امنیت سایبری تجهیزات پزشکی
امنیت سایبری تجهیزات پزشکی تولیدات شرکت های بزرگ با برندهای بین المللی درچند سال اخیر به شدت مورد تهدید واقع شده است (مشاهده لیست شرکتهای مورد حمله در مقاله) . ممکنه از خودتون بپرسین چرا این حملات به صورت آشکار گزارش نمی شه؟؟ خوب سوال خیلی هاست که در این مقاله در قسمت عدم هشدار تهدیدات امنیت سایبری تجهیزات پزشکی|تهدید یا سیاست می تونین بخونین. در این مقاله شیوه هک کردن پیس میکرها, پمپ تزریق دستگاه ام ار آی و شبکهای بیمارستانی برای شما توضیح داده شده است. مطمئن باشید مطالعه ی این مقاله 15 دقیقه ای دید بسیار وسیعی در حوزه امنیت سایبری تجهیزات پزشکی به شما خواهد داد.
اگه نکته ای بوده که از چشم ما جا مونده ممنون می شیم در قسمت کامنت های در زیر این پست بهمون بگین تا به متن اضافه کنیم.
مقدمه:
در دنیاییکه در هر لحظه طبق گزارش سایت معروف 10000 حمله سایبری صورت می گیرد حال زمان آن رسیده که بیش از پیش نگاهی دقیق تر به تجهیزات پزشکی داشته باشیم. با رونق بازار اینترنت اشیاء(IOT)، امنیت سایبری تجهیزات پزشکی نیز به یکی از موضوعات داغ تبدیل شده است. حتی درحالیکه ماههای گذشته این موضوع در مورد تجهیزات حوزه سلامت مغفول مانده بود اتفاقاتی که اخیراً رخداده است توجه عمومی را به آسیب پذیری سیستم های مرتبط در حوزه پزشکی جلب کرده است.
امروزه ایمپلنت ها و تعداد بسیار زیادی از وسایل پزشکی نظیر پیس میکرها و پمپ های انسولین به صورت متصل در شبکه دیده می شوند و قادر هستند تا اطلاعات وضعیت حاضر بیمار را انتقال به صورت آنلاین مخابره کنند. پیشرفتهای شگرف در زمینه سلامت بیماران، ناشی از پیشرفت های فناوری بوده ولیکن این نوع از پیشرفتها مخاطراتی را نیز به دنبال داشته است.
تجهیزات پزشکی هک شده می تواند کابوس جدیدی برای سلامت جامعه باشد. طبق آمار سایت alpinesecurity بین 10 تا 15 وسیله پزشکی مرتبط به شبکه در ایالت متحده آمریکا به ازای هر تخت در محیط بیمارستانی وجود دارد که خیلی هاشون نسبت به حملات آسیب پذیر می باشند. هنوز هم طیف گسترده از آسیب پذیری دستگاه ها و تجهیزات پزشکی متصل به شبکه ناشناخته مانده است.
بررسی موردی مشکلات امنیتی تجهیزات پزشکی معروفترین برندهای بین المللی
به دنبال بروز مشکل امنیتی در یکی از مدل پمپهای انسولین تولیدی توسط شرکت جانسو اند جانسون (Johnso & Johnson)، این شرکت با 114,000 بیمار در ایالات متحده و کانادا ارتباط برقرار کرد تا نسبت به خطر موجود اطلاع رسانی کند. آسیب پذیری ها درسیستم کنترل دیده شده بود به گونه ای که در صورت هک تجهیزات پزشکی، امکان استفاده از پمپ برای تزریق دوز مهلکی از انسولین به بیمار مهیا می گردید.
جی رادکلیف مشاور ارشد امنیتی و محقق در این زمینه نشان داده که در صورت عدم کدگذاری این دادهها از نظر فنی امکان دستیابی مخفیانه به اطلاعات و توقف تبادل اطلاعات و تغییر آنها وجود دارد.
عدم وجود سیستم کدگذاری نشان دهنده این است که طراحان ایمپلنتهای کاشتنی مسلئهی بسیار مهم امنیت سایبری تجهیزات پزشکی محصولاتشان را نادیده گرفته اند و تولیدکنندگان تجهیزات پزشکی هنوز در زمینه امنیت سایبری تجهیزات پزشکی به بلوغ نرسیده اند.
در واقع به دلیل توان پردازشی متوسط این نوع از وسیله ها اغلب امکان به کارگیری سیستم های محافظتی پیشرفته بر روی آنها وجود ندارد. شگفت آور اینکه سطح امنیت اشیاء متصل عموماً با نیازهای واقعی همخوانی ندارد.
