امنیت مراکز پزشکی: خطرات و اقدامات لازم مقابل هکرها
ایتنا - در سالهای اخیر، مراکز پزشکی و بیمارستانها به طور فزایندهای با خطرات سایبری مواجه شدهاند.
در سالهای اخیر، مراکز پزشکی و بیمارستانها به طور فزایندهای با خطرات سایبری مواجه شدهاند. متاسفانه سازمانها اغلب بودجه خود را به همه چیز غیر از پرداخت مبلغ ناچیزی برای برقراری امنیت اختصاص میدهند. مطمئنا اگر مقالات امنیتی ما را به صورت منظم دنبال کرده باشید متوجه شده اید که هکرها از هر راهی استفاده میکنند تا بتوانند به سرقت اطلاعات حساس سازمانها بپردازند که این اطلاعات حساس و با ارزش در مراکز پزشکی، سوابق پزشکی بیماران است.
به گزارش ایتنا از کسپرسکیآنلاین، همانطور که تکنولوژی بیمارستانها روز به روز تکامل مییابد، خطرات بیشتری هم آنها را تهدید خواهد کرد، به طور ساده تر بخواهیم بگوییم هرچه شما از ابزارهای با تکنولوژی بالاتری استفاده کنید بیشتر در معرض خطر خواهید بود، زیرا به همان اندازه مجرمان از تکنولوژی بالاتری برای آسیب زدن به شما استفاده میکنند. اما در مورد بیمارستانها به علت استفاده از تکنولوژیهای بالای آنها و تغییرات سریع آنها در ابزارهای خود بیشتر از دیگر سازمانها در معرض خطر هستند.
اهداف هکرها سیستم IT مراکز پزشکی به تازگی به اهداف بسیار مناسبی برای مجرمان سایبری تبدیل شده اند، دلیل آن این است که این روزها رجوع بیماران به این مراکز بیش از حد شده است و مراکز پزشکی اطلاعات بیماران را جمع آوری میکنند. از این رو اطلاعات شخصی و مالی بیماران است که مجرمان را برای فریب و کلاهبرداری تحریک میکند.
علاوه بر این ابزارهای پزشکی در حال آنلاین شدن و تکنولوژیهای به کار رفته در آنها در حال پیشرفت هستند. هکرها از این موقیعت استفاده میکنند و آسیب پذیریهای جدید را اکسپلویت میکنند و با به کار بردن باج افزارها، سیستم اطلاعات محرمانه یک سازمان را به خطر میاندازند. این حملات زندگی بیماران را به خطر میاندازد و هزینههای هنگفتی را برای یک مجموعه بالا میآورد. تصمیمگیری اغلب سازمانها در این شرایط پرداخت باج به منظور بازگرداندن اطلاعات مهم بیماران خود است.
متاسفانه آیندهای که ما در رابطه با سازمانها و هکرها پیش بینی میکنیم، چیزی شبیه بازی موش و گربه است. حادثههایی که اخیرا با حمله به بیمارستانهای ایالات متحده آمریکا و سراسر جهان رخ داد قطعا آگاهیهای لازم را در این زمینه به طور بالقوهای بالا برده است. اما متاسفانه اطلاع رسانیها در این موارد بسیار کم است و سازمانها خصوصا در ایران به این موارد توجهی ندارند و آنها را جدی نمیگیرند.
بهروزرسانی سیستمهای فناوری شواهد بسیار زیادی وجود دارد که نشان میدهد مجرمان سایبری سیستمهای قدیمی را مورد هدف حملات خود قرار میدهند و انتظار داریم که در عرض ۵ تا ۱۰ سال آینده ارائه دهندگان خدمات پزشکی برای امنیت بیشتری روی تکنولوژیهای خود سرمایه گذاری کنند.
چالش برای مدیران IT در این زمینه همیشه وجود داشته است. در مورد سیستمهای قدیمی و بروز نشده اغلب شکافهایی در آنها وجود دارد که دسترسی هکرها را به سیستمهای یک مجموعه مهیا میسازد. این سیستمها برای مدیریت دست و پا گیر و دشوار هستند. در بسیاری از موارد، تولید کنندگان اجزای سیستمها برای محصولات خود پشتیبانی لازم را در نظر میگیرند. به عنوان مثال، شرکت مایکروسافت از ویندوز XP که چندین سال است استفاده چندانی از آن نمیشود، پشتیبانی میکند. این بدان معنی است که این نرم افزار دیگر بروزرسانی یا پتچ برای امنیت نرم افزار را نمیدهد.
