من أجهزة تنظيم ضربات القلب إلى الساعات الذكية ، أصبحنا على نحو متزايد من الأنواع الإلكترونية. هذا هو السبب في أن العناوين الرئيسية الأخيرة حول نقاط الضعف في الأجهزة الطبية المزروعة قد تدق أجراس الإنذار. هل يمكن اختراق جهاز تنظيم ضربات القلب لجدك حقًا ، وإذا كان الأمر كذلك ، فما هي مخاطر العالم الحقيقي؟
إنه سؤال يأتي في الوقت المناسب. نعم ، هناك تغييرات كبيرة في التكنولوجيا الطبية على قدم وساق – يمكن الآن للأجهزة القابلة للزرع الاتصال لاسلكيًا ، كما أن إنترنت الأشياء الطبي القادم (IoT) يجلب معه العديد من الأجهزة القابلة للارتداء لإبقاء مقدمي الرعاية الصحية والمرضى أكثر اتصالاً. لكن شركة كبرى لتصنيع الأجهزة الطبية تصدرت عناوين الأخبار ليس بها ثغرة أمنية خطيرة واحدة ، بل اثنتين.
تسلط نقاط الضعف الضوء على مخاطر القرصنة
في مارس الماضي ، حذرت وزارة الأمن الداخلي من أن المتسللين يمكنهم الوصول لاسلكيًا إلى أجهزة تنظيم ضربات القلب المزروعة التي تصنعها شركة مدترونيك . ثم ، بعد ثلاثة أشهر فقط ، سحبت شركة مدترونيك طواعية بعض مضخات الأنسولين لأسباب مماثلة.
على السطح ، هذا مرعب ، لكنه قد لا يكون سيئًا تمامًا كما يبدو. لا يمكن للقراصنة الوصول إلى أجهزة تنظيم ضربات القلب المزروعة من محطة نائية على بعد مئات الأميال أو شن هجمات واسعة النطاق. لاختراق أحد أجهزة تنظيم ضربات القلب هذه ، يجب تنفيذ الهجوم بالقرب من الضحية (ضمن نطاق البلوتوث) ، وفقط عندما يتصل الجهاز بالإنترنت لإرسال البيانات واستقبالها.
في حين أنه من غير المحتمل ، فإن الخطر حقيقي. صممت شركة مدترونيك بروتوكول الاتصال الخاص بالجهاز بحيث لا يتطلب أي مصادقة ولا يتم تشفير البيانات. لذلك ، يمكن لأي شخص لديه دوافع كافية تغيير البيانات الموجودة في الغرسة ، مما قد يؤدي إلى تعديل سلوكها بطريقة خطيرة أو حتى قاتلة.
مثل أجهزة تنظيم ضربات القلب ، يتم تمكين مضخات الأنسولين التي تم سحبها لاسلكيًا للاتصال بالأجهزة ذات الصلة ، مثل جهاز القياس ، الذي يحدد كمية الأنسولين التي يتم ضخها. لا تحتوي هذه العائلة من مضخات الأنسولين أيضًا على أمان مدمج ، لذلك تقوم الشركة باستبدالها بنموذج أكثر إدراكًا للإنترنت.
الصناعة تلعب دور اللحاق بالركب
للوهلة الأولى ، قد يبدو أن شركة مدترونيك هي الطفل الملصق لأمن مجهول وخطير (لم تستجب الشركة لطلبنا للتعليق على هذه القصة) ، لكنها بعيدة كل البعد عن كونها وحدها.
قال تيد شورتر ، رئيس قسم التكنولوجيا في شركة Keyfactor الأمنية لإنترنت الأشياء: “إن حالة الأمن السيبراني في الأجهزة الطبية سيئة بشكل عام”.
يشرح Alaap Shah ، وهو محام متخصص في الخصوصية والأمن السيبراني وتنظيم الرعاية الصحية في Epstein Becker Green: “لم يطور المصنعون المنتجات تاريخيًا مع وضع الأمان في الاعتبار”.
