آیا دستگاه های پزشکی در برابر مجرمان سایبری محافظت می شوند؟
Plamena Entcheva-Dimitrov، PhD، RAC، بنیانگذار Preferred Regulatory Consulting و جوزف مدن، معاون فروش در Nova Leah، در مورد امنیت سایبری تجهیزات پزشکی در ایالات متحده بحث می کنند.
کارشناسان امنیتی می گویند “نه” و توضیح می دهند که اینترنت برای سهولت استفاده، برای همدستی، برای انتقال داده های بزرگ طراحی و توسعه یافته است، اما امنیت یک فکر بعدی بود. افبیآی میگوید 90 درصد شرکتهای آمریکایی در معرض حملات سایبری هستند. که تکان دهنده است! اما بدتر این است که دستگاه های پزشکی نجات دهنده و حامی زندگی یا حتی کل شبکه های مراقبت های بهداشتی می توانند هدف (خواسته یا تصادفی) چنین حملاتی باشند که جان افراد بی گناه را به خطر می اندازند.
معرفی
از آنجایی که دستگاههای پزشکی برای انجام عملکردهای اساسی خود یا تعامل با سایر دستگاهها به اتصال شبکه وابسته میشوند، تلفنهای هوشمند میزبان برنامههای پزشکی هستند و الگوریتمها در فضای ابری ذخیره میشوند، دستگاههای پزشکی در برابر حملات سایبری آسیبپذیرتر میشوند. دستگاههای پزشکی همچنین دروازهای به شبکههای بیمارستانی هستند که دادههای حساس بیمار را ذخیره میکنند، مشکل را تشدید میکنند و نیاز به تقویت سیستمهای امنیت سایبری برای دستگاههای پزشکی را تشدید میکنند.
زمینه
گروه های صنعتی به همراه کارشناسان FDA بیش از 20 سال است که روی تقویت امنیت سایبری تجهیزات پزشکی کار می کنند. آژانسهای دیگر، مانند FCC، FBI، CISA، NIST نیز ذینفعان سیستم مراقبتهای بهداشتی پیچیدهتر هستند. مجموعهای از رویدادها مانند پمپهای انسولین هک شده، سوابق سلامت شخصی به سرقت رفته و جاسوسی صنعتی در مطبوعات عادی شدهاند. این حملات سایبری از طریق دستگاه های پزشکی که به بیمارستان، خانه یا شبکه های عمومی متصل هستند امکان پذیر می شود.
حمله سایبری چیست؟
حمله سایبری تلاشی برای دسترسی غیرمجاز به یک کامپیوتر یا شبکه کامپیوتری است. هیچ کس مصون نیست و فناوری پزشکی یکی از اهداف برجسته است. میانگین هزینه یک حادثه امنیت سایبری در بخش مراقبت های بهداشتی در سال 2022، 10.1 میلیون دلار بوده است. هزینهها بسیار بیشتر از هزینههای پولی ساده است، بیمارستانهایی که یک حادثه امنیت سایبری را تجربه میکنند، ۲۰٪ گفتند که شاهد افزایش نرخ مرگ و میر در طول حمله بودند.
چندین نتیجه از یک حمله سایبری:
- انکار یا تخریب خدمات شبکه شما
- سرقت یا تخریب اطلاعات حیاتی
- آسیب فیزیکی زیرساخت ها
در زمینه پزشکی، چندین زمینه آسیب پذیری وجود دارد:
- حمله به دستگاههای پزشکی یا سیستمهای مراقبتهای بهداشتی، که جان افراد را تهدید میکند – دستگاههای حامی حیات و زندگی تغییر میکنند یا غیرفعال میشوند، شبکهها با از کار انداختن عملکردهای کلیدی یا ایجاد خاموشی به زانو در میآیند.
- حمله به دستگاه های پزشکی یا سیستم های مراقبت های بهداشتی، که باعث از دست دادن، آسیب، به خطر انداختن اطلاعات سلامت شخصی – از دست دادن حریم خصوصی می شود.
هر یک از این موارد میتواند بر مراقبتهای پزشکی، بیمارستانی و دستگاههای پزشکی خانگی ما تأثیر بگذارد، مانند دستگاههای تنفس مصنوعی، ضربانساز، تجهیزات OR، پمپهای انفوزیون، سیستم نظارت بر ICU، دستگاههای گلوکز سنج، دستگاههای دیالیز و بسیاری موارد دیگر! بنابراین، FDA امنیت سایبری را به عنوان یک موضوع ایمنی حیاتی در نظر می گیرد. ارسالهای جدید در حال حاضر باید تضمین معقولی را نشان دهد که دستگاههای پزشکی در برابر حملات سایبری محافظت میشوند. این اطمینان از طریق آزمایش در محیط های متغیر، از طریق اتصال سیمی یا بی سیم و با استفاده از ابزارهای مختلف به دست می آید.
برخی از موارد برجسته حملات امنیت سایبری عبارتند از:
- پمپ انسولین هک شده در سال 2012، زمانی که بیمار پمپ خود را هک کرد تا آسیب پذیری دستگاه را برجسته کند و پس از آن متوجه یک مشکل بزرگتر در پمپ های انسولین Medtronic شد.
- باج افزاری که پرتودرمانی را برای بیش از 200000 بیمار سرطانی تحت تأثیر قرار می دهد
- در سال 2021، آرمیس 9 آسیب پذیری حیاتی را در سیستم لوله پنوماتیک خود گزارش کرد که در 3000 بیمارستان در سراسر جهان استفاده می شود. این آسیبپذیریها میتوانند به مهاجمان اجازه دهند کنترل ایستگاه کاری را در دست بگیرند و حملات باجافزاری را انجام دهند.