بعضی از اشیاء متصل که ممکن است به عنوان صرفاً یک گجت باشند امنیت بالایی دارند درحالیکه وسایل پزشکی متصل در حالت کلی از امنیت بالا برخوردار نیستند هرچند امنیت رایانه برای یک دستبند متصل مورد استفاده توسط افراد در ورزشهای آخر هفته از دید استفاده کنندگان خیلی مهم هست ولی این دید در مورد دفیبریلاتورها و یا یک پمپ انسولین و یا یک پیس میکر وجود ندارد.
درست همانگونه که کاشتنی های پزشکی (implant) دارای باگهای امنیتی هستند در مورد تجهیزات بیمارستانی نیز این امر صادق است. نمونه مشهودی از این موارد در سال 2015 سازمان غذا و داروی ایالات متحده جمع آوری پمپ های تزریق Hospira را که توسط شرکت Symbiq ساخته شده بودند ابلاغ کرد.
باگ های امنیتی تجهیزات پزشکی
این پمپها قادر به تزریق دقیق دوزهای دارویی به بیماران بودند ولیکن مشخص گردید که دوزهایی که بایستی به بیماران تزریق گردد را می توان از راه دور و به وسیله شبکه کابلی و یا وایفای بیمارستان (WIFI) تغییر داد و این موضوع خطرات بالقوه مشهودی را برای بیماران ایجاد می کرد.
امروزه بخش اعظم تجهیزات پزشکی بیمارستانی به شبکه متصل هستند MRI و CT نظیر اسکنرهای و بنابراین به صورت بالقوه از آسیب پذیری در مقابل حمله هکرها رنج می برند. نقص امنیتی می تواند بخشهای قابل توجهی تجهیزات بیمارستانی را مورد حمله قرار دهد.
ما به محتوای فوق العاده شما ایمان داریم
در صورت تمایل به درج محتوای تخصصی تان با موضوعات مرتبط با تجهیزات پزشکی از طریق بخش تماس با ما در ارتباط باشید.
در سال 2015 گروه پاسخگویی اورژانسی (the Industrial Control Systems Cyber Emergency/ICS-CERT) که زیر نظر دپارتمان امنیت ملی ایالات متحده کارمی کند 14 حادثه امنیتی در بخش سلامت را طی یک سال گزارش کردند. در میان اخطارهای اعلام شده از سوی این مرجع نظارتی یک مورد مرتبط با سیستم مدیریت اطلاعات Philips نیز بوده است.
چنین دستگاه هایی به صورت بالقوه هدفی برای هکرهای رایانه ای هست که ممکن است منجر به توقف فعالیت چنین دستگاههای گران قیمتی شده و به دنبال آن بیمارستان با نامه های الکترونیکی سیاه برای اخاذی مواجه شود. سیستم ها باید از ابتدا ایمن باشند درحالیکه امنیت تجهیزات هنوز به طور مشهودی ناکافی و مغفول مانده است اکنون اشیاء در حال تغییر هستند. از طرف دیگر زمانی که متخصصان موارد نقض امنیتی را آشکار می کنند، انتشار آنها در رسانه ها موجب می شود که مشکلاتی در کسب وکار تولیدکنندگان مرتبط به وجود بیاید.
اجازه بدین نگاه دقیقتری به 5 وسیله مورد هک واقع شده تجهیزات پزشکی داشته باشیم و با اقدامات امنیتی انجام شده به منظور رفع این آسیب پذیری ها آشنا شویم.
هک پیس میکرها PACEMAKERS
ایده هک پیس میکر ها در سال 2012 توسط برنامه محبوب تلوزیونی Homeland برسر ایده ها افتاد. بعد از آن نایب رئیس ریاست جمهوری آمریکا”Dick Cheney” و متخصص کاردیولوژیست وی امکانات وایرلس پیس میکرقلب وی رو با سفارش به کارخانه تولید کننده غیرفعال نمودند.
سازمان غذا و دارو آمریکا FDA دستور بازگشت 465,000 واحد محصولات شرکت ABBOT (تولیدکننده پیس میکرهای قلبی) رو صادر کرد.
پایش از راه دور (Remote Monitoring) مورد استفاده در اخیر نسل از دستگاه های پیس میکر که به منظور بررسی متخصص قلب و عروق برای درمان مورد استفاده می باشد برعکس باعث شده است پیس میکرها گزینه ای ایده آل برای مورد هک واقع شدن باشند.
پیس میکرها چگونه هک می شوند؟
پیس میکرها با دارا بودن باتری برای انجام عمل شبیه سازی ضربان سازی قلب در معرض تهدید خالی شدن باتری و یا ضربان سازی بیش از حد توسط هکرها می توانند واقع شوند.
