روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛در سال های اخیر، مراکز پزشکی و بیمارستان ها به طور فزاینده ای با خطرات سایبری مواجه شده اند. متاسفانه سازمان ها اغلب بودجه ی خود را به همه چیز غیر از پرداخت مبلغ ناچیزی برای برقراری امنیت اختصاص می دهند. مطمئنا اگر مقالات امنیتی ما را به صورت منظم دنبال کرده باشید متوجه شده اید که هکرها از هر راهی استفاده می کنند تا بتوانند به سرقت اطلاعات حساس سازمان ها بپردازند که این اطلاعات حساس و با ارزش در مراکز پزشکی، سوابق پزشکی بیماران است.

همانطور که تکنولوژی بیمارستان ها روز به روز تکامل می یابد، خطرات بیشتری هم آن ها را تهدید خواهد کرد، به طور ساده تر بخواهیم بگوییم هرچه شما از ابزارهای با تکنولوژی بالاتری استفاده کنید بیشتر در معرض خطر خواهید بود، زیرا به همان اندازه مجرمان از تکنولوژی بالاتری برای آسیب زدن به شما استفاده می کنند. اما در مورد بیمارستان ها به علت استفاده از تکنولوژی های بالای آن ها و تغییرات سریع آن ها در ابزارهای خود بیشتر از دیگر سازمان ها در معرض خطر هستند.

اهداف هکرها

سیستم IT  مراکز پزشکی به تازگی به اهداف بسیار مناسبی برای مجرمان سایبری تبدیل شده اند، دلیل آن این است که این روزها رجوع بیماران به این مراکز بیش از حد شده است و مراکز پزشکی اطلاعات بیماران را جمع آوری می کنند. از این رو اطلاعات شخصی و مالی بیماران است که مجرمان را برای فریب و کلاهبرداری تحریک می کند.

علاوه بر این ابزارهای پزشکی در حال آنلاین شدن و تکنولوژی های به کار رفته در آن ها در حال پیشرفت هستند. هکرها از این موقیعت استفاده می کنند و آسیب پذیری های جدید را اکسپلویت می کنند و با به کار بردن باج افزارها، سیستم اطلاعات محرمانه ی یک سازمان را به خطر می اندازند. این حملات زندگی بیماران را به خطر می اندازد و هزینه های هنگفتی را برای یک مجموعه بالا می آورد. تصمیم گیری اغلب سازمان ها در این شرایط پرداخت باج به منظور بازگرداندن اطلاعات مهم بیماران خود است.

متاسفانه آینده ای که ما در رابطه با سازمان ها و هکرها پیش بینی می کنیم، چیزی شبیه بازی موش و گربه است. حادثه هایی که اخیرا با حمله به بیمارستان های ایالات متحده ی آمریکا و سراسر جهان رخ داد قطعا آگاهی های لازم را در این زمینه به طور بالقوه ای بالا برده است. اما متاسفانه اطلاع رسانی ها در این موارد بسیار کم است و سازمان ها خصوصا در ایران به این موارد توجهی ندارند و آن ها را جدی نمی گیرند.

بروزرسانی سیستم های فناوری

شواهد بسیار زیادی وجود دارد که نشان می دهد مجرمان سایبری سیستم های قدیمی را مورد هدف حملات خود قرار می دهند و انتظار داریم که در عرض 5 تا 10 سال آینده ارائه دهندگان خدمات پزشکی برای امنیت بیشتری روی تکنولوژی های خود سرمایه گذاری کنند.

چالش برای مدیران IT در این زمینه همیشه وجود داشته است. در مورد سیستم های قدیمی و بروز نشده اغلب شکاف هایی در آن ها وجود دارد که دسترسی هکرها را به سیستم های یک مجموعه مهیا می سازد. این سیستم ها برای مدیریت دست و پا گیر و دشوار هستند. در بسیاری از موارد، تولید کنندگان اجزای سیستم ها برای محصولات خود پشتیبانی لازم را در نظر می گیرند. به عنوان مثال، شرکت مایکروسافت از ویندوز XP که چندین سال است استفاده ی چندانی از آن نمی شود، پشتیبانی می کند. این بدان معنی است که این نرم افزار دیگر بروزرسانی یا پتچ برای امنیت نرم افزار را نمی دهد.

سیستم های قدیمی، به ویژه آن هایی که یک دهه از متوقف شدن تولید آن ها می گذرد، بشدت آسیب پذیر هستند و هیچ تضمینی برای امنیت آن ها وجود ندارد. مطمئنا جایگزینی سیستم های قدیمی با سیستم های مدرن راهکاری مناسب برای جلوگیری از هک مجرمان توسط آسیب پذیری های درون سیستم است.

