تضاعف الخطورة عند الإصابة بالمرض: المعدات الطبية معرضة للاختراق

يونيو 17, 2016

وراء كل هجوم إلكتروني نفس الغرض تقريباً، ألا وهو الاستيلاء على أموال الناس. وبالرغم من ذلك -ونظراً لإمكانية الاتصال بمجموعة كبيرة من الأجهزة- فإن اختراق الأجهزة يمكن أن يؤدي إلى عواقب أكثر خطورة من فقدان المال. فماذا عن صحة الإنسان وحياته؟

getting-sick-featured

خير مثال يؤخذ هنا لتوضيح كيف يمكن لجهاز أن يسبب خطراً بالغاً على الحياة وعلى أعضاء الإنسان هو السيارات المتصلة. حيث يمكن وبكل سهولة للمخترق الذي يتحكم في سيارة ذاتية القيادة أن يتسبب في حادثة. كما أن المعدات الطبية الذكية أيضاً عرضة للاختراق. فالأجهزة المعدة للحفاظ على صحتنا يمكن أن تُستخدم لأغراض معاكسة.

حتى اليوم، تعرفنا على كل الحالات الموثقة التي تسببت المعدات الطبية فيها بشكل مباشر بالإضرار بصحة الإنسان. غير أن الخبراء يسعون على نحو منتظم للكشف عن ثغرات جديدة في الأجهزة الطبية، بما في ذلك العيوب التي يمكن أن تُحدث ضرراً جسدياً بالغاً.

ولأن الاستيلاء على الأموال وإيذاء الناس جسدياً جريمتان متفاوتتان، يمكن للمرء أن يأمل أن المخترقين سيمتنعون عن اتخاذ مثل هذه الخطوات لأسباب أخلاقية، والأكثر احتمالاً أن المجرمين لم يتحولوا إلى اختراق الأجهزة الطبية لأنهم ببساطة لم يعرفوا -حتى الآن- كيف يحصلون على أرباح سهلة من مثل هذه الهجمات.

في الحقيقة، سبق وأن هاجم مجرمو الإنترنت المستشفيات مراراً وتكراراً باستخدام حصان طروادة “Trojans” وغيره من البرمجيات الخبيثة الشائعة. على سبيل المثال: في مطلع هذا العام، أصاب العديد من فيروسات الفدية المراكز الطبية في الولايات الأمريكية، منها “المركز الطبي المشيخي بهوليوود” في لوس أنجلوس.

دفع مستشفى لوس أنجلوس مبلغاً قدره 17،000 دولار مقابل استعادة تسجيلاته. ولكن عندما حاول “مستشفى كانساس للقلب” أن يفعل الشيء نفسه، رفض اللصوص استرجاع الملفات بل طالبوهم في المقابل بالمزيد من المال. وكما ترون، لا يمكننا الاعتماد على الواجبات الأخلاقية من أجل إيقاف المجرمين: سيفرح بعض الأشخاص دائماً بمهاجمة المنشئات الطبية من أجل الحصول على المال بطريقة سهلة.

يتعين فحص المعدات الطبية واعتمادها كمعدات طبية فقط، وليس كتقنية حاسوبية متصلة. يُوصَى بتلبية متطلبات الأمن الإلكتروني، ولكنها بطبيعة الحال تظل مسألة تقديرية من البائع. ونتيجة لذلك، يعاني الكثير من أجهزة المستشفى من عيوب واضحة، معروفة منذ زمن بعيد لدى المتخصصين في مجال تكنولوجيا المعلومات.

تنظم إدارة الغذاء والدواء التابعة للولايات المتحدة الأمريكية بيع الأجهزة الطبية بالإضافة إلى اعتمادها. وفي محاولة للتأقلم مع البيئة المتطورة المتصلة، أصدرت إدارة الأغذية والأدوية المبادئ التوجيهية للمصنعين، ومقدمي خدمات الرعاية الصحية من أجل أجهزة طبية أكثر أماناً. في مطلع عام 2016، تم نشر مسودة وثيقة مشتركة، ولكن ما زالت جميع التدابير استشارية؛ لذلك لا يزال الأمر غير إلزامي لتأمين الأجهزة الطبية التي لا غنى عنها في إنقاذ أرواح البشر.

 

إهمال قاتل

يمكن لمصنعي المعدات الاستعانة بخبراء الأمان على الإنترنت، ولكنهم في الحقيقة دائماً ما يفعلون خلاف ذلك، بل يتجنبون حتى إجراء الاختبارات على أجهزتهم. يجب أن يشتري الخبراء المعدات المستخدمة من تلقاء أنفسهم للكشف عن مدى جودة حفظها. على سبيل المثال، يقوم “بلي رايوس” -وهو يعلم جيداً الأجهزة المتصلة في الداخل والخارج- أحياناً بفحص الأجهزة الطبية.