هک پمپ تزریق – DRUG INFUSION PUMPS
پمپ تزریق وسیله ایست که برای مدیریت بهتر تزریق مواد مغذی انسولین وآنتی بیوتیک ها داروهای شیمی درمانی و مسکنها به کار می رود.چندین مورد گزارش آسیب پذیری در پمپهای تزریق دارو گزارش شده است.
در ماه سپتامبر 2017 تیم کنترل امنیت صنایع ضروری موسوم به (the Industrial Control Systems Cyber Emergency/ICS-CERT) مشکلاتی را در زمینه پمپهای تزریق در بیمارستانهای آمریکا گزارش کرده اند. 8 مورد آسیب پذیری امنیتی در پمپ تزریق بی سیم مدفیوژن Medfusion مدل 4000 که محصول شرکت تجهیزات پزشکی Smiths Medical بخشی از این گزارش بوده است.
تهدید امنیتی گزارش شده حاکی از آن است که فرد مهاجم به صورت ریموت می تواند دسترسی غیرمجاری به عملکرد پمپ داشته و باعث تزریق دوز بیش از حد دارو و مرگ فرد مورد هدف در اثر OVERDOSE بشود.
خطاهای شدید امنیتی تشخیص داده شده:
- استفاده از نام کاربری و پسورد پیش فرض به منظور ایجاد ارتباط وایرلس درصورتیکه تنظیمات پیش فرض تغییر داده نشده باشند.
- نبود گواهی نامه های اعتبارسنجی امنیتی پمپ های تزریق رو در برابر حملات (MiTM-Man-in-the-middle) آسیب پذیر کرده است.
- عدم وجود اعتبارسنجی به هنگام ایجاد ارتباط FTP با پایگاه داده.
- باگ buffer overflow می تواند در جهت بهره برداری هکر برای اجرای ارتباط از راه دور برای تزریق کدهای دستوری مورد استفاده قرار بگیرد.
هک دستگاه تصویر برداری ام آر آی – MRI SYSTEMS
باج خواهی معمول ترین شیوه سوء استفاده از تجهیزات دستگاه های ام ار آی MRI می باشد. در می ماه سال 2017 کره شمالی محتمالا با استفاده از ابزار هکینگ به سرقته رفته (National Security Agency-NSA) برای آسیب رساندن به تجهیزات پزشکی آمریکا استفاده نمود. بااینحال مدارک نامشخصی از این حمله دردسترس است.
درکل 48 مورد بیمارستان در انگلستان و تعداد ناشناخته ای از زیرساختهای تجهیزات پزشکی آمریکا مورد حمله واقع شده اند . در یک مورد گزارش شده آن می توان به هک وسیله بسیار حساسی از تجهیزات رادیولوژی شرکت Bayer Medrad که به منظور تصویربرداری درمانی مورد استفاده قرار می گرفت اشاره کرد.
محصول شرکت bayer medrad اولین باری بود که تجهیزات پزشکی ای در ایالات متحده آمریکا مورد هک واقع شده بود. این محصول برای مانیتور کردن سامانه ای موسوم به “power injector” که برای ماده “contrast agent” که در بیمارستان برای ایجاد تضاد رنگی بین بافتها و تومورها و بهبود کیفیت تصاویر اسکنهای ام ار آی مورد استفاده قرار گرفته
شرکت bayer وقتیکه از مورد حمله واقع شدن آگاه گشت بسته ماکروسافت اش را برای تجهیزات تصویربرداری ارسال نمود. شرکت bayer به منظور ارائه خدمات پشتیبانی مستمر و جلوگیری از خاموش شدن دستگاهها پیشنهاد نمود تمام بیمارستانها با مرکز پشتیبانی فنی تماس برقرار کنند بااینحال این تهدید به صورت مستقیم سلامت بیماران را مورد تهدید قرار نداده بود و تنها باعث از کارافتادن تجهیزات برای مدت زمان طولانی شده بود که خود این ازکار افتادن تجهیزات بیمارستانی موجب نارضایتی بیماران , افزایش بارکاری پرسنل بخش های مربوطه و تاخیر زمانی در روند ارائه خدمات بهداشتی گردید.
هک شبکه های بیمارستانی -HOSPITAL NETWORKS
بزرگترین تهدید برای امنیت بیمارستان از کارافتادن کامل شبکه بیمارستانی می باشد. هکرهایی که از راه رشوه گیری اقدام به فعالییت می کنند در زمینه انتخاب بین یک بیمار و یا بیمارستان معمولا بیمارستان ها رو مورد تهدید خود قرار داده به گونه ای که چندین مورد حمله در سال های اخیر گزارش شده است از جمله آن می توان به حمله WannaCry که سرویس ملی سلامت در بریتانیا (NHS) رو مورد حمله قرار داده بود اشاره کرد.
