تواجه أنظمة الرعاية الصحية الرقمية اليوم هجمات إلكترونية لا هوادة فيها تستهدف مؤسسات الرعاية الصحية بالإضافة إلى الأجهزة الطبية التي يستخدمونها.
الطبيعة والحجم الحرجان لسوق الرعاية الصحية في الولايات المتحدة - تقديري التي تزيد قيمتها عن 3.5 تريليون دولار. في عام 2020 ، مع توقع نمو كبير - اجعله هدفًا مفضلًا للمتسللين. فانسون بورن أجرت دراسة استقصائية لشركة Sophos في أوائل عام 2021 ، استطلعت آراء 5,400 من صانعي القرار في مجال تكنولوجيا المعلومات في 30 دولة. كشفت الردود أن 34٪ من مؤسسات الرعاية الصحية تعرضت للهجوم من قبل برامج الفدية في العام السابق ، و 65٪ كانت ضحية بطريقة ما. نجحت فيروسات الفدية في تجميد بيانات 54٪ من أنظمة تكنولوجيا المعلومات. استخدمت حوالي 44٪ من الشركات المتضررة النسخ الاحتياطية لاستعادة بياناتها ، بينما انتهى الأمر بنسبة 34٪ بدفع فدية لاستعادة بياناتها.
دراسات أخرى أكثر إثارة للقلق. أبحاث الكتاب الأسود أشار إلى أن أكثر من 93٪ من مؤسسات الرعاية الصحية قد تعرضت للاختراق منذ الربع الثالث من عام 3 ، وأن 2016٪ لديها أكثر من خمسة خروقات للبيانات خلال نفس الإطار الزمني.
في عام 2020 ، طلب قراصنة الرعاية الصحية 4.6 مليون دولار في المتوسط لكل هجوم. من المتوقع أن يزداد هذا الرقم مع ازدياد قوة المتسللين. بشكل عام ، فإن انتهاكات بيانات الرعاية الصحية تكلف الصناعة بـ4 مليار دولار.
تأثير هذه الهجمات كبير. فمثلا، الخدمات الصحية الشاملة (UHS)، وهي منظمة رعاية صحية من قائمة Fortune 500 ومقرها في King of Prussia ، PA ، تعرضت للهجوم من قبل برنامج الفدية في سبتمبر 2020. تدير UHS 400 مرفق مستشفى في الولايات المتحدة والمملكة المتحدة ، وقام المتسللون بإغلاق أنظمة الهاتف للوصول إلى الكمبيوتر والسجلات الصحية الإلكترونية لجميع معهم. استغرق الإصلاح ثلاثة أسابيع ، وأبلغت UHS عن خسارة ما قبل الضريبة بقيمة 67 مليون دولار لهذا العام.
في حالة أخرى ، منع المتسللون الوصول إلى بيانات المركز الطبي بجامعة فيرمونت. كان الموظفون غير قادرين على استرداد السجلات الصحية الإلكترونية (EHRs) وبرامج الرواتب. كان لا بد من إعادة جدولة العمليات الجراحية. وقدرت الإيرادات المفقودة بنحو 50 مليون دولار.
تأتي الهجمات الإلكترونية في أشكال وأنماط مختلفة. غالبًا ما تتصدر برامج الفدية عناوين الأخبار. ومع ذلك ، يستخدم المتسللون أيضًا أنواعًا أخرى كثيرة من البرامج الضارة ، حيث يقومون بتثبيت برامج غير مرغوب فيها لإحداث اضطراب و / أو تلف.
تندرج الفيروسات متعددة الأشكال وبرامج التجسس والفيروسات الخفية وهجمات حصان طروادة جميعها ضمن فئة البرامج الضارة. يمكن للقراصنة أيضًا إحداث فوضى من خلال رفض الخدمة (DoS) وهجمات رفض الخدمة الموزعة (DDoS) والتصيد الاحتيالي وهجمات الرجل في الوسط والتنصت والمزيد.