سیستمهای قدیمی، به ویژه آنهایی که یک دهه از متوقف شدن تولید آنها میگذرد، بشدت آسیب پذیر هستند و هیچ تضمینی برای امنیت آنها وجود ندارد. مطمئنا جایگزینی سیستمهای قدیمی با سیستمهای مدرن راهکاری مناسب برای جلوگیری از هک مجرمان توسط آسیب پذیریهای درون سیستم است.
اینترنت اشیای قابل هک با گذشت زمان و پیشرفته شدن تکنولوژی، تجهیزات پزشکی بحرانی تر و دستگاهها به سمت دنیای آنلاین در حرکت هستند. این پیشرفت باعث میشود که امنیت تا حد بسیار زیادی به خطر بیافتد و مجرمان کنترل کامل سیستم را به دست گیرند و عواقب جبران ناپذیری را به جا بگذارند. همانطور که مردم به دستگاههای پزشکی وابسته هستند و زنده ماندن بیماران کاملا به آنها مرتبط است، امنیت اینترنت اشیاء اولویتی بالاتر از آن است و نباید آن را نادیده گرفت. اگر که نمیتوان به طور موثری آنها را خنثی کرد بهتر است راهکارهایی برای پیشگیری از آنها در نظر گرفت تا میزان خطر را به حداقل رساند.
متاسفانه بسیاری از مشکلات نرمافزارهای دستگاههای پزشکی را نمیتوان با یک پتچ ساده برطرف ساخت و به جای آن نیاز است تا دستگاه دوباره با مهندسی خاصی تعمیر شود و متاسفانه این کار زمانبر است. شاید برقراری امنیت در بیمارستان بهتر از هدر دادن زمان و هزینههای هنگفتی است که در نهایت به جیب مجرمان ختم خواهد شد. حدود ۲ سال گذشته، یک محقق امنیتی دستگاه پمپهای تزریق Hosoira (مرکز جهانی دارویی و تجهیزات پزشکی در آمریکا) را که در دهها هزار از بیمارستانهای سراسر جهان پخش شده بود را تست کرد. نتایج نگران کننده بود: پمپهای تزریق مواد به او اجازه تغییر تنظیمات و بالا بردن محدودیت دوز را میداد. در نتیجه مجرمان میتوانستند از طریق تزریق دارو، دوز بیشتر یا کمتری را به بدن بیمار وارد کنند. جالب اینجاست که این دستگاهها بعنوان دستگاههای بدون خطا تبلیغ میشدند!
یکی دیگر از دستگاههای آسیب پذیری که این محقق متوجه آن شد Pyxis SupplyStation بود که ساخت شرکت CareFusion بود. این سیستم برای سهولت در حسابهای توزیع کنندگان دستگاههای پزشکی میباشد. در سال ۲۰۱۴ او متوجه باگی در سیستمها شد که به هر کسی اجازه ورود به سیستم را میداد. این نتایج هوشمندی مجرمان و تسلط کامل آنها به سیستمهای مجهز را نشان میدهد.
محافظت از دادهها بیمارستانها برای بهبود شیوههای کار خود نیازمندند تا خطای انسانی را به حداقل میزان خود برسانند. در اکثر بیمارستانها اشتراک گذاری پسوردها و بی اعتنایی به موارد امنیتی به کرات دیده میشود که این مسئله میتواند خطرات بسیار زیادی را برای یک مجموعه بسیار بزرگ به همراه داشته باشد. بهترین و کارآمدترین راه برای برقراری امنیت در چنین سازمانهایی استفاده از دستگاههای مدرن و سالم است، هر گونه باگ در سیستم میتواند فرصتی مناسب برای حملهای از جانب مجرمان باشد.
عمر تجهیزات پزشکی بسیار طولانی تر از چرخه عمر گوشیهای هوشمند هستند و دهها سال برای تعویض یک قطعه گرانقیمت تجهیزات زمان نیاز است که در کل زمان زیادی نیست. علاوه بر این اگرچه دستگاههای اخیر نسبت به دستگاههای از رده خارج از آسیب پذیری کمتری برخوردارند اما با گذشت زمان(قدیمی شدن دستگاهها) و بدون پشتیبانی صحیح به دستگاههای پرباگ و عمدم توجه به آنها به دستگاههای قدیمی تبدیل خواهند شد.
راه معقولانه برای یک تولیدکننده دستگاههای پزشکی این است که هم یک تاریخ انقضا برای تجهیزات پزشکی و هم یک تاریخ انقضا برای امنیت سایبری دستگاههای خود تعیین کند.
بهروز نگه داشتن سیستم عاملها، مرورگرها و برنامههای کاربردی قدمی مفید است که میتواند در برقراری امنیت کمک بسزایی کند. استفاده از یک راهکار امنیتی بر روی تمام سیستمهای یک مجموعه یکی از مهمترین راهکارهایی است که هر سازمان در وهله اول باید به آن توجه کند.