دستگاه‌هایی که در حال حاضر در زمینه پزشکی به‌کار می‌روند، یکی از نقاطی هستند که هکرها علاقه بسیار زیادی را به نفوذ و انجام کارهای مخرب در آن‌ها دارند. حال طبق اخبار منتشر شده، کنگره آمریکا و سازمان غذا و دارو در هفته جاری گام‌هایی را برای کاهش این آسیب‌پذیری‌ها برداشتند.

کنگره آمریکا از یک طرف با ارائه یک لایحه پیشنهاد و از طرفی دیگر هم سازمان غذا و دارو آمریکا با پیش‌نویس دستورالعمل‌های جدید برای سازندگان دستگاه‌های مخصوص پزشکی در مورد چگونگی ساخت آن‌ها، سعی دارند تا میزان هک‌های انجام شده را به حداقلی‌ترین شکل ممکن برسانند و جان انسان‌های زیادی را نجات دهند.

دستگاه‌هایی مانند پمپ تزریق یا ماشین‌های تصویربرداری که همواره به اینترنت متصل هستند، می‌توانند که تبدیلی به یک از اصلی‌ترین اهداف هکرها برای انجام فعالیت‌های خراب‌کارانه باشند. هکرها با استفاده از این حملات می‌توانند که داده‌های بیماران را از بین ببرند یا حتی در بدترین حالت ممکن ایمنی آن‌ها را مستقیما در معرض خطر قرار دهند. کارشناسان و محققان دنیای امنیت سایبری و حریم خصوصی همواره در حال کشف آسیب‌پذیری‌هایی در دستگاه‌های مورد استفاده در زمینه پزشکی هستند که هکرها به‌وسیله آن‌ها می‌توانند سواستفاده‌های مورد نظر خود را انجام دهند.

سازمان غذا و دارو آمریکا که ما آن را بیشتر با نام FDA می‌شناسیم و دستگاه‌های پزشکی را تایید می‌کند، مدت‌ها تلاش بود تا به‌صورتی کامل به این مشکل رسیدگی نماید. این سازمان در سال 2014 بود که دستورالعمل‌هایی را برای سازندگان دستگاه‌های پزشکی ارائه کرد که نشان می‌داد چگونه باید امنیت سایبری را قبل از آنکه تصمیم بگیرند تا آن‌ها را به بازار بفرستند، تامین کنند. این سازمان سپس پیش‌نویش دستورالعملی را در سال 2018 ارائه کرد تا این شرکت‌ها به‌طور دقیق‌تری در مورد کارهایی که باید انجام دهند تا دستگاه‌هایشان در برابر هک‌های احتمالی مقاوم باشد، آگاهی یابند.

سوزان شوارتز، مدیر دفتر مشارکت‌های استراتژیک و نوآوری در سازمان غذا و دارو آمریکا، طی مصاحبه‌ای با رسانه The Verge گفت که این پیش‌نویش جدید جایگزین نسخه سال 2018 آن خواهد شد و براساس بازخورد تولید‌کنندگان، کارشناسان فعال در زمینه امنیت سایبری و تغییرات ایجاد شده در زمینه علوم پزشکی است.

این دستورالعمل‌های جدید هنوز در مرحله پیش‌نویش قرار دارند و سازندگان دستگاه‌ها تا زمانی که تغییرات مورد نظر در آن‌ها با استفاده از بازخوردهای دریافت شده لحاظ نشود، آن‌ها را وارد فاز عملیاتی نخواهند کرد. این دستورالعمل‌های جدید شامل چندین تغییر قابل توجه درمقایسه‌با دستورالعمل‌های قبلی است که از مهم‌ترین آن‌ها می‌توانیم به تاکید بر کل چرخه عمر یک دستگاه و توصیه‌ای مبنی‌بر اینکه سازندگان دستگاه‌ها باید یک لیست مربوط به مواد نرم‌افزاری یا همان SBOM را به‌همراه دستگاه خود در اختیار کاربرانشان قرار دهند تا آگاهی آن‌ها را در زمان استفاده از دستگاهی که خریداری کرده‌اند، بالاتر ببرد. برای درک بهتر این نمونه آخر بگذارید که مثالی را برای شما بزنیم: فرض کنید که در بیمارستانی به‌صورت ناگهانی اشکال یا آسیب‌پذیری در نرم‌افزاری که روی یک دستگاه وجود دارد کشف می‌شود. اگر این شرکت لیست گفته شده را در اختیار داشته باشد، به‌راحتی‌می‌تواند متوجه شود که مثلا پمپ تزریق آن‌ها از چه نرم‌افزاری استفاده می‌کند و با توجه به این موضوع مشکل گفته شده به‌صورتی بهتر و ساده‌تر حل خواهد شد.