قال مارك نايت ، مدير إدارة المنتجات المعمارية في Arm ، "يواجه قطاع الرعاية الصحية بعض التحديات الفريدة". "تحتاج بعض بياناتنا الشخصية إلى الحماية ، ولكن جعل هذه البيانات متاحة بشكل آمن للممارسين المعتمدين والمعدات أمر حيوي لتحسين نتائج الرعاية الصحية وزيادة كفاءة خدمات الرعاية الصحية المزدحمة. في الوقت نفسه ، يتزايد حجم البيانات المحفوظة عنا بسرعة ، والفوائد المحتملة للتكنولوجيا في الرعاية الصحية هائلة. عند البحث عن الحماية من الهجمات المحتملة ، تجدر الإشارة إلى أن الحلول المستخدمة في الرعاية الصحية مماثلة لتلك المستخدمة في الصناعات الأخرى التي تعتمد بشكل حاسم على تكنولوجيا المعلومات ".
الشكل 1: التهديدات المتزايدة للرعاية الصحية. مصدر: مركز لأمن الإنترنت
ضعف الجهاز الطبي
في حين أن حسابات القرصنة على الأجهزة الطبية قد تشبه حبكات الأفلام ، فإن القرصنة حقيقية للغاية ، وقد ثبت أن العديد من الأجهزة الطبية عرضة للهجمات الإلكترونية. ويشمل ذلك ضخ الأدوية ومضخات الأنسولين ، وأجهزة تنظيم ضربات القلب ، ومزيل الرجفان القابل للزرع (ICDs).
في أواخر عام 2019 ، أصدرت إدارة الغذاء والدواء الأمريكية ملف "عاجل / 11" تحذير لتنبيه المرضى ومقدمي الرعاية الصحية وموظفي المنشأة ، وكذلك الشركات المصنعة ، حول نقاط الضعف في الأمن السيبراني التي يقدمها مكون برنامج تابع لجهة خارجية. حددت شركة أمنية 11 نقطة ضعف ، تسمى "عاجل / 11" ، والتي تسمح للمهاجمين بالتحكم عن بعد في الجهاز الطبي وتعديل وظائفه العادية. قد تتأثر بعض إصدارات عدد من أنظمة التشغيل الشائعة ، وفقًا لإدارة الغذاء والدواء ، بما في ذلك:
- VxWorks (عن طريق Wind River)
- نظام التشغيل المضمن (OSE) (بواسطة ENEA)
- النزاهة (من جرين هيلز)
- ThreadX (بواسطة Microsoft)
- ITRON (بواسطة منتدى TRON)
- ZebOS (عن طريق ضخ IP)
في حين أن كل هجوم لا يؤثر على صحة المرضى ، فقد يرغب المتسللون في سرقة البيانات لتحقيق مكاسب مالية. يمكن أن يحدث ذلك بعدة طرق ، مثل الهندسة العكسية لجهاز طبي يستخدم مرة واحدة عن طريق إنشاء حل بديل لهزيمة تلك الميزة ذات الاستخدام الفردي.
قال سكوت بيست ، مدير تقنية مكافحة التلاعب في Rambus: "تركز نواقل الهجوم الرئيسية على النقاط الأمنية للأمن السيبراني ، بما في ذلك أجهزة الكمبيوتر المتصلة بالإنترنت ، وأجهزة الكمبيوتر المحمولة ، والأجهزة اللوحية ، والهواتف ، باستخدام هجمات التصيد والبرامج الضارة المثبتة من قبل المستخدم". يهدف ناقل الهجوم الثانوي إلى أجهزة الرعاية الصحية الإلكترونية ، مثل أجهزة مراقبة الجلوكوز ومحولات الطاقة بالموجات فوق الصوتية والأجهزة الطرفية التشخيصية الأخرى. هذه الأجهزة عرضة للتطفل والبرامج الضارة مثل أجهزة الكمبيوتر المحمولة ، لكنها أيضًا عرضة لهجمات الاستنساخ وإعادة التصنيع. في هذا السياق ، لا توجد مخاطر مباشرة على سلامة المرضى فحسب ، بل هناك أيضًا مخاطر على تدفقات الإيرادات للشركات المصنعة للأجهزة الطبية الرائدة ".
