اخبار فناوری اطلاعات
آیا تمام تجهیزات پزشکی امن هستند؟!
تقریبا تمام حملههای سایبری به قصد سرقت پول انجام میشود.گاهی اوقات باگ یک دستگاه میتواند به عواقب جدیتری نسبت به از دست دادن پول منجر شود. اما در اینجا چه رابطهای بین سلامت انسان و زندگی و حملههای سایبری وجود دارد؟
یک مثال عالی برای اینکه متوجه شوید و ببینید یک دستگاه چگونه میتواند برای زندگی و عضو بدن خطر آفرین باشد را مطرح میکنیم: یک بد افزار با به دست گرفتن کنترل ماشین هنگام رانندگی میتواند منجر به تصادف شود. تجهیزات پزشکی هوشمند هم همینطور در خطر هستند. دستگاههایی که به منظور سالم نگه داشتن ما طراحی شدهاند هم میتوانند مخالف این کار را انجام دهند و موجب صدمه ما شوند.
ما میدانیم تا به امروز هیچ استنادی مبنی بر اینکه تجهیزات پزشکی به طور مستقیم سلامت انسان را در خطر قرار داده است نداشتهایم. با این حال، کارشناسان به طور منظم آسیبپذیری دستگاه های پزشکی که شامل باگهایی است که میتواند به آسیب جدی جسم منجر شود را مورد بررسی قرار میدهند.
از آنجا که سرقت پول و صدمه زدن به جسم افراد دو اقدام متفاوت است ما امیدواریم که هکرها از برداشتن گامهایی که با صدمه زدن به جسم افراد سر و کار دارد به دلایل اخلاقی خودداری کنند. اما به احتمال زیاد خود مجرمان هم به هک دستگاه های پزشکی تمایلی ندارند زیرا که نمیدانند چگونه از چنین حملاتی سود بدست آورند.
در واقع مجرمان اینترنتی بارها و بارها بیمارستانها را با تروجانها و نرمافزارهای مخرب گسترده دیگر مورد حمله قرار دادند به عنوان مثال: در اوایل امسال تعدادی از باجافزارهای آلوده به مراکز پزشکی در ایالات متحده آمریکا از جمله مرکز پزشکی پروتستان هالیوود در لسآنجلس ضربه زدند.
بیمارستان لس آنجلس ۱۷۰۰۰$ باج پرداخت تا بتواند به فایلهای خود دست یابد در عین حال وقتی بیمارستان قلب کانزاس سعی به انجام همان کار کرد، کلاهبرداران فایل های آنان را پس ندادند و به جای آن خواستار پول بیشتری شدند. همان طور که می بینید ما نمی توانیم به درخواستهای آنها اعتماد کنیم و آنها را متوقف کنیم زیرا آنها همیشه از حمله به موسسات پزشکی برای رسیدن به دریافت پول راضی خواهند بود.
تجهیزات پزشکی نیازمند بازرسی و صدور گواهینامه هستند اما تنها تجهیزات پزشکی کافی نیست و باید بر روی فن آوری اتصال کامپیوتر هم نظارتی صورت گیر که این چنین نیست. البته الزامات و شرایط امنیت سایبری توصیه شده است اما این موضوع نادیده گرفته میشود. در نتیجه بیمارستانهای زیادی هستند که ابزارهایشان از معایب آشکاری که مدت زیادی است توسط متخصصان کارآمد و شایسته IT شناسایی شدهاند، رنج میبرند.
سازمان غذا و داروی آمریکا فروش تجهیزات پزشکی را کنترل و برای آنها گواهینامه صدور می کند. در جهت تلاش برای تحول در امنیت تجهیرات پزشکی متصل، سازمان FDA برای تولید کنندگان و ارائه دهندگان مراقبت های بهداشتی به منظور تامین امنیت بهتر دستگاههای پزشکی راهنماییهای لازم را منتشر کرده است. در آغاز سال ۲۰۱۶ یک طرح از این نوع اطلاعات هم منتشر شد. اما همه ی این اقدامات تنها یک مشاوره هستند و هیچ اجباری برای تامین امنیت دستگاههای پزشکی که برای نجات زندگی انسانها بسیار ضروری می باشد وجود ندارد.
سهل انگاری موجب مرگ میشود
تولید کنندگان تجهیزات می توانند از کارشناسان امنیت سایبری برای امنیت بیشتر کمک بگیرند اما آن ها اغلب خلاف آن را انجام می دهند، و حتی درخواست کارشناسان برای در اختیار قرار دادن تجهیزات جهت تست را نیز قبول نمیکنند.
به همین خاطر کارشناسان مجبور می شوند تجهیزات دست دوم آن ها را بگیرند و بررسی کنند و متوجه چگونگی محافظت آن شوند. برای مثال: بیلی ریوس که محقق امنیتی و بنیانگذار سایت WhiteScope.io است و به دستگاههای متصل آگاهی کامل را دارد گاهی اوقات به بررسی دستگاههای پزشکی می پردازد.
