آیا دستگاه های پزشکی در برابر مجرمان سایبری محافظت می شوند؟

Plamena Entcheva-Dimitrov، PhD، RAC، بنیانگذار Preferred Regulatory Consulting و جوزف مدن، معاون فروش در Nova Leah، در مورد امنیت سایبری تجهیزات پزشکی در ایالات متحده بحث می کنند.

کارشناسان امنیتی می گویند “نه” و توضیح می دهند که اینترنت برای سهولت استفاده، برای همدستی، برای انتقال داده های بزرگ طراحی و توسعه یافته است، اما امنیت یک فکر بعدی بود. اف‌بی‌آی می‌گوید 90 درصد شرکت‌های آمریکایی در معرض حملات سایبری هستند. که تکان دهنده است! اما بدتر این است که دستگاه های پزشکی نجات دهنده و حامی زندگی یا حتی کل شبکه های مراقبت های بهداشتی می توانند هدف (خواسته یا تصادفی) چنین حملاتی باشند که جان افراد بی گناه را به خطر می اندازند.

معرفی

از آنجایی که دستگاه‌های پزشکی برای انجام عملکردهای اساسی خود یا تعامل با سایر دستگاه‌ها به اتصال شبکه وابسته می‌شوند، تلفن‌های هوشمند میزبان برنامه‌های پزشکی هستند و الگوریتم‌ها در فضای ابری ذخیره می‌شوند، دستگاه‌های پزشکی در برابر حملات سایبری آسیب‌پذیرتر می‌شوند. دستگاه‌های پزشکی همچنین دروازه‌ای به شبکه‌های بیمارستانی هستند که داده‌های حساس بیمار را ذخیره می‌کنند، مشکل را تشدید می‌کنند و نیاز به تقویت سیستم‌های امنیت سایبری برای دستگاه‌های پزشکی را تشدید می‌کنند.

زمینه

گروه های صنعتی به همراه کارشناسان FDA بیش از 20 سال است که روی تقویت امنیت سایبری تجهیزات پزشکی کار می کنند. آژانس‌های دیگر، مانند FCC، FBI، CISA، NIST نیز ذینفعان سیستم مراقبت‌های بهداشتی پیچیده‌تر هستند. مجموعه‌ای از رویدادها مانند پمپ‌های انسولین هک شده، سوابق سلامت شخصی به سرقت رفته و جاسوسی صنعتی در مطبوعات عادی شده‌اند. این حملات سایبری از طریق دستگاه های پزشکی که به بیمارستان، خانه یا شبکه های عمومی متصل هستند امکان پذیر می شود.

حمله سایبری چیست؟

حمله سایبری تلاشی برای دسترسی غیرمجاز به یک کامپیوتر یا شبکه کامپیوتری است. هیچ کس مصون نیست و فناوری پزشکی یکی از اهداف برجسته است. میانگین هزینه یک حادثه امنیت سایبری در بخش مراقبت های بهداشتی در سال 2022، 10.1 میلیون دلار بوده است. هزینه‌ها بسیار بیشتر از هزینه‌های پولی ساده است، بیمارستان‌هایی که یک حادثه امنیت سایبری را تجربه می‌کنند، ۲۰٪ گفتند که شاهد افزایش نرخ مرگ و میر در طول حمله بودند.

چندین نتیجه از یک حمله سایبری:

• انکار یا تخریب خدمات شبکه شما
• سرقت یا تخریب اطلاعات حیاتی
• آسیب فیزیکی زیرساخت ها

در زمینه پزشکی، چندین زمینه آسیب پذیری وجود دارد:

1. حمله به دستگاه‌های پزشکی یا سیستم‌های مراقبت‌های بهداشتی، که جان افراد را تهدید می‌کند – دستگاه‌های حامی حیات و زندگی تغییر می‌کنند یا غیرفعال می‌شوند، شبکه‌ها با از کار انداختن عملکردهای کلیدی یا ایجاد خاموشی به زانو در می‌آیند.
2. حمله به دستگاه های پزشکی یا سیستم های مراقبت های بهداشتی، که باعث از دست دادن، آسیب، به خطر انداختن اطلاعات سلامت شخصی – از دست دادن حریم خصوصی می شود.

هر یک از این موارد می‌تواند بر مراقبت‌های پزشکی، بیمارستانی و دستگاه‌های پزشکی خانگی ما تأثیر بگذارد، مانند دستگاه‌های تنفس مصنوعی، ضربان‌ساز، تجهیزات OR، پمپ‌های انفوزیون، سیستم نظارت بر ICU، دستگاه‌های گلوکز سنج، دستگاه‌های دیالیز و بسیاری موارد دیگر! بنابراین، FDA امنیت سایبری را به عنوان یک موضوع ایمنی حیاتی در نظر می گیرد. ارسال‌های جدید در حال حاضر باید تضمین معقولی را نشان دهد که دستگاه‌های پزشکی در برابر حملات سایبری محافظت می‌شوند. این اطمینان از طریق آزمایش در محیط های متغیر، از طریق اتصال سیمی یا بی سیم و با استفاده از ابزارهای مختلف به دست می آید.

برخی از موارد برجسته حملات امنیت سایبری عبارتند از:

• پمپ انسولین هک شده در سال 2012، زمانی که بیمار پمپ خود را هک کرد تا آسیب پذیری دستگاه را برجسته کند و پس از آن متوجه یک مشکل بزرگتر در پمپ های انسولین Medtronic شد.
• باج افزاری که پرتودرمانی را برای بیش از 200000 بیمار سرطانی تحت تأثیر قرار می دهد
• در سال 2021، آرمیس 9 آسیب پذیری حیاتی را در سیستم لوله پنوماتیک خود گزارش کرد که در 3000 بیمارستان در سراسر جهان استفاده می شود. این آسیب‌پذیری‌ها می‌توانند به مهاجمان اجازه دهند کنترل ایستگاه کاری را در دست بگیرند و حملات باج‌افزاری را انجام دهند.
• ضربان سازهای آسیب پذیر و دفیبریلاتورهای کاشته شده
• اطلاعات بهداشتی محافظت شده 1.4 میلیون بیمار به طور بالقوه در حمله باج افزار در جورجیا به خطر افتاده است.