في عام 2017 ، أعلنت إدارة الغذاء والدواء الأمريكية (FDA) سحب بعض أجهزة تنظيم ضربات القلب التي صنعتها شركة أبوت (المعروفة رسميًا باسم "سانت جود ميديكال"). تتضمن الأسباب استنزافًا مبكرًا وسريعًا للبطارية وقلة الوقت بين أول تحذير باستنفاد البطارية بواسطة مؤشر الاستبدال الاختياري (ERI) ونهاية خدمة الجهاز (EOS). إذا تم اختراق أجهزة تنظيم ضربات القلب بهذه العيوب ، فمن المحتمل أن يتمكن المهاجم من استنزاف البطارية عن طريق ضبط الجهاز في وضع نقل ثابت. بالإضافة إلى ذلك ، يمكن للقراصنة استغلال عيوب جهاز تنظيم ضربات القلب للمطالبة بفدية.
على غرار التصميمات الإلكترونية الأخرى ، تستخدم الأجهزة الطبية البرامج والرقائق والمكونات الإلكترونية الأخرى. كما هو الحال مع أي إلكترونيات متصلة ، ليس من غير المألوف أن يكون للجهاز الطبي نقطة ضعف واحدة أو أكثر ، والتي قد تظهر في أي وقت خلال دورة حياته. لكن بالنسبة للأجهزة الطبية ، فإن هذه التهديدات لها آثار على السلامة.
قال أندرياس كويلمان ، الرئيس التنفيذي لشركة تورتوجا لوجيك ، "بالنسبة للأجهزة الطبية ، يلعب الأمن دورًا بسبب الأمان". "بالنسبة للشركات التي تصنع هذه الأجهزة ، لا يتعلق الأمر في الواقع بتكلفة تنفيذ الأمان. يتضمن الأمان في نهاية اليوم قرارًا تجاريًا غير مباشر يتضمن أشياء مثل المسؤولية وعمليات الاستدعاء المحتملة. ولكن في المجال الطبي ، يكون للأمن تأثير غير مباشر على السلامة ، كما أن السلامة مفهومة جيدًا للغاية. لذا ، سواء كان الأمر يتعلق بالخصوصية أو حماية السجلات الطبية بموجب قانون HIPAA ، فهناك تأثير مباشر على الأعمال ".
التعامل مع التهديدات
يشمل الأمن السيبراني في الرعاية الصحية ممارسة السرية والنزاهة والتوافر المقبولة عمومًا ("ثالوث وكالة المخابرات المركزية") المبدأ:
- لا يمكن الوصول إلى البيانات السرية أو تعديلها إلا من قبل المستخدمين المصرح لهم.
- يجب إدارة سلامة البيانات وتخزينها بطريقة لا يمكن لأي شخص تغييرها أو تعديلها عن طريق الخطأ أو بشكل ضار.
- يجب أن تكون البيانات متاحة للمستخدمين المصرح لهم. في حالة حدوث هجوم ببرنامج الفدية ، يجب حجب البيانات ورفض المستخدمين غير المصرح لهم.
يتطلب تحقيق ثالوث وكالة المخابرات المركزية عدة خطوات أساسية.
عقلية الأمن السيبراني: تحتاج مؤسسات الرعاية الصحية إلى تطوير عقلية الأمن السيبراني من أعلى إلى أسفل ، لأن الحماية الفعالة للبيانات والمعدات تمثل تحديًا متعدد الأجهزة ومتعدد الأنظمة. يتطلب ذلك استراتيجية شاملة شاملة ، بالإضافة إلى خطة استرداد في حالة وقوع هجوم ، مع تدريب منتظم للموظفين ، وإجراءات مناسبة ، مثل ممارسات كلمات المرور الجيدة لأنظمة مختلفة. الهدف هو الحفاظ على الضرر عند الحد الأدنى والتعافي في أقصر وقت ممكن.
الأمن حسب التصميم: يجب أن يكون الوصول إلى تكنولوجيا المعلومات محكومًا ومحدودًا. يجب أن يكون لدى المستخدمين المصرح لهم والأجهزة المصادقة فقط حق الوصول إلى الاتصالات والبيانات. بالنسبة لأنظمة تكنولوجيا المعلومات الجديدة ، يجب أن تحتوي طبقة التطبيق (الويب ، والتطبيقات السحابية ، واتصال الهاتف المحمول) على أمان مدمج.