بعد كل شيء ، في الماضي ، للتلاعب بجهاز تنظيم ضربات القلب ، كان عليك إجراء عملية جراحية. تحاول الصناعة بأكملها اللحاق بالتكنولوجيا وفهم الآثار الأمنية. نظام بيئي سريع التطور – مثل إنترنت الأشياء الطبي المذكور سابقًا – يضع ضغوطًا أمنية جديدة على صناعة لم تكن بحاجة إلى التفكير في ذلك من قبل.
قال ستيف بوفولني ، كبير الباحثين في مجال التهديدات في شركة McAfee: “إننا نصل إلى نقطة انعطاف في نمو المخاوف المتعلقة بالاتصال والأمن”.
على الرغم من أن الصناعة الطبية بها نقاط ضعف ، إلا أنه لم يتم اختراق جهاز طبي في البرية.
قال شورتر: “لا أعرف أي ثغرات تم استغلالها”.
لما لا؟
وأوضح بوفولني أن “المجرمين ليس لديهم الدافع لاختراق جهاز تنظيم ضربات القلب”. “هناك عائد استثمار أكبر يلاحق الخوادم الطبية ، حيث يمكنهم الاحتفاظ بسجلات المرضى كرهائن باستخدام برامج الفدية. لهذا السبب يسعون وراء تلك المساحة – تعقيد منخفض ، ومعدل عائد مرتفع. ”
في الواقع ، لماذا الاستثمار في العبث بالأجهزة الطبية المعقدة عالية التقنية ، في حين أن أقسام تكنولوجيا المعلومات بالمستشفيات كانت تقليديًا محمية بشكل سيئ للغاية وتدفع بشكل جيد؟ في عام 2017 وحده ، أصيب 16 مستشفى بالشلل بسبب هجمات برامج الفدية . وتعطيل الخادم لا يحمل تهمة القتل إذا تم القبض عليك. ومع ذلك ، فإن قرصنة جهاز طبي مزروع يعمل أمرًا مختلفًا تمامًا.
الاغتيالات واختراق الأجهزة الطبية
ومع ذلك ، لم يخاطر نائب الرئيس السابق ديك تشيني بأي فرصة في عام 2012. عندما استبدل الأطباء جهاز تنظيم ضربات القلب القديم بنموذج لاسلكي جديد ، قاموا بتعطيل الميزات اللاسلكية لمنع أي اختراق. قال طبيب تشيني ، المستوحى جزئيًا من مؤامرة من البرنامج التلفزيوني “الوطن” ، “بدا لي أنها فكرة سيئة لنائب رئيس الولايات المتحدة أن يمتلك جهازًا ربما يكون شخص ما قادرًا على … داخل.”
تقترح ملحمة تشيني مستقبلًا مخيفًا يتم فيه استهداف الأفراد عن بُعد عبر الأجهزة الطبية التي تنظم صحتهم. لكن بوفولني لا يعتقد أننا على وشك أن نعيش في عالم خيال علمي حيث يقوم الإرهابيون بصعق الناس عن بعد من خلال العبث بالزرعات.
قال بوفولني: “نادرًا ما نرى اهتمامًا بمهاجمة الأفراد” ، مشيرًا إلى التعقيد المخيف للاختراق.
لكن هذا لا يعني أنه لا يمكن أن يحدث. ربما تكون مجرد مسألة وقت حتى يصبح شخص ما ضحية للقرصنة الواقعية على غرار المهمة المستحيلة. طور Alpine Security قائمة بخمس فئات من الأجهزة الأكثر عرضة للخطر. يأتي على رأس القائمة جهاز تنظيم ضربات القلب الموقر ، والذي قام بإجراء الخفض دون استدعاء Medtronic الأخير ، وبدلاً من ذلك نقلاً عن استدعاء عام 2017 لـ 465000 جهاز تنظيم ضربات القلب المزروع من قبل الشركة المصنعة Abbott . كان على الشركة تحديث البرامج الثابتة لهذه الأجهزة لإصلاح الثغرات الأمنية التي يمكن أن تؤدي بسهولة إلى وفاة المريض.