این حملات با بهره گیری از خطاهای امنیتی موجود در سیستم عامل ماکروسافت به همه ما نشان داد بیمارستان ها تا چه اندازه در برابر این حملات ناکارآمد هستند.به علت شبکه بودن تجهیزات بیمارستانی زمانیکه شبکه بیمارستان مورد حمله قرار می گیرد تنها اطلاعات پزشکی بیمار مورد آسیب نخواهد بود. دسترسی فرد هکر مهاجم به اطلاعات بیمار می تواند باعث تغییر آن اطلاعات و آسیب زدن به روند درمانی افراد شود.
در ویدیوی زیر نگاهی تخصصی به پنج وسیله مورد هک واقع شده و دارای آسیب پذیری امنیتی مورد بررسی ویژه قرار گرفته شده است حتما مشاهده کنید.
عدم هشدار تهدیدات امنیت سایبری تجهیزات پزشکی|تهدید یا سیاست
شرکت Jude Medical به دنبال ادعای آسیب پذیری امنیت سایبری تجهیزات پزشکی در ایمپلنت های قلبی تولیدی اش با 5% افت در کسب وکارش مواجه گردید. مدیران شرکت اکنون براین واقعیت اذعان دارند که یک رسوایی در سطح رسانه ها به دنبال مرگ یک بیمار در اثر حمله سایبری ضربت کشند ای را بر پیکر کسب وکارشان فرود می آورد. متخصصان امنیت اعلام می کنند که گام اولی که طراحان تجهیزات بایستی طی کنند دربرگیرنده پارامترهای امنیت سایبری باشد نه اینکه در مراحل پایانی به فکر انجام آن باشند.
خلاصه و جمع بندی
اهمیت فزاینده امنیت سایبری تجهیزات پزشکی در حوزه سلامت با گسترش روز افزون فناوری ها و نوآوری های به روز و الزام کارآمدتر شدن سیستم های مراقبتی و تشخیصی در بیمارستان ها و کلینیک ها در آینده ای نه چندان دور نیاز مبرم شرکتهای تولیدکننده تجهیزات پزشکی به دپارتمان IT به منظور بررسی امنیت تولیداتشان خواهد بود.
قانون گذاری در حیطه تجهیزات متصل به شبکه به طرز مشهودی مغفول مانده است. افزایش آگاهی بین مردم فشار به تولیدکنندگان را برای مجهز شدن تجهیزات تولیدی شان در برابر حملات سایبری افزایش داده است. در اکتبر 2014 سازمان غذا و داروی ایالات متحده یک سری راهنمایی های کوتاه داخلی را در FDA در زمینه امنیت سایبری برای تجهیزات پزشکی تدوین نموده است.
نوشتن قوانین مربوطه روش های تایید و صدور گواهینامه برای تجهیزات پزشکی خواهد بود که در برگیرنده جنبه های امنیت سایبری تجهیزات پزشکی هستند. بیش از پیش نیز, نیاز به وضع قوانین و دستورالعمل های جامعی از طرف اداره کل تجهیزات پزشکی در این زمینه مورد نیاز خواهد بود. به منظور جلوگیری از ایجاد مشکل هک شدن تجهیزات و دستگاه های پزشکی تستهای نفوذ بایستی به عنوان یکی از گزینه های الزامی در دستور کار باشند. که این امر مهم فقط با ارتباط موثر بین تولیدکنندگان تجهیزات پزشکی سازمانهای نظارتی و قانون گذاری و محققین امنیت ممکن خواهد بود.
امیدوارم مقاله فوق دید جدیدی به شما در حوزه امنیت سایبری تجهیزات پزشکی داده باشد.
منابع بیشتر مطالعه برای شما:
بیوتک|ماهنامه انجمن علمی مهندسی پزشکی دانشگاه تهران
https://www.theguardian.com
https://www.wired.com
سلام خوشحالم که با شما آشنا شدم من کامران نوروزی ام. کارشناس ارشد تجهیزات پزشکی کنجکاو و عاشق نویسندگی داستان من دقیقا از زمانی شروع شد که با دنیای تجارت الکترونیک آشنا شدم از اون موقع تا حالا سعی کردم بهترین تجربه خرید و مشاوره آنلاین تجهیزات پزشکی رو به کاربران هاسپکسا منتقل کنم. و این داستان همچنان ادامه داره ….
[…] بعد از مطالعه این مقاله یک سری به مقاله “امنیت سایبری تجهیزات پزشکی” نیز […]