قال Arm's Knight: "سيجد المهاجمون أي نقاط ضعف ، لذلك من الصعب المبالغة في تقدير التحدي". "مفتاح لجميع أنواع الأمان هو المصادقة القوية للمستخدمين والأجهزة. من الضروري أن يتم تحديد الأجهزة بشكل فريد ، وأن حالة كل جهاز (على سبيل المثال ، البرنامج أو البرنامج الثابت المثبت) ، يمكن جردها وقياسها والتحقق منها. يمكن أن يضمن ذلك تحديد جهاز مارق أو مخترق قبل أن يشكل تهديدًا لسلامة أو سرية البيانات أو شبكة الرعاية الصحية ككل. تُمكِّن معايير مثل PSA Certified مصنعي الأجهزة من إثبات إمكانية تحديد منتجاتهم والمصادقة عليها طوال دورة حياتهم ، مما يوفر أساسًا للضمان يمكّن عمليات النشر الموثوقة على نطاق واسع. بالإضافة إلى ذلك ، يمكن استخدام تقنيات العزل المتقدمة التي تدعم نموذج الحوسبة السرية ، مما يسمح بتقسيم قوي بشكل متزايد داخل أنظمة الرعاية الصحية. ستعمل العزلة الأقوى على تقليل المخاطر من المستخدمين المتميزين وتجعل الأمر أكثر صعوبة على المهاجمين الذين نجحوا في اختراق تطبيق ما لاستخدام هذا الأصل كمتجه لمهاجمة تطبيق أو نظام آخر ".
قدم Arm مؤخرًا هندسة الحوسبة السرية (CCA) ، والتي تحمي أجزاء من التعليمات البرمجية والبيانات من الوصول أو التعديل أثناء الاستخدام ، حتى من البرامج المميزة.
الضوابط والفحوصات الأمنية: تتوفر تقنية موثوقة للأمن السيبراني لكل من الأجهزة والبرامج ، ولكن منع الهجمات قد يؤدي إلى المزيد من الإجراءات الأساسية ، مثل التحديث الفوري للبرامج ، والبحث المنتظم عن نقاط الضعف والبرامج الضارة. تحدث العديد من الهجمات بسبب التأخير في تثبيت التصحيحات المعروفة. بالإضافة إلى ذلك ، يجب إجراء فحوصات أمنية لجميع برامج الجهات الخارجية ، خاصة تلك القادمة من سلسلة التوريد. في بعض الأحيان ، ينتهي الأمر بالبرامج المصابة من أحد الموردين بإصابة أنظمة تكنولوجيا المعلومات الخاصة بالمستخدم بالكامل.
تحتوي المعلومات الصحية المحمية ، أو PHI ، على سجلات طبية للمرضى ومعلومات خاصة أخرى. يتمثل أحد أهداف "ثالوث CIA" في حظر خروقات بيانات PHI ، على النحو المحدد في قاعدة خصوصية HIPAA، الأمر الذي يتطلب تدابير مناسبة لحماية المعلومات الصحية المحمية. كما تضع حدودًا وشروطًا لاستخدام هذه المعلومات والإفصاح عنها دون إذن من الفرد. لتحقيق أمان البيانات ، يجب على مؤسسات الرعاية الصحية ، كحد أدنى ، تشفير المعلومات الصحية المحمية في التخزين أو أثناء النقل ، وتخزين المعلومات الصحية المحمية على أنظمة داخلية آمنة أو في مواقع آمنة لا يمكن الوصول إليها إلا من قبل المستخدمين المصرح لهم.
التقليل من ضعف الجهاز الطبي: بالنسبة لمؤسسات الرعاية الصحية ، من المهم تثبيت الأجهزة الطبية من موردين مرموقين لديهم معرفة وممارسات أمنية جيدة.
بالنسبة لمصنعي الأجهزة الطبية ، من المهم مراعاة جميع قواعد تصميم الأمان ودمج الأمان في المراحل الأولى من التصميم. يتضمن ذلك عدم الثقة والتمهيد الآمن ، واستخدام خوارزميات التشفير للحماية من الدوائر المتكاملة المزيفة ، والحد من جمع البيانات ، والاحتفاظ بالبيانات لأقصر وقت ممكن لتقليل التعرض.