سازمان غذا و دارو آمریکا همچنین پیشنهادهای قانونی را در مورد امنیت سایبری تجهیزات پزشکی ارائه کرد و از کنگره آمریکا خواست تا با استفاده از آن‌ها قوانین صریح‌تری را تصویب کند که دست این سازمان برای برخورد با خاطیان بازتر باشد. شوارتز در مورد این لایحه ارائه شده می‌گوید:

هدف ما این است تا قدرت بیشتری را برای مقاومت در برابر سواستفاده‌های سایبری یا نفوذ‌های انجام شده به تجهیزات پزشکی بالاتر ببریم. سازندگان دستگاه‌های پزشکی باید بتوانند که مشکلات نرم‌افزاری را بدون آسیب رساندن به عملکرد دستگاه به‌روز کنند یا برای آن‌ها پچ‌های امنیتی را منتشر نمایند.

تلاش‌های سازمان غذا و دارو آمریکا با لایحه‌ای که این هفته در کنگره آمریکا معرفی شد، تحت عنوان قانون حفاظت و تغییر مراقبت‌های سلامت سایبری یا همان PATCH به تصویب خواهد رسید که برخی از پیشنهاد‌ها FDA را به‌صورتی مدون ارائه می‌دهد. این لایه از سازندگان دستگاه‌های می‌خواهد برنامه‌ای را برای رفع هرگونه مشکل در زمینه امنیت سایبری دستگاه‌های خود داشته باشند و برای دستگاه‌های جدید هم نیاز به SBOM دارند. اگر این لایحه تصویب شود، این عناطر به جای دستورالعمل‌های توصیه شده از طرف FDA، به مواردی که حتما باید رعایت شوند، تبدیل خواهده شد.

شوارتز می‌گوید:

این به ما قدرت اضافه‌تری را می‌دهد. این لایحه جدید برای اولین بار و به‌صراحت می‌تواند که اقتداری را در زمینه امنیت سایبری به‌وجود آورد و مستقیما به ایمنی تجهیزات پزشکی ارتباط دارد.

البته باید به این موضوع هم اشاره کنیم که این دستوالعمل‌ها و قانون‌های جدید قرار است که روی دستگاه‌هایی که از این به بعد به بازار عرضه خواهند شد تاثیر بگذارد و هیچ خبری از تغییری در وضعیت دستگاه‌هایی که در حال حاضر در بازار می‌بینید، نیست! سازمان غذا و دارو آمریکا دستورالعمل‌هایی دارد که در سال 2016 نوشته شده است و به ما نشان می‌دهد چگونه سازندگان دستگاه‌ها باید مشکلات احتمالی مربوط به امنیت سایبری را در دستگاه‌های موجود خود که در حال حاضر در بازار دارند، برطرف کنند. شوارتز می‌گوید که سازمان غذا و دارو آمریکا برنامه‌های فعالی را برای به‌روزرسانی‌های این دستورالعمل ندارد، اما این چیزی است که در آینده به آن خواهیم پرداخت.

تمرکز این پیش‌نویش مربوط به دستورالعمل‌های جدید و فشار FDA برای قانون‌گذاری در مورد امنیت سایبری دستگاه‌ها برای این است که مطمئن شود دستگاه‌های جدیدی که از بعد از تصویب آن به اینترنت متصل می‌شوند، درمقایسه‌با دستگاه‌هایی که از گذشته در بازار وجود داشتند و در آن‌ها مشکلات امنیتی بسیار زیادی را می‌توانستیم که پیدا کنید، وضعیت بهتری را دارند. او می‌گوید که ما می‌خواهیم دستگاه‌های فردا همان مشکلات امنیتی ارثی را نداشته باشند.

منابع نوشته

theverge

برچسب‌ها

امنیت حمله سایبری

آمریکا قصد دارد تا مشکلات سایبری تجهیزات پزشکی را به‌صورتی کامل از بین ببرد

دیدگاهتان را بنویسید لغو پاسخ