ايتنا - آیا تمام تجهیزات پزشکی امن هستند؟!

تقریبا تمام حمله‌های سایبری به قصد سرقت پول انجام می‌شود.گاهی اوقات باگ یک دستگاه می‌تواند به عواقب جدی‌تری نسبت به از دست دادن پول منجر شود. اما در اینجا چه رابطه‌ای بین سلامت انسان و زندگی و حمله‌های سایبری وجود دارد؟

یک مثال عالی برای اینکه متوجه شوید و ببینید یک دستگاه چگونه می‌تواند برای زندگی و عضو بدن خطر آفرین باشد را مطرح می‌کنیم: یک بد افزار با به دست گرفتن کنترل ماشین هنگام رانندگی می‌تواند منجر به تصادف شود. تجهیزات پزشکی هوشمند هم همینطور در خطر هستند. دستگاه‌هایی که به منظور سالم نگه داشتن ما طراحی شده‌اند هم می‌توانند مخالف این کار را انجام دهند و موجب صدمه ما شوند.

ما می‌دانیم تا به امروز هیچ استنادی مبنی بر اینکه تجهیزات پزشکی به طور مستقیم سلامت انسان را در خطر قرار داده است نداشته‌ایم. با این حال، کارشناسان به طور منظم آسیب‌پذیری دستگاه های پزشکی که شامل باگ‌هایی است که می‌تواند به آسیب جدی جسم منجر شود را مورد بررسی قرار می‌دهند.

از آن‌جا که سرقت پول و صدمه زدن به جسم افراد دو اقدام متفاوت است ما امیدواریم که هکرها از برداشتن گام‌هایی که با صدمه زدن به جسم افراد سر و کار دارد به دلایل اخلاقی خودداری کنند. اما به احتمال زیاد خود مجرمان هم به هک دستگاه های پزشکی تمایلی ندارند زیرا که نمی‌دانند چگونه از چنین حملاتی سود بدست آورند.

در واقع مجرمان اینترنتی بارها و بارها بیمارستان‌ها را با تروجان‌ها و نرم‌افزارهای مخرب گسترده دیگر مورد حمله قرار دادند به عنوان مثال: در اوایل امسال تعدادی از باج‌افزارهای آلوده به مراکز پزشکی در ایالات متحده آمریکا از جمله مرکز پزشکی پروتستان هالیوود در لس‌آنجلس ضربه زدند.

بیمارستان لس آنجلس ۱۷۰۰۰$ باج پرداخت تا بتواند به فایل‌های خود دست یابد در عین حال وقتی بیمارستان قلب کانزاس سعی به انجام همان کار کرد، کلاهبرداران فایل های آنان را پس ندادند و به جای آن خواستار پول بیشتری شدند. همان طور که می بینید ما نمی توانیم به درخواست‌های آنها اعتماد کنیم و آن‌ها را متوقف کنیم زیرا آن‌ها همیشه از حمله به موسسات پزشکی برای رسیدن به دریافت پول راضی خواهند بود.

تجهیزات پزشکی نیازمند بازرسی و صدور گواهینامه هستند اما تنها تجهیزات پزشکی کافی نیست و باید بر روی فن آوری اتصال کامپیوتر هم نظارتی صورت گیر که این چنین نیست. البته الزامات و شرایط امنیت سایبری توصیه شده است اما این موضوع نادیده گرفته می‌شود. در نتیجه بیمارستان‌های زیادی هستند که ابزارهایشان از معایب آشکاری که مدت زیادی است توسط متخصصان کارآمد و شایسته IT شناسایی شده‌اند، رنج میبرند.

سازمان غذا و داروی آمریکا فروش تجهیزات پزشکی را کنترل و برای آنها گواهینامه صدور می کند. در جهت تلاش برای تحول در امنیت تجهیرات پزشکی متصل، سازمان FDA برای تولید کنندگان و ارائه دهندگان مراقبت های بهداشتی به منظور تامین امنیت بهتر دستگاه‌های پزشکی راهنمایی‌های لازم را منتشر کرده است. در آغاز سال ۲۰۱۶ یک طرح از این نوع اطلاعات هم منتشر شد. اما همه ی این اقدامات تنها یک مشاوره هستند و هیچ اجباری برای تامین امنیت دستگاه‌های پزشکی که برای نجات زندگی انسان‌ها بسیار ضروری می باشد وجود ندارد.

سهل انگاری موجب مرگ می‌شود
تولید کنندگان تجهیزات می توانند از کارشناسان امنیت سایبری برای امنیت بیشتر کمک بگیرند اما آن ها اغلب خلاف آن را انجام می دهند، و حتی درخواست کارشناسان برای در اختیار قرار دادن تجهیزات جهت تست را نیز قبول نمی‌کنند.

به همین خاطر کارشناسان مجبور می شوند تجهیزات دست دوم آن ها را بگیرند و بررسی کنند و متوجه چگونگی محافظت آن شوند. برای مثال: بیلی ریوس که محقق امنیتی و بنیان‌گذار سایت WhiteScope.io است و به دستگاه‌های متصل آگاهی کامل را دارد گاهی اوقات به بررسی دستگاه‌های پزشکی می پردازد.

