برنامه 50 میلیون دلاری وزارت بهداشت آمریکا برای بهبود امنیت سایبری بیمارستانها

به گزارش کارگروه امنیت خبرگزاری سایبربان، این پروژه به عنوان بخشی از جستجوی فوری برای پاسخ به تهدیدات دیجیتالی صنعت مراقبت های بهداشتی است.

این وزارتخانه عنوان کرد که برنامه وصله کردن و اصلاح وصله جهانی و اصلاح برای دفاع خودمختار یا به اختصار، آپگرید (Remediation Universal Patching and Remediation for Autonomous DEfense (UPGRADE))، با هدف ایمن سازی کل سیستم ها و شبکه های دستگاه های پزشکی برای اطمینان از بکارگیری راه حل ها در مقیاس واقعی انجام می شود.

آژانس پروژه‌های تحقیقاتی پیشرفته برای سلامت (ARPA-H)، که این برنامه را اجرا خواهد کرد، از بخش خصوصی درخواست ایجاد یک پلتفرم نرم‌افزاری جهت کاهش آسیب‌پذیری و همچنین ایجاد سیستمی برای شناسایی خودکار آسیب‌پذیری‌ها، کرده است.

آنها همچنین می‌خواهند کپی‌های دیجیتالی از تجهیزات بیمارستانی را توسعه دهند که می‌توانند روی آن‌ها آزمایش شوند و در مواقع اضطراری به کار گرفته شوند، و همچنین دفاع‌های سفارشی برای بیمارستان‌ها که می‌توانند به طور خودکار ایجاد شوند.

اندرو کارنی، مدیر برنامه آپگرید در بیانیه‌ای تصریح کرد:

مدل‌سازی تمام پیچیدگی‌های سیستم‌های نرم‌افزاری مورد استفاده در یک مرکز مراقبت‌های بهداشتی خاص، چالش‌برانگیز است و این محدودیت می‌تواند بیمارستان‌ها و کلینیک‌ها را به طور منحصربه‌فردی در معرض حملات باج‌افزاری قرار دهد. با این برنامه، ما می‌خواهیم اقداماتی را که برای ایمن کردن تجهیزات بیمارستانی باید انجام شود، کاهش دهیم و تضمین کنیم که دستگاه‌ها ایمن و کاربردی هستند تا ارائه‌دهندگان مراقبت‌های بهداشتی بتوانند بر مراقبت از بیمار تمرکز کنند.

اعلام برنامه همزمان با یک حادثه سایبری مهم دیگر است که این بخش را تحت تأثیر قرار می دهد.

یک حمله سایبری به سیستم مراقبت های بهداشتی غیرانتفاعی اسنشن (Ascension) ده ها بیمارستان را مجبور کرده است که آمبولانس ها را کنار بگذارند و قرار ملاقات ها را لغو کنند، و چندین سازمان بهداشتی دیگر نیز در ماه گذشته حملات سایبری را اعلام کرده اند که مقامات کاخ سفید و اعضای کنگره را بر آن داشته تا ایده های قانونی برای نحوه برخورد با این حملات را مطرح کنند.

آندریا پالم، معاون وزیر بهداشت و سلامت اظهار کرد:

ما همچنان می بینیم که اکوسیستم مراقبت های بهداشتی کشورمان چقدر به هم پیوسته است و نحوه محافظت از بیماران و عملیات بالینی ما در برابر حملات سایبری چگونه است.

مقامات این وزارتخانه روز دوشنبه در بیانیه‌ای اعلام کردند که یکی از بزرگترین موانع برای بهبود ابزارهای امنیت سایبری در بخش بهداشت، تنوع دستگاه‌های متصل به اینترنت است که بسیاری از آنها را نمی‌توان برای وصله‌های امنیتی، آفلاین کرد.

به گفته وزارت بهداشت و خدمات انسانی ایالات متحده، وصله‌های دستگاه‌هایی که توسط بیمارستان‌ها و کلینیک‌ها استفاده می‌شوند نیز بیش از یک سال طول می‌کشد تا توسعه پیدا کنند، و آنها را برای مدت طولانی‌تری نسبت به اکثر محصولات مصرفی آسیب‌پذیر می‌کند.

سازمان هلث-ایساک (Health-ISAC)، یک سازمان به اشتراک گذاری اطلاعات برای بخش مراقبت های بهداشتی ایالات متحده، در گزارشی در سال 2023 بیان کرده بود که محققان نزدیک به هزار اشکال قابل بهره برداری را در محصولات پزشکی پیدا کرده اند.

این آژانس امیدوار است به نقطه ای برسد که اصلاحات را بتوان به طور خودکار تهیه یا توسعه داد، در محیط آزمایشی، امتحان کرد و با حداقل وقفه در دستگاه های مورد استفاده در بیمارستان مستقر نمود.

رنی وگرزین، مدیر آژانس پروژه‌های تحقیقاتی پیشرفته برای سلامت تصریح کرد که هدف این است که سیستم‌های مراقبت بهداشتی انعطاف‌پذیرتری ایجاد شود که بتوانند خود را در میان بحران‌ها حفظ کنند.

وگرزین در ادامه افزود:

آپگرید، زمان را از تشخیص آسیب‌پذیری دستگاه تا استقرار وصله خودکار و ایمن، تا چند روز تسریع می‌کند و به کارکنان بیمارستان اطمینان بیشتری داده و برای افرادی که تحت مراقبت هستند، آرامش خاطر ایجاد می‌کند.

آژانس پروژه‌های تحقیقاتی پیشرفته برای سلامت، اقدامات دیگری را در زمینه امنیت سایبری در گذشته آغاز کرده است، از جمله نوآوری امنیت دیجیتال سال گذشته با تمرکز بر ایمن سازی برنامه‌ها و دستگاه‌ها.