حدود ۲ سال گذشته، ریوس دستگاه پمپهای تزریق Hosoira ( مرکز جهانی دارویی و تجهیزات پزشکی در آمریکا) را که در ده ها هزار از بیمارستان های سراسر جهان پخش شده بود را تست کرد. نتایج نگران کننده بود: پمپ های تزریق مواد به او اجازه تغییر تنظیمات و بالا بردن محدودیت دوز را می داد.
در نتیجه مجرمان می توانستند از طریق تزریق دارو، دوز بیشتر یا کمتری را به بدن بیمار وارد کنند. جالب اینجاس که این دستگاهها بعنوان دستگاه های بدون خطا تبلیغ می شدند!
یکی دیگر از دستگاه های آسیب پذیری که ریوس متوجه آن شد Pyxis SupplyStation بود که ساخت شرکت CareFusion بود. این سیستم برای سهولت در حسابهای توزیع کنندگان دستگاه های پزشکی می باشد. در سال ۲۰۱۴ ریوس متوجه باگی در سیستم ها شد که به هر کسی اجازه ورود به سیستم را می داد.
در سال ۲۰۱۶ ریوس یکبار دیگر به موضوع Pyxis SupplyStation پرداخت که البته این بار با همکار متخصص امنیتی مایک احمدی همراه بود. این کشف دو نفری بیش از ۱۴۰۰ آسیبپذیری را شامل می شد که نیمی از آنها بسیار خطرناک بودند. به علت تعداد بالای مشکلات دستگاهها توسعهدهندگان آن بسیار سرزنش شدند و کارشناسان تخصصی فقط مدل قدیمی این سیستم را آنالیز کردهاند و این آسیب پذیریها هنوز هم خطر آفرین هستند.
موضوع اینجاست که این سیستمها دیگر عمر مصرفشان تمام شده است و با وجود گستردگی استفاده از آنها، توسعهدهندگانشان دیگر آپدیتی برای آن ارائه نمیدهند. به جای آن CareFusion توصیه کرد که مشتریان نسخههای جدید از تجهیزات را ارتقاء دهند و به سازمان هایی که قصد ارتقاء سیستم ها را نداشتند لیستی به منظور راهکار در مورد چگونگی به حداقل رساندن خطر از سیستم داده شد.
بهروزرسانی تجهیزات قدیمی کاری سخت و گرانقیمت است اما برای مثال: مایکروسافت پیش از این آپدیت سیستم عاملهای نصب شده بر روی دستگاهها را انجام نمیداد و این سهل انگاری اساسا آن را آسیبپذیر کرده بود. آخرین نسخه از Pyxis SupplyStation بر روی ویندوز ۷ و بعد از آن قابل اجرا است و باگهای آن آسیب پذیر نیستند.
لابراتوار کسپرسکی همچنین آزمون ساختاری سایبری برای بیمارستانها ارائه کرده است. متخصص ما Sergey Lozhkin که برای آزمایش و هک تجهیزات پزشکی که شامل اسکنر تومور بود دعوت شد و تمام موارد ذکر شده در بالا را در آزمایشهای خود پیش برد که نشان میدهد مجرمان به آسانی در صورت تمایل میتوانند این کار را تکرار کنند.
چه کسی مقصر است و چه کاری باید انجام داد؟
عمر تجهیزات پزشکی بسیار طولانیتر از چرخه عمر گوشیهای هوشمند هستند و دهها سال برای تعویض یک قطعهگران قیمت تجهیزات زمان نیاز است که در کل زمان زیادی نیست.
علاوه بر این اگرچه دستگاه های اخیر نسبت به دستگاههای از رده خارج از آسیب پذیری کمتری برخوردارند اما با گذشت زمان(قدیمی شدن دستگاهها) و بدون پشتیبانی صحیح به دستگاههای پرباگ مثل دستگاههای قدیمی تبدیل میشوند.
مایک احمدی توضیح میدهد:”من فکر میکنم راه معقولانه برای یک تولیدکننده دستگاههای پزشکی این است هم یک تاریخ انقضا برای تجهیزات پزشکی و هم یک تاریخ انقضا امنیت سایبری دستگاههای خود تعیین کنید.
هک PyxisSupplyStation راه را برای آینده روشن کرد. درست است که توسعه دهندگان این شرکت در ابتدا باگهای کشف شده توسط Rios را نادیده گرفتند اما بعداً تیم مدیریت کمپانی بزرگ Becton Dickinson که این شرکت را خریداری کرد نسبت به موضوع امنیت، دیدگاه متفاوتی داشتند.
شاید در آینده شرکتها توجه بیشتری به موضوع جلوگیری از باگهای امنیتی دستگاه ها نسبت به حال حاضر داشته باشند. و شاید هم آزمایشهای آسیب پذیری گسترده تری برای دستگاه های جدیدشان قبل از ورود آنها به بازار در نظر بگیرند.
منبع: کسپرسکیآنلاین
منبع : ایتنا