الأجهزة الأخرى التي يقلقها Alpine تشمل أجهزة تنظيم ضربات القلب القابلة للزرع (والتي تشبه أجهزة تنظيم ضربات القلب) ، ومضخات تسريب الأدوية ، وحتى أنظمة التصوير بالرنين المغناطيسي ، والتي ليست نزيفًا ولا يمكن زرعها. الرسالة هنا هي أن صناعة تكنولوجيا المعلومات الطبية لديها الكثير من العمل على لوحاتها لتأمين جميع أنواع الأجهزة ، بما في ذلك الأجهزة القديمة الكبيرة التي تكون مكشوفة في المستشفيات.
ما مدى أماننا؟
لحسن الحظ ، يبدو أن المحللين والخبراء يتفقون على أن وضع الأمن السيبراني لمجتمع مصنعي الأجهزة الطبية قد تحسن بشكل مطرد خلال السنوات القليلة الماضية. يرجع هذا جزئيًا إلى الإرشادات التي نشرتها إدارة الغذاء والدواء في عام 2014 ، جنبًا إلى جنب مع فرق العمل المشتركة بين الوكالات التي تغطي قطاعات متعددة من الحكومة الفيدرالية.
Povolny ، على سبيل المثال ، يتم تشجيعه على أن تعمل إدارة الغذاء والدواء مع الشركات المصنعة لتبسيط اختبار الجداول الزمنية لتحديثات الجهاز. “هناك حاجة إلى موازنة أجهزة الاختبار بما يكفي بحيث لا نؤذي أي شخص ، ولكن لا تستغرق وقتًا طويلاً حتى نمنح المهاجمين مدرجًا طويلاً جدًا للبحث وتنفيذ الهجمات على نقاط الضعف المعروفة.”
وفقًا لأنورا فرناندو ، كبير مهندسي الابتكار في UL لقابلية التشغيل البيني والأمن للأنظمة الطبية ، فإن تحسين أمان الأجهزة الطبية يمثل أولوية الآن في الحكومة. “تقوم إدارة الغذاء والدواء الأمريكية بإعداد إرشادات جديدة ومحسنة. وضع المجلس التنسيقي لقطاع الرعاية الصحية مؤخرًا الخطة الأمنية المشتركة. تعمل منظمات تطوير المعايير على تطوير المعايير وإنشاء معايير جديدة عند الحاجة. تواصل وزارة الأمن الوطني التوسع في برامج CERT وغيرها من خطط حماية البنية التحتية الحيوية ، ويتوسع مجتمع الرعاية الصحية ويتفاعل مع الآخرين لتحسين وضع الأمن السيبراني باستمرار لمواكبة مشهد التهديد المتغير “.
ربما يكون من المطمئن أن هناك الكثير من الاختصارات المتضمنة ، ولكن لا يزال هناك طريق طويل لنقطعه.
“في حين أن بعض المستشفيات لديها وضعية ناضجة للغاية فيما يتعلق بالأمن السيبراني ، لا يزال هناك الكثير ممن يكافحون لفهم كيفية التعامل حتى مع النظافة الأساسية للأمن السيبراني ،” قال فرناندو.
إذن ، هل هناك أي شيء يمكنك فعله أنت أو جدك أو أي مريض لديه جهاز طبي مزروع أو يمكن ارتداؤه؟ الجواب محبط بعض الشيء.
قال بوفولني: “لسوء الحظ ، يقع العبء على الشركات المصنعة والمجتمع الطبي”. “نحتاج إلى أجهزة أكثر أمانًا وتنفيذًا مناسبًا لبروتوكولات الأمان.”