آسیب‌پذیری تجهیزات پزشکی آمریکا در برابر هکرها

به گزارش کارگروه امنیت سایبربان؛ پلیس فدرال امریکا (FBI) در ادامه‌ی هشدارهای مداوم آژانس امنیت سایبری و امنیت زیرساخت (CISA) در مورد آسیب‌پذیری دستگاه‌های پزشکی، هشدار داد. این اداره روز دوشنبه هشدار داد که صدها آسیب‌پذیری در دستگاه‌های پزشکی پرمصرف، دری را برای حملات سایبری باز می‌گذارد.

مرکز شکایات جرائم اینترنتی پلیس آمریکا طی اطلاعیه‌ای اعلام کرد که تعداد رو به رشدی از آسیب‌پذیری‌ها را شناسایی کرده که از دستگاه‌های پزشکی حاوی نرم‌افزارهای قدیمی و دستگاه‌هایی که فاقد ویژگی‌های امنیتی کافی هستند نشئت می‌گیرد.

پلیس فدرال امریکا به‌طور خاص به آسیب‌پذیری‌های موجود در پمپ‌های انسولین، دفیبریلاتورهای داخل قلب، دور سنجی سیار قلب، ضربان‌سازها و پمپ‌های درد داخل نخاعی اشاره کرد و گفت که هکرهای مخرب می‌توانند دستگاه‌ها را کنترل کنند و مقادیر قابل‌مشاهده را تغییر دهند، مصرف بیش‌ازحد دارو را تجویز کنند یا به هر نحوی سلامت بیمار را به خطر بیندازند.

در این هشدار آمده است:

عاملان تهدید سایبری که از آسیب‌پذیری‌های دستگاه‌های پزشکی سوءاستفاده می‌کنند، بر عملکرد عملیاتی، ایمنی بیمار، محرمانه بودن داده‌ها و یکپارچگی داده‌ها تأثیر منفی می‌گذارند. آسیب‌پذیری‌های دستگاه‌های پزشکی عمدتاً از طراحی سخت‌افزار دستگاه و مدیریت نرم‌افزار دستگاه ناشی می‌شوند. چالش‌های معمول شامل استفاده از پیکربندی‌های استاندارد، پیکربندی‌های تخصصی ازجمله تعداد قابل‌توجهی از دستگاه‌های مدیریت‌شده در شبکه، فقدان ویژگی‌های امنیتی تعبیه‌شده در دستگاه و همچنین عدم توانایی در ارتقای این ویژگی‌ها است.

اف بی آی خاطرنشان کرد که سخت‌افزار تجهیزات پزشکی اغلب برای بیش از 30 سال در برخی از مراکز بهداشتی مورد استفاده قرار گرفته و به مجرمان سایبری و عاملان دولتی زمان کافی برای کشف و سو استفاده از این ایرادات و اشکالات را می‌دهد. بسیاری از دستگاه‌های قدیمی که توسط بیمارستان‌ها و کلینیک‌ها استفاده می‌شوند دارای نرم‌افزار قدیمی نیز هستند؛ زیرا از پشتیبانی سازنده برای وصله‌ها یا به‌روزرسانی‌ها برخوردار نیستند و نیز بسیاری از دستگاه‌ها با در نظر گرفتن نکات امنیتی، طراحی نشده‌اند.

سپس این اطلاعیه سفید چندین گزارش از شرکت‌های امنیت سایبری را نقل می‌کند که بزرگی این مشکل را عیان می‌کنند؛ به‌ویژه اینکه حدود 53 درصد از تمام دستگاه‌های پزشکی متصل و سایر دستگاه‌های اینترنت اشیا (IoT) در بیمارستان‌ها، دارای آسیب‌پذیری‌های حیاتی شناخته‌شده‌ هستند.

بر اساس یک گزارش، به‌طور متوسط 6.2 آسیب‌پذیری در هر دستگاه پزشکی قابل‌مشاهده است و بیش از 40 درصد از دستگاه‌های پزشکی در مرحله پایانی عمر خود هستند که درنتیجه‌ی آن، وصله‌های امنیتی را یا دریافت نکرده و یا ارتقای محدودی دریافت می‌کنند.

این هشدار چند روز پس‌ازآن صادر شد که شرکت بین‌المللی مراقبت‌های بهداشتی بکستر (Baxter International) که چندین میلیارد دلار ارزش‌گذاری شده است، به مشتریان خود از چهار آسیب‌پذیری که بر پمپ‌های تزریق و باتری‌های وای فای آن‌ها تأثیر می‌گذارد اطلاع داد. آژانس امنیت سایبری و امنیت زیرساخت آمریکا نیز توصیه‌های خود را در مورد این مسائل منتشر کرد و این دومین موردی بود که هفته گذشته در مورد دستگاه‌های پزشکی منتشر شد.

در ماه مارس، محققان امنیتی شرکت پالو آلتو نتورکز (Palo Alto Networks) کشف کردند که بیش از یک‌صد هزار پمپ تزریق در معرض دو آسیب‌پذیری شناخته‌شده‌ای هستند که در سال 2019 اطلاعات مربوط به آن‌ها فاش شده بود.

پمپ‌های تزریق مدت‌هاست که عامل اصلی خشم کارشناسان و فروشندگان امنیت سایبری بوده است؛ چراکه بیش از یک دهه تلاش کرده‌اند تا امنیت خود را بهبود بخشند. پالو آلتو خاطرنشان کرد که سازمان غذا و دارو هفت فراخوان برای پمپ‌های تزریق یا اجزای آن‌ها در سال 2021 و 9 فراخوان دیگر را در سال 2020 اعلام کرده است.

سال گذشته، غول بهداشت و درمان آلمان، بی. براون (B. Braun)، چندین پمپ تزریق معیوب را پس‌ازاینکه شرکت مکآفی (McAfee) آسیب‌پذیری‌هایی را در آن‌ها کشف کرد که به مهاجمان امکان تغییر دوز دارو را می‌داد، به‌روزرسانی کرد.

سازمان‌های مراقبت‌های بهداشتی همچنان با موجی از حوادث باج افزاری و حملات سایبری روبرو هستند. شرکت امنیت سایبری پروف پوینت (Proofpoint)، هفته گذشته گزارشی منتشر کرد که نشان می‌داد 89٪ از متخصصان مراقبت‌های بهداشتی موردبررسی، حداقل یک حمله سایبری را در 12 ماه گذشته تجربه کرده‌اند.

بیش از 20 درصد از افرادی که مورد حمله قرار گرفته‌اند، شاهد افزایش نرخ مرگ‌ومیر بوده‌اند و بیش از نیمی از آن‌ها گفته‌اند که این حملات باعث اقامت طولانی‌تر بیمار، تأخیر در انجام دستورالعمل‌های درمانی و کاهش کلی کیفیت مراقبت شده است.