارند که یک رسوایی در سطح رسانه ها بدنبال مرگ یک بیمار در اثر حمله سایبری ضربت کشنده ای را بر پیکر کسب و کارشان فرود می آورد. متخصصان امنیت اعلام می کنند که گام اولی که طراحان تجهیزات بایستی طی کنند دربرگیرنده پارامترهای امنیت سایبری باشد نه اینکه در مراحل پایانی به فکر انجام آن باشند.

اگر می خواهید مطمئن شوید که یک وسیله پزشکی ایمن هست یا نه نیاز هست بدانید که المان امنیت سایبری در گامهای ابتدایی طراحی آن بکار گرفته شده است یا نه؟ شما بایستی تهدیدهایی را که متوجه تجهیزات مشخصی هستند تحلیل کنید و تصمیم بگیرید تا با شفافیت مسئولیت آنچه می سازید را قبول کنید. شما بایستی با این واقعیت کنار بیائید که در حال حاضر طراحان دستگاه های CT-SCAN و MRI تمام تلاش خود را برای بهبود محصول بکار می گیرند ولی در زمینه امنیت سایبری طراحی هایشان، این امر مغفول مانده است. وجود پورت یو اس بی بر روی پانل کنترل یک تجهیز ریسک واقعی بوجود می آورد. جدا از زمینه های تجاری، چارچوب قانونگذاری نیز جهت در نظر گرفتن مخاطرات بیشتر و دور از ذهن نیاز به تکامل دارند.

در حالیکه میزبانی از اطلاعات پزشکی اشخاص در کشورهایی نظیر فرانسه نیازمند اینست تا نسبت به اخذ مجوز رسمی و یا همکاری با یک میزبان دارای مجوز است قانونگذاری در حیطه تجهیزات متصل به شبکه به طرز مشهودی مغفول مانده است."قانونگذاری برای این نوع از تجهیزات سختگیرانه بوده است اما زمینه های کمی از امنیت سایبری را در گرفته است" Tristan Savalle با ابراز تاسف اشاره می کند. به هر حال با افزایش آگاهی بین مردم فشار به تولیدکنندگان برای مجهز شدن تجهیزات تولیدی شان در برابر حملات سایبری افزایش یافته است.

در اکتبر 2014 سازمان غذا و داروی ایالات متحده (FDA) یکسری راهنمائیهای کوتاه داخلی را در زمینه امنیت سایبری برای تجهیزات پزشکی تدوین نمود در حالیکه در فرانسه HAS پا را فراتر نهاده و راهنمایی هایی شامل 101 قانون عملیاتی با هدف تشویق بیشتر برای طراحی های ایمن اشیاء و تجهیزات متصل به شبکه در حوزه سلامت ارائه داد. Savalle اشاره می کند که :"به هر حال ما هنوز در مرحله استخراج و تدوین دستورالعمل های عملیاتی هستیم تا نوشتن قوانین مربوطه". گام بعدی بدون شک معرفی روشهای تائید و صدور گواهینامه برای تجهیزات پزشکی خواهد بود که دربرگیرنده جنبه های امنیت سایبری هستند برای مثال استفاده از روشهای آزمون نفوذ ارائه شده توسط هکرهای معروف به ‘good guy’ نظیر آنهایی که برای آژانس امنیت دیجیتال ملی فرانسه ANSSI انجام شد. این چنین کارهایی قبلا برای تجهیزات امنیت IT انجام شده و در حال حاضر در حال تبدیل شدن به استانداردهایی برای تجهیزات استفاده شده در بخشهای مختلف از صنعت می باشد.

Alain Clapaud December 27, 2016
منبع:
http://www.atelier.net/en/trends/articles/healthcare-device-cybersecurity-under-intense-scrutiny_444449

 

نظر دادن