اینترنت اشیای قابل هک

با گذشت زمان و پیشرفته شدن تکنولوژی، تجهیزات پزشکی بحرانی تر و دستگاه ها به سمت دنیای آنلاین در حرکت هستند. این پیشرفت باعث می شود که امنیت تا حد بسیار زیادی به خطر بیافتد و مجرمان کنترل کامل سیستم را به دست گیرند و عواقب جبران ناپذیری را به جا بگذارند. همانطور که مردم به دستگاه های پزشکی وابسته هستند و زنده ماندن بیماران کاملا به آن ها مرتبط است، امنیت اینترنت اشیاء اولویتی بالاتر از آن است و نباید آن را نادیده گرفت. اگر که نمی توان به طور موثری آن ها را خنثی کرد بهتر است راهکارهایی برای پیشگیری از آنها در نظر گرفت تا میزان خطر را به حداقل رساند.

متاسفانه بسیاری از مشکلات نرم افزارهای دستگاه های پزشکی را نمی توان با یک پتچ ساده برطرف ساخت و به جای آن نیاز است تا دستگاه دوباره با مهندسی خاصی تعمیر شود و متاسفانه این کار زمانبر است. شاید برقراری امنیت در بیمارستان بهتر از هدر دادن زمان و هزینه های هنگفتی است که در نهایت به جیب مجرمان ختم خواهد شد.

حدود 2 سال گذشته، یک محقق امنیتی دستگاه پمپ های تزریق Hosoira (مرکز جهانی دارویی و تجهیزات پزشکی در آمریکا) را که در ده ها هزار از بیمارستان های سراسر جهان پخش شده بود را تست کرد. نتایج نگران کننده بود: پمپ های تزریق مواد به او اجازه تغییر تنظیمات و بالا بردن محدودیت دوز را می داد. در نتیجه مجرمان می توانستند از طریق تزریق دارو، دوز بیشتر یا کمتری را به بدن بیمار وارد کنند. جالب اینجاست که این دستگاه ها بعنوان دستگاه های بدون خطا تبلیغ می شدند!

یکی دیگر از دستگاه های آسیب پذیری که این محقق متوجه آن شد Pyxis SupplyStation بود که ساخت شرکت CareFusion بود. این سیستم برای سهولت در حسابهای توزیع کنندگان دستگاه های پزشکی می باشد. در سال 2014 او متوجه باگی در سیستم ها شد که به هر کسی اجازه ورود به سیستم را می داد. این نتایج هوشمندی مجرمان و تسلط کامل آن ها به سیستم های مجهز را نشان می دهد.

محافظت از داده ها

بیمارستان ها برای بهبود شیوه های کار خود نیازمندند تا خطای انسانی را به حداقل میزان خود برسانند. در اکثر بیمارستان ها اشتراک گذاری پسوردها و بی اعتنایی به موارد امنیتی به کرات دیده می شود که این مسئله می تواند خطرات بسیار زیادی را برای یک مجموعه ی بسیار بزرگ به همراه داشته باشد. بهترین و کارآمدترین راه برای برقراری امنیت در چنین سازمان هایی استفاده از دستگاه های مدرن و سالم است، هر گونه باگ در سیستم می تواند فرصتی مناسب برای حمله ای از جانب مجرمان باشد.

عمر تجهیزات پزشکی بسیار طولانی تر از چرخه عمر گوشی های هوشمند هستند و ده ها سال برای تعویض یک قطعه گران قیمت تجهیزات زمان نیاز است که در کل زمان زیادی نیست. علاوه بر این اگرچه دستگاه های اخیر نسبت به دستگاه های از رده خارج از آسیب پذیری کمتری برخوردارند اما با گذشت زمان(قدیمی شدن دستگاه ها) و بدون پشتیبانی صحیح به دستگاه های پرباگ و عمدم توجه به آن ها به دستگاه های قدیمی تبدیل خواهند شد.

راه معقولانه برای یک تولید کننده ی دستگاه های پزشکی این است که هم یک تاریخ انقضا برای تجهیزات پزشکی و هم یک تاریخ انقضا برای امنیت سایبری دستگاه های خود تعیین کند.

به روز نگه داشتن سیستم عامل ها، مرورگرها و برنامه های کاربردی قدمی مفید است که می تواند در برقراری امنیت کمک بسزایی کند. استفاده از یک راهکار امنیتی بر روی تمام سیستم های یک مجموعه یکی از مهمترین راهکارهایی است که هر سازمان در وهله ی اول باید به آن توجه کند.

منبع: کسپرسکی آنلاین(ایدکو)

*  کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکی، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.