دستگاههایی که در حال حاضر در زمینه پزشکی بهکار میروند، یکی از نقاطی هستند که هکرها علاقه بسیار زیادی را به نفوذ و انجام کارهای مخرب در آنها دارند. حال طبق اخبار منتشر شده، کنگره آمریکا و سازمان غذا و دارو در هفته جاری گامهایی را برای کاهش این آسیبپذیریها برداشتند.
کنگره آمریکا از یک طرف با ارائه یک لایحه پیشنهاد و از طرفی دیگر هم سازمان غذا و دارو آمریکا با پیشنویس دستورالعملهای جدید برای سازندگان دستگاههای مخصوص پزشکی در مورد چگونگی ساخت آنها، سعی دارند تا میزان هکهای انجام شده را به حداقلیترین شکل ممکن برسانند و جان انسانهای زیادی را نجات دهند.
دستگاههایی مانند پمپ تزریق یا ماشینهای تصویربرداری که همواره به اینترنت متصل هستند، میتوانند که تبدیلی به یک از اصلیترین اهداف هکرها برای انجام فعالیتهای خرابکارانه باشند. هکرها با استفاده از این حملات میتوانند که دادههای بیماران را از بین ببرند یا حتی در بدترین حالت ممکن ایمنی آنها را مستقیما در معرض خطر قرار دهند. کارشناسان و محققان دنیای امنیت سایبری و حریم خصوصی همواره در حال کشف آسیبپذیریهایی در دستگاههای مورد استفاده در زمینه پزشکی هستند که هکرها بهوسیله آنها میتوانند سواستفادههای مورد نظر خود را انجام دهند.
سازمان غذا و دارو آمریکا که ما آن را بیشتر با نام FDA میشناسیم و دستگاههای پزشکی را تایید میکند، مدتها تلاش بود تا بهصورتی کامل به این مشکل رسیدگی نماید. این سازمان در سال 2014 بود که دستورالعملهایی را برای سازندگان دستگاههای پزشکی ارائه کرد که نشان میداد چگونه باید امنیت سایبری را قبل از آنکه تصمیم بگیرند تا آنها را به بازار بفرستند، تامین کنند. این سازمان سپس پیشنویش دستورالعملی را در سال 2018 ارائه کرد تا این شرکتها بهطور دقیقتری در مورد کارهایی که باید انجام دهند تا دستگاههایشان در برابر هکهای احتمالی مقاوم باشد، آگاهی یابند.
سوزان شوارتز، مدیر دفتر مشارکتهای استراتژیک و نوآوری در سازمان غذا و دارو آمریکا، طی مصاحبهای با رسانه The Verge گفت که این پیشنویش جدید جایگزین نسخه سال 2018 آن خواهد شد و براساس بازخورد تولیدکنندگان، کارشناسان فعال در زمینه امنیت سایبری و تغییرات ایجاد شده در زمینه علوم پزشکی است.
این دستورالعملهای جدید هنوز در مرحله پیشنویش قرار دارند و سازندگان دستگاهها تا زمانی که تغییرات مورد نظر در آنها با استفاده از بازخوردهای دریافت شده لحاظ نشود، آنها را وارد فاز عملیاتی نخواهند کرد. این دستورالعملهای جدید شامل چندین تغییر قابل توجه درمقایسهبا دستورالعملهای قبلی است که از مهمترین آنها میتوانیم به تاکید بر کل چرخه عمر یک دستگاه و توصیهای مبنیبر اینکه سازندگان دستگاهها باید یک لیست مربوط به مواد نرمافزاری یا همان SBOM را بههمراه دستگاه خود در اختیار کاربرانشان قرار دهند تا آگاهی آنها را در زمان استفاده از دستگاهی که خریداری کردهاند، بالاتر ببرد. برای درک بهتر این نمونه آخر بگذارید که مثالی را برای شما بزنیم: فرض کنید که در بیمارستانی بهصورت ناگهانی اشکال یا آسیبپذیری در نرمافزاری که روی یک دستگاه وجود دارد کشف میشود. اگر این شرکت لیست گفته شده را در اختیار داشته باشد، بهراحتیمیتواند متوجه شود که مثلا پمپ تزریق آنها از چه نرمافزاری استفاده میکند و با توجه به این موضوع مشکل گفته شده بهصورتی بهتر و سادهتر حل خواهد شد.
