روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ این اجتناب ناپذیر است که گاهی اوقات در زندگی بیماری به سراغ ما بیاید و مجبور شویم به بیمارستان برویم و توسط پزشکان تحت مراقبت قرار بگیریم. سالهایی که پزشکان مشغول به تحصیل بودند باعث می شود تا ما به آنها اطمینان کنیم و همچنین این اعتماد را نسبت به دستگاههای پزشکی که دارای تکنولوژی بالا در جهت شناسایی بیماری و یا درمان هستند را نیز داریم. حاصل این کار هم این است که ما به تولیدکنندگان و توسعه دهندگان تجهیزات پزشکی اعم از بخشهای سخت افزاری و نرم افزاری و همچنین تنظیماتی را که مدیران سیستم انجام داده اند نیز اعتماد کرده ایم.
با پیشرفتهای سالهای اخیر، تجهیزات پزشکی بیشتر و بیشتر پیچیده تر شده اند و با بیمارستانها بیش از پیش اجین شده اند. همه این سنسورها و ماشین آلات هوشمند نیاز به مجموعه ای از نرم افزارها دارند. اما امنیت سایبری برای تولید کنندگان تجهیزات پزشکی در اولویت قرار ندارد به همین دلیل این دستگاهها با حفره های امنیتی روبرو هستند و اگر دارای اشکالات و نقاط آسیب پذیر باشند قابل نفوذ خواهند شد. اما آیا هک کردن بیمارستان کاری خطرناک است؟
حال با هک کردن یک بیمارستان چه اتفاقی می افتد؟
هر اتفاقی می تواند انجام گیرد.
اول از همه مجرمان اینترنتی می توانند به نرم افزارهای بیمارستان آسیبهای جدی وارد کرده و اطلاعات بیماران را به سرقت برده و شبکه بیمارستان را با نرم افزارهای مخرب آلوده کنند (و البته باز هم این بدترین اتفاق نیست.)
در این شرایط هکرها می توانند داده های بیماران را در پرونده های الکترونیکی تغییر دهند. به عنوان مثال می توانند نتیجه آزمایشات یک فرد سالم را به بیمار تبدیل کنند و یا بالعکس، میزان قدرت داروهای تجویز شده را تغییر دهند و کلا سلامت بیماران را با خطرات جدی روبرو کنند. هکرها همچنین می توانند تنظیمات دستگاههای پزشکی را تغییر دهند و این می تواند صدماتی جدی به این دستگاههای گران قیمت وارد کند و خطراتی جبران ناپذیر در جهت سلامت بیمارانی که با این تجهیزات تحت درمان هستند نیز بوجود آورند.
هر چیزی که در ذهن قرار دارد می تواند به واقعیت تبدیل شود
Sergey Lozhkin کارشناس لابراتوار کسپرسکی در اجلاس تحلیل امنیت سال 2016 نشان داد که چگونه توانسته است یک بیمارستان را هک کند.
Lozhkin یک روز با استفاده از موتور جستجوگر Shodan اطلاعات کاملی از تجهیزات پزشکی یک بیمارستان که مالک آن دوست وی بود را بدست آورد و آشنایی کاملی با آنها پیدا کرد. Lozhkin به صاحب بیمارستان گفت که تصمیم دارد به تجهیزات پزشکی بیمارستان برای امتحان نفوذ کند زیرا این کار برای هر هکری می تواند ممکن باشد.
این امتحان بدون اطلاع مدیران ارشد بیمارستان در دو روش جداگانه صورت گرفت. آخرین داده های بیماران با توجه به آسیبهای احتمالی قابل هک شدن بود.
اولین روش شکست خورد: Lozhkin نتوانست از راه دور بیمارستان را هک کند و ثابت شد که مدیران سیستم کار خود را بدرستی انجام داده اند.
اما پس از این Lozhkin به بیمارستان آمد و متوجه شد که می تواند به وای فای محلی بیمارستان دسترسی پیدا کند چون قبلا به درستی راه اندازی نشده بود. او موفق شد کلید شبکه را هک کند و تقریبا به هر اطلاعاتی از قبیل دستگاههای ذخیره سازی اطلاعات و تجزیه و تحلیل آنها دست پیدا کند. همچنین وی متوجه شد یک دستگاه توموگرافی گران قیمت (که برای عکسبرداری استفاده می شود) در داخل شبکه محلی قابل دسترس است. این دستگاه مقدار زیادی از داده ها را در خصوص بیماران دارا بود که قبلا توسط مدیریت سیستم برای آن ایجاد امنیت شده بود.
پس از اینکه نقاط آسیب پذیر سیستم مورد حمله قرار گرفت Lozhkin به تمام داده های سیستم این اسکنر دسترسی پیدا کرد. اگر Lozhkin یک مجرم واقعی سایبری بود و به همه چیز دسترسی پیدا می کرد قادر بود تمام داده های این اسکنر را تغییر دهد یا به سرقت برده و یا تخریب کند. وی حتی می توانست این دستگاه را از کار بیندازد.
به عنوان اولین اقدام Lozhkin توصیه می کند یک مدیر سیستم لایق هرگز نباید یک اسکنر توموگرافی و یا سایر تجهیزات مهم پزشکی از این دست را به یک شبکه عمومی متصل کند. اما باز هم این یک راه حل واقعی برای رفع اینگونه مشکلات نیست و تولیدکنندگان این دستگاهها باید سرزنش شوند. آنها باید بیشتر از این به امنیت سایبری این تجهیزات فکر می کردند.
چه کسی مقصر است و ما چه کاری می توانیم انجام دهیم؟
گزارش Lozhkin نشان داده است که چقدر باید در جهت تجهیزات پزشکی، امنیت سایبری را هم به کار بگیریم. در اینجا دو گروه از افراد وجود دارند که باید متوجه این خطرات باشند اولی تولیدکنندگان تجهیزات پزشکی و دومی مدیریت بیمارستانها می باشند.
تولیدکنندگان باید دستگاههای خود را مورد آزمایش امنیتی قرار بدهند و نقاط آسیب پذیر آن را پیدا کنند و اطمینان حاصل کنند که وصله های بروزرسانی در زمانهای درست انجام شوند. گروه مدیریت بیمارستان هم باید بیشتر به امنیت شبکه خود اهمیت بدهند که هیچ تجهیزات زیرساختی نتواند به شبکه عمومی متصل شود.
در نهایت هر دو گروه نیاز دارند تا امنیت اینترتی شان ممیزی شود. این می تواند یک آزمایش در جهت نفوذ به سیستمهای بیمارستان باشد و برای تولید کنندگان هم آزمونی امنیتی قبل از توزیع محصولات صورت بگیرد.
منبع: کسپرسکی آنلاین(ایدکو)
* کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکی، کسپراسکای، و یا کاسپراسکای نیز میشناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.