دستگاه‌های توالی‌‌یابی باید نسبت به حملات سایبری مقاوم‌سازی شوند

هنگامی از حملات امنیت سایبری خبرهایی را می‌شنوید، به احتمال زیاد به این فکر می کنید که در وسایل نقلیه معمولی مانند تلفن های همراه، کامپیوترها و حتی شبکه های دانشگاهی چنین حملاتی رخ می دهد. اما معمولا حمله سایبری به دستگاه توالی‌یابی نسل بعدی در آزمایشگاه چندان به ذهن خطور نمی‌کند. اما این دقیقاً همان چیزی است که سازمان غذا و داروی آمریکا (FDA) به تازگی درباره آن هشدار داده است.

سازمان غذا و داروی آمریکا در نامه‌ای به پرسنل آزمایشگاه و ارائه‌دهندگان مراقبت‌های بهداشتی در مورد آسیب‌پذیری امنیت سایبری که بر نرم‌افزار در ابزارهای توالی‌یابی نسل بعدی ایلومینا تأثیر می‌گذارد، هشدار داده است.

FDA می‌گوید یک کاربر غیرمجاز می‌تواند با در دست گرفتن کنترل ابزار از راه دور یا عملکرد سیستم برای تغییر تنظیمات، پیکربندی‌ها، نرم‌افزار یا داده‌های دستگاه یا شبکه مشتری، از این آسیب‌پذیری سوء استفاده کند. هکرها حتی می‌توانند آسیب‌پذیری را برای تأثیرگذاری بر نتایج آزمایش بیمار در ابزارهای در نظر گرفته شده برای تشخیص بالینی مورد حمله قرار دهند، از جمله باعث عدم ارائه نتایج یا نتایج نادرست، نتایج تغییر یافته یا نقض احتمالی داده‌ها از سوی ابزارها می‌شوند.

دستگاه‌های آسیب دیده عبارتند از: Illumina NextSeq 550Dx، MiSeqDx، NextSeq 500، NextSeq 550، MiSeq، iSeq و MiniSeq. در حال حاضر، FDA و Illumina هیچ گزارشی مبنی بر سوء استفاده از این آسیب پذیری دریافت نکرده اند.

از زمان کشف و افشای این مشکل برای مشتریان، Illumina یک وصله نرم‌افزاری برای محافظت در برابر این آسیب‌پذیری ایجاد کرده است و در تلاش است تا یک تعمیر نرم‌افزار دائمی برای ابزارهای فعلی و آینده ارائه دهد.

نامه FDA  مقوله‌ تازه‌ای را در پروتکل های ضعیف امنیت سایبری دستگاه های پزشکی امروزی باز می‌کند. گزارشی که در ژانویه از شرکت امنیت سایبری مراقبت‌های بهداشتی Cynerio منتشر شد، نشان داد که بیش از نیمی از دستگاه‌های متصل به اینترنت که در بیمارستان‌ها استفاده می‌شوند دارای آسیب‌پذیری هستند که می‌تواند ایمنی بیمار، داده‌های محرمانه یا قابلیت استفاده از یک دستگاه را در معرض خطر قرار دهند.

این گزارش داده‌های بیش از 10 میلیون دستگاه را در بیش از 300 بیمارستان و مرکز مراقبت های بهداشتی در سراسر جهان تجزیه و تحلیل کرده است. محققان دریافتند که قابل هک ترین بخش دستگاه، پمپ های تزریق (IV) هستند که از قضا رایج‌ترین نوع دستگاه های متصل به اینترنت در بیمارستان‌ها نیز هستند. این تیم دریافت که 73 درصد از پمپ‌های تزریق دارای آسیب پذیری امنیت سایبری هستند.

با این وجود، در حال حاضر هیچ قانونی وجود ندارد که صراحتاً سازندگان تجهیزات پزشکی را ملزم به رسیدگی به امنیت سایبری کند. با پیش‌بینی این مشکل، FDA دستورالعمل‌های امنیت سایبری را برای تولیدکنندگان در سال 2014 صادر کرد و سپس چهار سال بعد دستورالعمل‌های پیش‌نویس به‌روز شده را جایگزین آن‌ها کرد. اکنون، با ادامه پیشرفت فناوری، این آژانس یک بار دیگر دستورالعمل جدیدی را تهیه کرده است.

FDA در بیانیه ای اعلام کرد: «تهدیدات امنیت سایبری برای بخش مراقبت های بهداشتی مکرر، شدیدتر و از نظر بالینی تأثیرگذارتر شده است. این چشم انداز به سرعت در حال تحول و درک افزایش یافته از تهدیدات و کاهش بالقوه آنها، یک رویکرد به روز را ضروری می کند.»

پیش نویس دستورالعمل جدید در آوریل صادر شد اما تا 7 ژوئیه برای اظهار نظر عمومی باز است. تغییرات قابل توجه از دستورالعمل 2018 شامل توصیه هایی برای مدیریت جامع خطرات امنیت سایبری در کل چرخه عمر محصول و همچنین درخواست از تولیدکنندگان برای بهبود نرم افزاری است.

در واقع، در بودجه پیشنهادی FDA برای سال مالی 2023، آژانس درخواست 5.5 میلیون دلار برای "امنیت سایبری تجهیزات پزشکی" می کند که افزایش 5 میلیون دلاری نسبت به سال مالی 2022 است. این پیشنهاد می گوید که این پول به FDA اجازه می دهد تا توسعه یک برنامه امنیت سایبری برای پزشکی را آغاز کند. دستگاه‌ها، به رفع خطرات با دستگاه‌های قدیمی کمک می‌کنند و به سرعت آسیب‌پذیری‌های امنیت سایبری دستگاه‌های پزشکی جدید را برطرف می‌کنند.

این آژانس در پیشنهاد بودجه نوشت: « FDA قبلاً چندین باج افزار و سایر بدافزارها را در بخش مراقبت های بهداشتی دیده و به آنها پاسخ داده است.تصویب پیشنهاد FDA احتمال آسیب به بیماران، قطع دسترسی به دستگاه‌ها و از دست دادن سهم بازار یا خروج از بازار را برای دستگاه‌هایی که آسیب‌پذیری برای آن‌ها در نتیجه حوادث امنیت سایبری شناسایی شده است، کاهش می‌دهد».