اهمیت توجه به امنیت سایبری در حوزه تجهیزات پزشکی
با شیوع و همه گیری بیماری کرونا در سطح جهان، صنعت تجهیزات پزشکی و بهداشتی تبدیل به یکی از حوزه های مورد علاقه نفوذگران سایبری شده است و همه روزه خبرهای زیادی در این خصوص منتشر می شود. بنابراین امنیت این تجهیزات و حفاظت از آنها در برابر تهدیدهای امنیتی، از اهمیت زیادی برخوردار است. در این مقاله، “DJ Singh“ دلایل مربوط به این نیاز را توضیح می دهد.
بعضی از حوادث به وقوع پیوسته در حوزه امنیت سایبری عبارت از انواع آلودگیهای باج افزاری و بدافزاری، نشت داده ها و اطلاعات و همچنین مشکلات امنیتی دستگاههای پزشکی هستند که می توانند پیامدهای غیرقابل جبرانی را برای بیماران در پی داشته باشند.
ابتکارات و ابداعات فنی در صنعت پزشکی، افزایش روزافزون استفاده از پروندههای پزشکی الکترونیک به همراه رشد دایم شبکه دستگاههای پزشکی، برنامه های کاربردی مراقبت بهداشتی و همچنین تجهیزات پزشکی پوشیدنی، برخی از عواملی هستند که دستیابی مجرمان سایبری به داده های حساس را سهولت بخشیده اند.
بنابراین خطر تهدید کننده در صنعت پزشکی، پیشرفت چشمگیر «اینترنت اشیای پزشکی» و پیچیدگی بسیار بالای امنیت نرمافزارهای تعبیه شده در آن است که به عنوان آینده ابتکار و ابداع در حوزه مراقبت های بهداشتی نیز در نظر گرفته می شود.
به تازگی هشداری توسط محققان امنیت سایبری صادر شده است که به ارایهدهندگان مراقبتهای بهداشتی و بیماران اعلام شده استفاده از برخی از پمپهای تزریق را به دلیل نقصی که در آنها پیدا شده است و به کاربران بدون مجوز اجازه تغییر مقدار ماده ای که توسط این دستگاه ها تولید می شود را می دهد، متوقف کنند. با وجود این که تعداد مشکلات امنیتی که در صنعت پزشکی وجود دارد، بسیار زیاد است اما بیشتر حوادث امنیتی که در حوزه مراقبتهای بهداشتی رخ می دهند مربوط به اینترنت اشیا هستند و شامل آلودگی های بدافزاری در دستگاههای پزشکی متصل به شبکه و رایانه های مورد استفاده جهت دسترسی به بیماران می باشند.
بسیاری از سازمانهای بزرگی که در حوزه مراقبتهای پزشکی فعالیت می کنند، دارای منابع گسترده و متنوعی از دستگاههای پزشکی هستند که برخی از این دستگاه ها با وجود چندین دهه قدمت، توانایی مدیریت سیستمهای امنیتی مدرن را ندارند. وجود چالشهای بسیار در زمینه نظارت و مدیریت دستگاههای مختلف، در بروز مخاطرات امنیتی که این محصولات و سیستمعاملهای سنتی آنها را مورد تهدید قرار می دهند، نقش مهمی دارند.
از آنجا که هدف اصلی سازمانهای بهداشتی و درمانی، مراقبت از بیماران و حفظ سلامت آنها است، از این رو تمرکز آنها بیشتر بر روی برآوردن الزامات و استانداردهای قانونی است. به همین جهت ممکن است که این سازمان ها تخصص لازم برای شناسایی مخاطرات امنیتی را نداشته باشند.
با توجه به وجود تنوع بسیار زیادی که در دستگاه های پزشکی وجود دارد و همچنین عدم امکان اشتراک آنها با یکدیگر، انجام کارهای پایه ای و مقدماتی مانند اسکن شبکه به منظور دریافت لیست موجودی دستگاهها، به امری چالشبرانگیز تبدیل شده است. از سوی دیگر، یکی از دلایلی که دسترسی مجرمان را آسان تر نموده این است که بیشتر دستگاههای قدیمی، در حالت پیش فرض دارای کلمه های عبوری هستند که به صورت سختافزاری تنظیم شده و توسط متخصصان خدمات قابل استفاده هستند.
یکی از دلایلی که انتظار میرود دستگاههای پزشکی برای چندین سال متوالی مورد استفاده قرار گیرند، وجود چرخه طولانی توسعه محصولات است که شامل مراحل پیچیده دریافت مجوزهای قانونی نیز می شود. جهت سازگاری با قوانین، طراحی بعضی از این دستگاهها به گونه ای است که به هیچ عنوان قابل تغییر نیست (حتی برای به روز رسانی های نرم افزاری). در این صورت انتشار اصلاحات امنیتی توسط تولیدکنندگان به منظور سازگاری با مخاطرات جدید هم دشوارتر می شود.
رویکردی منطقی و مبتنی بر مخاطره
چند نکته وجود دارد که تولیدکنندگان دستگاههای پزشکی و ارایه دهندگان مراقبت های بهداشتی باید به آنها توجه لازم را داشته باشند. این نکات عبارتند از:
- امکان دسترسی به دستگاهها، فقط از طریق احراز هویت کاربران
- تضمین انتقال دادهها در یک محیط امن
- در نظر گرفتن سازوکاری جهت ارسال پیام های هشدار و همچنین امکانات امنیتی لازم برای ورود به حساب کاربری
- سرعت عمل در برخورد با مشکلات امنیتی
- اجبار در انجام ارزیابیهای مربوط به مخاطرات سایبری برای دستگاه های جدید و قدیمی.
برای برطرف کردن مخاطرات امنیت سایبری که دستگاه های پزشکی را مورد تهدید قرار داده و به عنوان یک مشکل اساسی برای امنیت بیماران و سلامت عمومی جامعه در نظر گرفته می شود، نیاز به یک محیط قابل اطمینان برای به اشتراک گذاری اطلاعات و همچنین انجام همکاری های متقابل وجود دارد.
تولیدکنندگان دستگاههای پزشکی و ارایه دهندگان خدمات مراقبتهای بهداشتی و نیز قانون گذاران مربوط به این حوزه، همواره در حال تلاش برای ایجاد محیطی امن به منظور همکاری و برقراری ارتباط با یکدیگر هستند تا از این طریق بتوانند پاسخی هماهنگ برای آسیب پذیری های امنیتی ارایه دهند. این مسأله موجب تشویق افراد در جهت عمل کردن به اقدامات کاربردی در حوزه امنیت دستگاه های پزشکی و زیرساخت فناوری اطلاعات نیز می شود.
همچنین مدیریت «اینترنت اشیای پزشکی» در صنعت مراقبتهای بهداشتی باید در اولویت قرار بگیرد. تولیدکنندگان باید با در نظر گرفتن مخاطره های امنیت سایبری جهت کاهش آسیب پذیری های موجود در دستگاه های پزشکی، طرحی را برای مدیریت سیستم ها و هچنین به روزرسانی نرم افزارها ارایه دهند. به منظور محافظت از این دستگاه ها باید با مشکلات فنی، امور مرتبط با کسب و کار و همچنین مسایل مربوط به مراقبت های بهداشتی هم مقابله کرد.
منبع: infosecurity-magazine