سازمان غذا و دارو آمریکا همچنین پیشنهادهای قانونی را در مورد امنیت سایبری تجهیزات پزشکی ارائه کرد و از کنگره آمریکا خواست تا با استفاده از آنها قوانین صریحتری را تصویب کند که دست این سازمان برای برخورد با خاطیان بازتر باشد. شوارتز در مورد این لایحه ارائه شده میگوید:
هدف ما این است تا قدرت بیشتری را برای مقاومت در برابر سواستفادههای سایبری یا نفوذهای انجام شده به تجهیزات پزشکی بالاتر ببریم. سازندگان دستگاههای پزشکی باید بتوانند که مشکلات نرمافزاری را بدون آسیب رساندن به عملکرد دستگاه بهروز کنند یا برای آنها پچهای امنیتی را منتشر نمایند.
تلاشهای سازمان غذا و دارو آمریکا با لایحهای که این هفته در کنگره آمریکا معرفی شد، تحت عنوان قانون حفاظت و تغییر مراقبتهای سلامت سایبری یا همان PATCH به تصویب خواهد رسید که برخی از پیشنهادها FDA را بهصورتی مدون ارائه میدهد. این لایه از سازندگان دستگاههای میخواهد برنامهای را برای رفع هرگونه مشکل در زمینه امنیت سایبری دستگاههای خود داشته باشند و برای دستگاههای جدید هم نیاز به SBOM دارند. اگر این لایحه تصویب شود، این عناطر به جای دستورالعملهای توصیه شده از طرف FDA، به مواردی که حتما باید رعایت شوند، تبدیل خواهده شد.
شوارتز میگوید:
این به ما قدرت اضافهتری را میدهد. این لایحه جدید برای اولین بار و بهصراحت میتواند که اقتداری را در زمینه امنیت سایبری بهوجود آورد و مستقیما به ایمنی تجهیزات پزشکی ارتباط دارد.
البته باید به این موضوع هم اشاره کنیم که این دستوالعملها و قانونهای جدید قرار است که روی دستگاههایی که از این به بعد به بازار عرضه خواهند شد تاثیر بگذارد و هیچ خبری از تغییری در وضعیت دستگاههایی که در حال حاضر در بازار میبینید، نیست! سازمان غذا و دارو آمریکا دستورالعملهایی دارد که در سال 2016 نوشته شده است و به ما نشان میدهد چگونه سازندگان دستگاهها باید مشکلات احتمالی مربوط به امنیت سایبری را در دستگاههای موجود خود که در حال حاضر در بازار دارند، برطرف کنند. شوارتز میگوید که سازمان غذا و دارو آمریکا برنامههای فعالی را برای بهروزرسانیهای این دستورالعمل ندارد، اما این چیزی است که در آینده به آن خواهیم پرداخت.
تمرکز این پیشنویش مربوط به دستورالعملهای جدید و فشار FDA برای قانونگذاری در مورد امنیت سایبری دستگاهها برای این است که مطمئن شود دستگاههای جدیدی که از بعد از تصویب آن به اینترنت متصل میشوند، درمقایسهبا دستگاههایی که از گذشته در بازار وجود داشتند و در آنها مشکلات امنیتی بسیار زیادی را میتوانستیم که پیدا کنید، وضعیت بهتری را دارند. او میگوید که ما میخواهیم دستگاههای فردا همان مشکلات امنیتی ارثی را نداشته باشند.