- ضربان سازهای آسیب پذیر و دفیبریلاتورهای کاشته شده
- اطلاعات بهداشتی محافظت شده 1.4 میلیون بیمار به طور بالقوه در حمله باج افزار در جورجیا به خطر افتاده است.
همانطور که در مثال ها مشاهده می شود، خطرات حملات سایبری مخرب به دستگاه های پزشکی و زیرساخت های مراقبت های بهداشتی یک موضوع مرگ و زندگی است. بنابراین، برای تولیدکنندگان و برای ارائه دهندگان مراقبت های بهداشتی در کل بسیار مهم است که تجزیه و تحلیل ریسک مناسب را انجام دهند و این خطرات را در پیش بینی یک حمله سایبری کاهش دهند. تجزیه و تحلیل ریسک امنیت سایبری برای اولین بار توسط FDA در سال 2014 معرفی شد محتوای ارسالی قبل از بازار برای مدیریت امنیت سایبری در تجهیزات پزشکی. از آنجایی که دستگاههای پزشکی بیشتری به شبکهها متصل میشوند، نیاز به انجام تجزیه و تحلیل ریسک امنیت سایبری و کاهش آن حیاتیتر شده است که منجر به صدور پیشنویس دستورالعمل جدید FDA در سال 2022 میشود. امنیت سایبری در تجهیزات پزشکی: ملاحظات سیستم کیفیت و محتوای ارسالی قبل از بازار.
تغییرات اخیر در قانون
الزامات به روز شده به شرح زیر است:
1. برنامه ریزی برای نظارت، شناسایی، و رسیدگی، در صورت لزوم، در زمان معقول، آسیب پذیری ها و سوء استفاده های امنیت سایبری پس از بازار، از جمله افشای آسیب پذیری هماهنگ و رویه های مرتبط.
2. طراحی، توسعه و حفظ فرآیندها و رویهها برای ارائه اطمینان معقول از امنیت سایبری دستگاه و سیستمهای مربوطه، و در دسترس قرار دادن بهروزرسانیها و وصلههای پس از فروش برای دستگاه و سیستمهای مرتبط برای آدرسدهی-
- در یک چرخه منظم قابل توجیه، آسیب پذیری های غیر قابل قبول شناخته شده؛ و
- در اسرع وقت از چرخه، آسیب پذیری های حیاتی که می تواند خطرات کنترل نشده ای ایجاد کند.
3. یک صورتحساب نرم افزاری از مواد، شامل اجزای نرم افزار تجاری، منبع باز، و غیرقابل عرضه ارائه دهید.
4. برای نشان دادن اطمینان معقول از امنیت سایبری دستگاه و سیستم های مربوطه، از سایر الزامات قابل اجرا پیروی کنید.
تاریخ های مهمی که باید در نظر داشته باشید
تاریخ لازم الاجرا شدن الزامات جدید 90 روز پس از تصویب لایحه، یعنی 29 مارس 2023 است.
همانطور که در بخش 3305 بیان شد، ظرف دو سال پس از تصویب قانون جدید، وزیر HHS (اگرچه FDA) و مدیر آژانس امنیت سایبری و امنیت زیرساخت (CISA) الزامات اطلاعاتی را که باید در ارسالهای سایبری گنجانده شود، بهروزرسانی خواهند کرد. دستگاه ها
ظرف 180 روز، یعنی 22 ژوئن 2023، FDA موظف است اطلاعات مربوط به بهبود امنیت سایبری دستگاهها، از جمله شناسایی و رفع آسیبپذیریهای سایبری برای ارائهدهندگان مراقبتهای بهداشتی، سیستمهای بهداشتی و سازندگان دستگاهها را در اختیار عموم قرار دهد.
ظرف یک سال پس از تصویب این قانون، کنترلکننده کل موظف است گزارشی را منتشر کند که در آن چالشهای موجود در امنیت سایبری دستگاهها، از جمله دستگاههای قدیمی که ممکن است بهروزرسانیهای امنیتی نرمافزار خاصی را پشتیبانی نمیکنند، شناسایی کند.
نتیجه
دستگاه های پزشکی در حال پیچیده شدن هستند و به طور فزاینده ای به اتصال شبکه متکی هستند. خطرات حملات سایبری بر روی یا از طریق این دستگاه های پیچیده به طور تصاعدی افزایش یافته است، و آنها اغلب دروازه ای به شبکه های بیمارستانی هستند که داده های حساس بیماران را ذخیره می کنند، این مشکل را تشدید می کند و نیاز به تقویت سیستم های امنیت سایبری برای دستگاه های پزشکی را تشدید می کند. این آسیبپذیریهای امنیت سایبری خطراتی را ایجاد میکند و دادههای حساس بیمار را در معرض نمایش قرار میدهد که در نهایت باعث پیامدهای نامطلوب بیمار، آسیبهای جدی یا در برخی موارد مرگ میشود. ارزیابی و کاهش خطرات سایبری برای دستگاههای پزشکی به بخش عمدهای از طراحی و توسعه فناوریهای دستگاههای پزشکی متصل تبدیل شده است و مستندات دقیق باید از ابتدای هر پروژه تهیه شود، (۲) در موارد ارسالی FDA گنجانده شود و ( iii) پس از بازاریابی حفظ شود.
لینک کوتاه مقاله : https://5ia.ir/UuqSyc
کوتاه کننده لینک
کد QR :
آخرین دیدگاهها