جایگاه امنیت سایبری در صنعت تولید تجهیزات پزشکی

مجمع جهانی اقتصاد در اواخر سال 2020 میلادی اعلام کرد: «برای اینکه صنعت امنیت سایبری در حوزه تجهیزات پزشکی در جایگاه مناسبی جهت مقابله با تهدیدات سایبری قرار گیرد، لازم است تغییرات اساسی در رویکردهای فعلی برای حفظ امنیت این صنعت ایجاد شود». بعضی از چالش‌هایی که این مجمع به آنها اشاره کرده، شامل موارد زیر هستند:

  1. افزایش پیچیدگی حملات سایبری و حرفه‌ای‌تر شدن مهاجمان
  2. افزایش کمبود نیرو در حوزه امنیت سایبری
  3. عدم به اشتراک‌گذاری اطلاعات عملیاتی و هوش سایبر
  4. همگام ماندن با تغییرات قانونی و عدم قطعیت آنها
  5. کمبود سرمایه‌گذاری و ناکامی در جلب توجه مدیران کسب‌وکارها

در این مطلب از فراست، به بررسی کارشناسی این چالش‌ها و مسیرهای پیش روی این صنعت جهت مقابله با آنها می‌پردازیم.

 

1. افزایش پیچیدگی حملات سایبری و حرفه‌ای‌تر شدن مهاجمان

متأسفانه مهاجمانی که قصد حمله بر ضد دستگاه‌های پزشکی و درمانی را دارند دیگر نیازی به آن نیست که سطح دانش و مهارت و همچنین پیچیدگی عملیات‌ هکری شان را افزایش دهند؛ چون هنوز در بیشتر این دستگاه‌ها آسیب‌پذیری‌هایی وجود دارد که به علت عدم استفاده از سازوکارهای احراز هویت، عدم رمزنگاری اطلاعات محرمانه هویتی و همچنین بررسی نکردن عناصر داده‌ای، سوءاستفاده از آنها برای مهاجمان سایبری بسیار راحت است. این مشکلات، ناشی از ویژگی‌های خاص و منحصر به فرد تجهیزات پزشکی هستند (که معمولاً در زیرساخت‌های فناوری اطلاعات وجود ندارند).

تجهیزات پزشکی به طول معمول طول عمر بسیار زیادی دارند. در سازمان‌های ارایه‌دهنده خدمات سلامت و مراقبت های بهداشتی، استفاده از دستگاه‌هایی با طول عمر بیش از 20 سال تقریباً امری متداول است. در حالی که در بخش امنیت شبکه یا فناوری اطلاعات از فایروال یا سامانه تشخیص نفوذی که دارای طول عمر طولانی است، استفاده نمی‌شود. در نتیجه در حوزه مراقبت‌های پزشکی به شدت شاهد استفاده از تجهیزات قدیمی هستیم.

از طرف دیگر توسعه‌دهندگان دستگاه‌های پزشکی به گونه‌ای آموزش ندیده‌اند که امنیت را در چرخه توسعه محصولاتشان ادغام کنند. بیشتر این افراد از چگونگی تأمین امنیت در فرایندهای کسب و کاری شان و نیز نحوه شناسایی یا ارزیابی آسیب‌پذیری‌های موجود در طراحی و پیاده‌سازی محصولات خود باخبر نبوده و نمی‌دانند برای دستیابی به سطح امنیت مورد نظرشان باید از چه راهکارهای رمزنگاری استفاده کنند.

2.  افزایش کمبود نیرو در حوزه امنیت سایبری

وقتی با یک توسعه‌دهنده در حوزه تجهیزات پزشکی درباره امنیت سایبری صحبت می‌کنیم او باید دانش جامعی درباره تمام جنبه‌های ایجاد یک دستگاه امن داشته باشد. از این رو کارشناسان امنیتی پیش از شروع فعالیت خود در این حوزه باید دانش و تخصص لازم را کسب کنند. سایت Velentium یک فرایند صدور گواهینامه برای آموزش مهندسان، توسعه‌دهندگان و مدیران شرکت‌های تولیدکننده دستگاه‌های پزشکی و سایر طراحان دستگاه‌های اینترنت اشیا راه‌اندازی کرده تا به ایجاد تخصص لازم در بین کارکنان این بخش ها کمک کند.