همانطور که در مثال ها مشاهده می شود، خطرات حملات سایبری مخرب به دستگاه های پزشکی و زیرساخت های مراقبت های بهداشتی یک موضوع مرگ و زندگی است. بنابراین، برای تولیدکنندگان و برای ارائه دهندگان مراقبت های بهداشتی در کل بسیار مهم است که تجزیه و تحلیل ریسک مناسب را انجام دهند و این خطرات را در پیش بینی یک حمله سایبری کاهش دهند. تجزیه و تحلیل ریسک امنیت سایبری برای اولین بار توسط FDA در سال 2014 معرفی شد محتوای ارسالی قبل از بازار برای مدیریت امنیت سایبری در تجهیزات پزشکی. از آنجایی که دستگاه‌های پزشکی بیشتری به شبکه‌ها متصل می‌شوند، نیاز به انجام تجزیه و تحلیل ریسک امنیت سایبری و کاهش آن حیاتی‌تر شده است که منجر به صدور پیش‌نویس دستورالعمل جدید FDA در سال 2022 می‌شود. امنیت سایبری در تجهیزات پزشکی: ملاحظات سیستم کیفیت و محتوای ارسالی قبل از بازار.

تغییرات اخیر در قانون

الزامات به روز شده به شرح زیر است:

1. برنامه ریزی برای نظارت، شناسایی، و رسیدگی، در صورت لزوم، در زمان معقول، آسیب پذیری ها و سوء استفاده های امنیت سایبری پس از بازار، از جمله افشای آسیب پذیری هماهنگ و رویه های مرتبط.

2. طراحی، توسعه و حفظ فرآیندها و رویه‌ها برای ارائه اطمینان معقول از امنیت سایبری دستگاه و سیستم‌های مربوطه، و در دسترس قرار دادن به‌روزرسانی‌ها و وصله‌های پس از فروش برای دستگاه و سیستم‌های مرتبط برای آدرس‌دهی-

• در یک چرخه منظم قابل توجیه، آسیب پذیری های غیر قابل قبول شناخته شده؛ و
• در اسرع وقت از چرخه، آسیب پذیری های حیاتی که می تواند خطرات کنترل نشده ای ایجاد کند.

3. یک صورتحساب نرم افزاری از مواد، شامل اجزای نرم افزار تجاری، منبع باز، و غیرقابل عرضه ارائه دهید.

4. برای نشان دادن اطمینان معقول از امنیت سایبری دستگاه و سیستم های مربوطه، از سایر الزامات قابل اجرا پیروی کنید.

تاریخ های مهمی که باید در نظر داشته باشید

تاریخ لازم الاجرا شدن الزامات جدید 90 روز پس از تصویب لایحه، یعنی 29 مارس 2023 است.

همانطور که در بخش 3305 بیان شد، ظرف دو سال پس از تصویب قانون جدید، وزیر HHS (اگرچه FDA) و مدیر آژانس امنیت سایبری و امنیت زیرساخت (CISA) الزامات اطلاعاتی را که باید در ارسال‌های سایبری گنجانده شود، به‌روزرسانی خواهند کرد. دستگاه ها

ظرف 180 روز، یعنی 22 ژوئن 2023، FDA موظف است اطلاعات مربوط به بهبود امنیت سایبری دستگاه‌ها، از جمله شناسایی و رفع آسیب‌پذیری‌های سایبری برای ارائه‌دهندگان مراقبت‌های بهداشتی، سیستم‌های بهداشتی و سازندگان دستگاه‌ها را در اختیار عموم قرار دهد.

ظرف یک سال پس از تصویب این قانون، کنترل‌کننده کل موظف است گزارشی را منتشر کند که در آن چالش‌های موجود در امنیت سایبری دستگاه‌ها، از جمله دستگاه‌های قدیمی که ممکن است به‌روزرسانی‌های امنیتی نرم‌افزار خاصی را پشتیبانی نمی‌کنند، شناسایی کند.

نتیجه

دستگاه های پزشکی در حال پیچیده شدن هستند و به طور فزاینده ای به اتصال شبکه متکی هستند. خطرات حملات سایبری بر روی یا از طریق این دستگاه های پیچیده به طور تصاعدی افزایش یافته است، و آنها اغلب دروازه ای به شبکه های بیمارستانی هستند که داده های حساس بیماران را ذخیره می کنند، این مشکل را تشدید می کند و نیاز به تقویت سیستم های امنیت سایبری برای دستگاه های پزشکی را تشدید می کند. این آسیب‌پذیری‌های امنیت سایبری خطراتی را ایجاد می‌کند و داده‌های حساس بیمار را در معرض نمایش قرار می‌دهد که در نهایت باعث پیامدهای نامطلوب بیمار، آسیب‌های جدی یا در برخی موارد مرگ می‌شود. ارزیابی و کاهش خطرات سایبری برای دستگاه‌های پزشکی به بخش عمده‌ای از طراحی و توسعه فناوری‌های دستگاه‌های پزشکی متصل تبدیل شده است و مستندات دقیق باید از ابتدای هر پروژه تهیه شود، (۲) در موارد ارسالی FDA گنجانده شود و ( iii) پس از بازاریابی حفظ شود.