قال ستيف حنا ، المهندس المتميز في Infineon Technologies ، "تقع على عاتق مصنعي الأجهزة الطبية مسؤولية تطوير الأجهزة ببرامج وأجهزة مؤمنة من الألف إلى الياء". "الأجهزة المؤمنة ضرورية لحماية سلامة المرضى وبياناتهم بشكل موثوق أثناء التخزين والمعالجة. يجب أن يشتمل الجهاز على شرائح أمان تقوم بمصادقة وتشفير البيانات الحساسة ، بالإضافة إلى إنشاء وتخزين مفاتيح التشفير. بالإضافة إلى ذلك ، يجب أن تتحقق رقائق الأمان من سلامة البرامج والآلات والأجهزة لتحديد التلاعب واكتشاف التغييرات غير المصرح بها. فقط عندما تبني كل هذه الوظائف على جذر الثقة في الأجهزة ، يمكنك أن تكون واثقًا من أن الأجهزة الطبية آمنة. "
ولكن حتى مع أفضل الإجراءات الأمنية ، قد يتمكن المتسللون من الوصول.
قال تييري كوثون ، مدير المنتج التقني في Rambus Security: "أصبحت هجمات الرجل في الوسط أكثر شيوعًا". "يوفر الطلب المتزايد على الأجهزة الطبية اللاسلكية فرصًا جديدة للقراصنة للانخراط في الهجمات الإلكترونية. تأتي الهجمات بأشكال مختلفة ، بما في ذلك اعتراض البيانات السرية ، وإدخال التعليمات البرمجية الخبيثة ، واختطاف الجلسة ، ووقف نقل البيانات. قد يكون اكتشاف هجمات man-in-the-middle أمرًا صعبًا. مثال على ذلك هو إقران جهاز بلوتوث طبي. الأمر متروك لجهة تصنيع الجهاز للتأكد من أن الأمان مدمج. تشمل الاعتبارات تقليل نطاق اتصال Bluetooth ، إذا كان ذلك ممكنًا. يدعم بروتوكول Bluetooth أيضًا مفاتيح المرور أو أرقام التعريف الشخصية التي يجب على المستخدم إدخالها أثناء مرحلة الاقتران بين جهازي Bluetooth. سيؤدي ذلك إلى زيادة صعوبة اعتراض المتصنت لحركة المرور دون معرفة مفتاح المرور ، كما يتطلب واجهة فعلية لإدخال مفتاح المرور ".
المستقبل
في ديسمبر 2021 ، و مجموعة التخدير في ولاية أوريغون أعلنت (OAG) أنها تعرضت لهجوم إلكتروني في 11 يوليو. في 21 أكتوبر ، أبلغ مكتب التحقيقات الفيدرالي OAG أنه اكتشف حسابًا يخص HelloKitty ، وهي مجموعة قرصنة أوكرانية. احتوى الحساب على ملفات OAG للمرضى والموظفين. وفقًا لـ OAG ، من المحتمل أن يؤثر خرق البيانات على 750,000 مريض و 522 موظف حالي وسابق في OAG.
وتستمر الهجمات الأخرى ، غالبًا دون إشعار عام. لكن يعتقد معظم الخبراء أيضًا أن الهجمات الإلكترونية ستزداد سوءًا ، مما يتسبب في حدوث اضطرابات كبيرة في الرعاية الصحية نفسها ، وخسائر في الإيرادات بين مقدمي الخدمة ، ويزيد من الضغط على مطوري الأجهزة والبرامج والأنظمة للتصميم في مجال الأمان منذ البداية.
الموارد
محتوى تقديمات ما قبل التسويق لإدارة الأمن السيبراني في الأجهزة الطبية (2018)
مسودة إرشادات إدارة الغذاء والدواء الأمريكية لموظفي الصناعة والأغذية والأدوية ، أكتوبر 2018
إدارة ما بعد البيع للأمن السيبراني في الأجهزة الطبية (2016)
إرشادات إدارة الغذاء والدواء الأمريكية (FDA) لموظفي الصناعة والأغذية والأدوية ، ديسمبر 2016
خطة عمل سلامة الأجهزة الطبية: حماية المرضى وتعزيز الصحة العامة
ادارة الاغذية والعقاقير الامريكية