بر اساس گزارش جدید کنسرسیوم بین‌المللی صدور گواهینامه امنیتی سامانه‌های اطلاعاتی (ISC)²، کمبود مهارت نیروی امنیت سایبری به بیش از 3 میلیون نفر در سال های آتی خواهد رسید و برای پر کردن این خلأ مهارتی باید استخدام نیروی امنیت سایبری در آمریکا حدود 40 درصد و در سطح جهان حدود 80 درصد افزایش یابد.

یکی از راهکارهایی که تا حدودی می‌تواند به رفع این مشکلات کمک کند، خودکارسازی است. با این حال در بیشتر مواقع هنگام پیاده‌سازی این سیستم‌ها به جای دریافت اطلاعات کامل درباره نقاط انتهایی شبکه که می‌تواند به تشخیص خودکار رویدادها کمک زیادی کند، فرضیات خاصی درباره آنها وجود دارد. همچنین رابطه نادرست بین تولیدکنندگان دستگاه‌های انتهایی شبکه و ابزارهای امنیت سایبری باید از بین برود.

 

3. عدم به اشتراک‌گذاری اطلاعات عملیاتی و هوش سایبر

سومین چالشی که در این حوزه وجود دارد اخیراً توسط سازمان‌های تحلیل و به اشتراک‌گذاری اطلاعات (ISAO[1]) (مثل H-ISAC و MedISAO) حل شده است. این سازمان‌ها انجمنی برای به اشتراک‌گذاری رخدادهای امنیتی به وقوع پیوسته و آسیب‌پذیری‌های تازه کشف شده راه‌اندازی کرده‌اند. این راهکار همچنین نقش یک کانال گفتگو را بین کارمندان امنیتی و مدیران تجهیزات پزشکی بر عهده دارد. پیش از تأسیس این انجمن چنین ارتباط باز و صادقانه‌ای وجود نداشت.

 

4. همگام ماندن با تغییرات قانونی و عدم قطعیت آنها

یکی از مواردی که لازم است همیشه آن را به کارشناسان امنیت سایبری گوشزد کنیم این است که آنها نباید برای طراحی محصولات جدید فقط به دنبال پیروی از قوانین و استانداردها باشند. اگرچه انجام این کار ضروری است اما قوانین برای حفاظت از کاربران نهایی و سایرین در برابر نقایص امنیت سایبری در محصولات شما طراحی شده‌اند نه برای حفاظت از مدل کسب‌وکاری تان.

به همین دلیل در بسیاری از این قوانین اعلام شده که پیروی از این استانداردها کمترین انتظار از محصولات شما را مشخص می‌کند چرا که مشتریان و کاربران نهایی انتظارات زیادتری دارند. شما باید علاوه بر طراحی و ساخت محصولات‌تان به روشی امن، در صورت وقوع رخدادهای امنیتی پشتیبانی قابل قبولی را برای آنها ارایه کنید.

 

5. کمبود سرمایه‌گذاری و ناکامی در جلب توجه مدیران کسب‌وکارها

این چالش حتی در حوزه تجهیزات پزشکی، یکی از مشکلات مهم محسوب می‌شود و دلیل آن هم اهمیت بسیار زیاد تجهیزات پزشکی برای مراقبت از جان انسان‌ها و توجه شدید رسانه‌ها و قانون‌گذاران به این حوزه است. معمولاً از بین بیش از 7 هزار شرکت تولیدکننده تجهیزات پزشکی که مهر تأیید FDA را کسب نموده‌اند، فقط نمایندگان حدود 20 شرکت در کنفرانس‌های مربوطه شرکت می‌کنند!