حدود ۲ سال گذشته، ریوس دستگاه پمپ‌های تزریق Hosoira ( مرکز جهانی دارویی و تجهیزات پزشکی در آمریکا) را که در ده ها هزار از بیمارستان های سراسر جهان پخش شده بود را تست کرد. نتایج نگران کننده بود: پمپ های تزریق مواد به او اجازه تغییر تنظیمات و بالا بردن محدودیت دوز را می داد.
در نتیجه مجرمان می توانستند از طریق تزریق دارو، دوز بیشتر یا کمتری را به بدن بیمار وارد کنند. جالب اینجاس که این دستگاه‌ها بعنوان دستگاه های بدون خطا تبلیغ می شدند!

یکی دیگر از دستگاه های آسیب پذیری که ریوس متوجه آن شد Pyxis SupplyStation بود که ساخت شرکت CareFusion بود. این سیستم برای سهولت در حسابهای توزیع کنندگان دستگاه های پزشکی می باشد. در سال ۲۰۱۴ ریوس متوجه باگی در سیستم ها شد که به هر کسی اجازه ورود به سیستم را می داد.

در سال ۲۰۱۶ ریوس یکبار دیگر به موضوع Pyxis SupplyStation پرداخت که البته این بار با همکار متخصص امنیتی مایک احمدی همراه بود. این کشف دو نفری بیش از ۱۴۰۰ آسیب‌پذیری را شامل می شد که نیمی از آن‌ها بسیار خطرناک بودند. به علت تعداد بالای مشکلات دستگاه‌ها توسعه‌دهندگان آن بسیار سرزنش شدند و کارشناسان تخصصی فقط مدل قدیمی این سیستم را آنالیز کرده‌اند و این آسیب پذیری‌ها هنوز هم خطر آفرین هستند.

موضوع اینجاست که این سیستم‌ها دیگر عمر مصرفشان تمام شده است و با وجود گستردگی استفاده از آن‌ها، توسعه‌دهندگانشان دیگر آپدیتی برای آن ارائه نمی‌دهند. به جای آن CareFusion توصیه کرد که مشتریان نسخه‌های جدید از تجهیزات را ارتقاء دهند و به سازمان هایی که قصد ارتقاء سیستم ها را نداشتند لیستی به منظور راهکار در مورد چگونگی به حداقل رساندن خطر از سیستم داده شد.

به‌روزرسانی تجهیزات قدیمی کاری سخت و گران‌قیمت است اما برای مثال: مایکروسافت پیش از این آپدیت سیستم عامل‌های نصب شده بر روی دستگاه‌ها را انجام نمی‌داد و این سهل انگاری اساسا آن را آسیب‌پذیر کرده بود. آخرین نسخه از Pyxis SupplyStation بر روی ویندوز ۷ و بعد از آن قابل اجرا است و باگ‌های آن آسیب پذیر نیستند.

لابراتوار کسپرسکی همچنین آزمون ساختاری سایبری برای بیمارستان‌ها ارائه کرده است. متخصص ما Sergey Lozhkin که برای آزمایش و هک تجهیزات پزشکی که شامل اسکنر تومور بود دعوت شد و تمام موارد ذکر شده در بالا را در آزمایش‌های خود پیش برد که نشان می‌دهد مجرمان به آسانی در صورت تمایل می‌توانند این کار را تکرار کنند.

چه کسی مقصر است و چه کاری باید انجام داد؟
عمر تجهیزات پزشکی بسیار طولانی‌تر از چرخه عمر گوشی‌های هوشمند هستند و ده‌ها سال برای تعویض یک قطعه‌گران قیمت تجهیزات زمان نیاز است که در کل زمان زیادی نیست.

علاوه بر این اگرچه دستگاه های اخیر نسبت به دستگاه‌های از رده خارج از آسیب پذیری کمتری برخوردارند اما با گذشت زمان(قدیمی شدن دستگاه‌ها) و بدون پشتیبانی صحیح به دستگاه‌های پرباگ مثل دستگاه‌های قدیمی تبدیل می‌شوند.

مایک احمدی توضیح می‌دهد:"من فکر می‌کنم راه معقولانه برای یک تولید‌کننده دستگاه‌های پزشکی این است هم یک تاریخ انقضا برای تجهیزات پزشکی و هم یک تاریخ انقضا امنیت سایبری دستگاه‌های خود تعیین کنید.

هک PyxisSupplyStation راه را برای آینده روشن کرد. درست است که توسعه دهندگان این شرکت در ابتدا باگ‌های کشف شده توسط Rios را نادیده گرفتند اما بعداً تیم مدیریت کمپانی بزرگ Becton Dickinson که این شرکت را خریداری کرد نسبت به موضوع امنیت، دیدگاه متفاوتی داشتند.

شاید در آینده شرکتها توجه بیشتری به موضوع جلوگیری از باگهای امنیتی دستگاه ها نسبت به حال حاضر داشته باشند. و شاید هم آزمایشهای آسیب پذیری گسترده تری برای دستگاه های جدیدشان قبل از ورود آن‌ها به بازار در نظر بگیرند.
منبع: کسپرسکی‌آنلاین