منذ عامين تقريباً، قام “ريوس” باختبار مضخات تسريب هوسبيرا، حيث تم إرسالها إلى عشرات الآلاف من المستشفيات حول العالم. وكانت النتائج تنذر بالخطر: حيث إن مضخات حقن الأدوية جعلته يغير الأوضاع ويرفع سقف الجرعات؛ الأمر الذي استغله المجرمون في حقن المرضى بجرعات كبيرة أو صغيرة من الأدوية. ومن المفارقات، أن هذه الأجهزة تم الإعلان عنها على أنها معصومة من الخطأ.

وكان الجهاز الآخر المعرض للإصابة الذي اكتشفه ريوس هو نظام Pyxis SupplyStation الذي أنتجته شركة “كير فيوجين”. وتقوم هذه الأجهزة بتوزيع الإمدادات الطبية، كما أنها تسهل حفظ الحساب. وفي 2014، اكتشف “ريوس” عطلاً يسمح لأي شخص من خلاله دخول النظام.

وفي 2016، اتجه “ريوس” لنظام Pyxis SupplyStation مرة أخرى وكان هذه المرة مع صديق يدعى “مايك أحمدي” وهو خبير أمني، واكتشفا معاً أكثر من 1،400 نقطة ضعف، نصفها بالغة الخطورة. وبالرغم من إلقاء اللوم على مطوري برامج الجهات الخارجية بسبب هذا الكم الكبير من الأعطال، لم يقم الخبراء إلا بتحليل النموذج الأكبر من نظام Pyxis SupplyStation، ولا تزال نقاط الضعف هذه تثير القلق إلى حد كبير.

القضية هي أن هذه الحلول قد عفى عليها الزمن، وعلى الرغم من استخدامها على نطاق واسع، إلا أن المطورين لم يوفروا لها أي تصحيحات. توصي شركة “كير فيوجن” -وبدلاً من ذلك- بتهيئة العملاء لاستخدام إصدارات جديدة من المعدات. تتلقى المنظمات غير الراغبة في التطوير قائمة من النصائح حول كيفية تقليل مخاطر اختراق هذه الأنظمة.

يعد تحديث المعدات القديمة أمراً صعباً ومكلفاً. ولكن وعلى سبيل المثال عزَفَت شركة مايكروسفت بالفعل عن أنظمة التشغيل المثبتة على الأجهزة، الأمر الذي قد جعل تلك الأجهزة عرضة للاختراق بشكل أساسي. ولم تتعرض أحدث إصدارات نظام Pyxis SupplyStationعلى نظام التشغيل ويندوز 7 أو إصدار آخر لمثل هذه الأعطال.

زوّد معمل كاسبرسكي المستشفيات أيضاً باختبارات الهيكلة الإلكترونية: وتم استدعاء خبيرنا “سيرجي لوزكين” للمشاركة في التجربة واختراق المعدات الطبية، بما في ذلك جهاز الأشعة المقطعية.

وبطبيعة الحال، تم إجراء التجارب على الحالات المذكورة آنفاً، لتوضيح كم يسهل على المجرمين تكرار مثل هذا الأمر إذا رغبوا في ذلك، وليس لإحداث أي ضرر فعلي.

من المُلام هنا، وما الذي يجب فعله؟

تعد فترة استعمال الأجهزة الطبية أكبر كثيراً من دورة حياة هاتفك الذكي. كما لا تعد عشرات السنين فترة طويلة على الإطلاق للحصول على قطعة ثمينة من المعدات. علاوة على ذلك، وبالرغم من أن الأجهزة الحديثة أقل عرضةً للاختراق من الأجهزة القديمة، إلا أنها مع الوقت ومع غياب الدعم المناسب، ستصبح كثيرة الأخطاء مثلها مثل مثيلاتها الأقدم.

صرح “مايك أحمدي” قائلاً: “أعتقد أنه من المعقول بالنسبة لمصنّع جهازٍ طبي أن يحدد العمر الافتراضي لجهاز طبي، كما يحدد أيضاً معدل الأمان الافتراضي للأجهزة”.

يحتوي نظام Pyxis SupplyStation على جانب مشرق أيضاً، حقاً! تجاهل المطورون الأعطال الأولية التي اكتشفها “ريوس”، ولكن في وقت لاحق، قامت شركة “بيكتون ديكنسن” العملاقة بشراء هذه الشركة، كما أن إدارتها الجديدة ترى أن خبراء الفضاء السيبراني بها مختلفون تماماً. ربما تهتم الشركات في المستقبل اهتماماً أكبر باكتشاف الأعطال أكثر مما تفعله الآن. وربما قد يجرون اختبارات كبيرة عن مدى قابلية إصابة الأجهزة الجديدة قبل طرحها في الأسواق.