FDA در اطلاعیه‌ای در سال 2014 میلادی اعلام کرد طراحانی که در حوزه امنیت سایبری مشغول به فعالیت هستند باید محصولاتشان را به صورت امن، طراحی و عرضه کنند. مدیران شرکت‌های تولیدکننده تجهیزات پزشکی معمولاً به اشتباه تصور می‌کنند که مهندسان آنها محصولات امنی را تولید می‌کنند ولی با کمی بررسی متوجه خواهند شد که در هیچ کجا اقدامی برای آموزش، تأمین بودجه، مدیریت یا تست و ارزیابی امنیتی محصولات آنها وجود ندارد. از این رو FDA تلاش می‌کند نظارت بیشتری بر روی مراحل طراحی و تولید محصولات داشته باشد. مثلاً مدیران تجهیزات پزشکی باید به سؤالاتی که FDA در زمینه امنیت سایبری مطرح نموده، پاسخ دهند و در صورتی که جواب‌های آنها صحیح نباشد تا مدت زمان طولانی مجوزی برای عرضه محصول به بازار نخواهند داشت.

معمولاً همیشه شاهد اختلافاتی بین مدیران ارشد امنیت اطلاعات و مدیران ارشد فناوری اطلاعات هستیم. امنیت سایبری حوزه‌ای است که دائماً در حال تغییر و تحول بوده و مدیران ارشد امنیت اطلاعات تلاش می‌کنند تا با جدیدترین مخاطرات سایبری و راهکارهای مقابله با آنها آشنا شوند. آنها باید تا جایی که می‌توانند سرعت تغییرات را کم کنند چون ممکن است اصلاح و تغییرات ناگهانی، پیامدهای نامطلوبی بر روی بهره‌وری کسب‌وکارهایشان داشته باشد.

مدیران ارشد فناوری اطلاعات هم عموماً به دنبال راهکارهای ارزان‌ قیمت برای پیاده‌سازی امنیت هستند. با توجه به تمایل اعضای هیأت مدیره برای کاهش مخاطرات و افزایش سود و نقدینگی شرکت، اگر این افراد از مزایای اجرای طرح‌های پیشگیرانه در حوزه امنیت سایبری مطلع باشند آنها هم با مدیران ارشد امنیت اطلاعات همکاری لازم را به عمل خواهند آورد. از طرف دیگر مدیران ارشد فناوری اطلاعات در صورت بروز آسیب‌پذیری‌های امنیتی، جزو اولین گروه‌هایی هستند که با دردسر مواجه خواهند شد (البته هزینه این غفلت را مدیران ارشد امنیت اطلاعات و سهامداران باید بپردازند).

در حال حاضر شرکت‌ها توجه لازم را به امنیت سایبری ندارند در حالی که پرداختن به این موضوع عامل تعیین‌کننده‌ای در موفقیت کسب‌وکارها به شمار می رود. توصیه کارشناسان امنیتی به مدیران سازمان‌ها این است که ابتدا یک چرخه توسعه امن نرم‌افزار ایجاد نموده و نتایج و خروجی‌های آن را با مشتریانشان در میان بگذارند تا بتوانند از شرکت‌های رقیب خود، همواره یک گام جلوتر باشند.

شرایط دنیای کسب‌وکارهای امروزی به این صورت است که سازمان‌ها را ملزم به افزایش امنیت محصولات‌شان می‌کند چرا که در غیر این صورت شاهد شکست کسب‌وکارشان خواهند بود. اگر چنین تصور می‌کنید نادیده گرفتن امنیت سایبری مشکلی برای کسب‌وکار شما ایجاد نمی‌کند، کافی است نگاهی به قیمت سهام شرکت سولارویندوز و چشم‌انداز آینده این شرکت داشته باشید. بنابراین همه سازمان‌ها باید هزینه‌های مربوط به تأمین امنیت را بپردازند؛ پس چه بهتر که این هزینه صرف سرمایه‌گذاری برای پیشگیری از بروز حادثه شود تا دست‌وپنجه نرم کردن با پیامدهای مخرب و نامطلوب آن.

 

[1] Information Sharing and Analysis Organization

خروج از نسخه موبایل