مجموعهای ازدانشمندان، با کمک طرح امنیت سایبریIEEE، مجموعهای جدید ازدستورالعملها را برای توسعهدهندگان منتشر کردهاند که با کمک این دستوالعملها توسعهدهندگان از اشکال مختلف امنیتی با خبر شوند و بدانند که چگونه دستگاههای پزشکی کد میشوند.
به گزارش پایگاه اطلاع رسانی پایداری ملی به نقل از asis.io،در مقالهی «ایجاد کد برای امنیت نرمافزاری دستگاههای پزشکی» که به تازگی منتشر شد و توسط دکتر Tom Haigh، یک محقق در آزمایشگاه Adventium و Carl Landwehr، یک دانشمند محقق در دانشگاه جورج واشنگتن نوشته شده است. محققان مجموعه دستورالعملهای خود را برای ایجاد کد درنظر گرفتهاند که بسیار شبیه به نحوهی ایجاد کد برای ساختارهای مقاومت در برابر آب و هوا و آتش میباشد. اگر این رویکرد به درستی اجرا شود، محققان امیدوارند کدهای نرمافزاری آنها به مقاومت در برابر آسیبهای محیطی از قبیل حملات نشت داده و یا تغییر عملکرد یک دستگاه کمک کند.
این اعلامیه که بیشتر بر روی پیادهسازی تمرکز دارد تا طراحی، امنیت دستگاههای پزشکی را در ده دسته طبقهبندی میکند. اولین و شاید سادهترین احتیاط IEEE تشویق توسعهدهندگان به این است که از زبانهای امن حافظه و استانداردهای برنامهنویسی امن استفاده کنند. آنها هشدار میدهند که شیوههای امنتر، حتی در پایینترین سطح، میتواند خطاهای دسترسی به حافظه، اشتباهات پیادهسازی و سوءاستفاده از ساختارهای زبانی که میتواند موجب آسیبرسانی به کد شود، جلوگیری کنند.
همانطور که باید انتظار داشت این گروه همچنین طرفدار این است که توسعهدهندگان از رمزنگاری با دقت بالا استفاده کنند و به دنبال الگوریتمهایی باشند که گواهینامهی علنی دریافت کردهاند. هنگام تولید اعداد تصادفی، آنها باید به درستی مورد استفاده قرار گیرند. این گزارش به عنوان آخرین چاره ادعا میکند که باید توسعهدهندگان الگوریتمهای رمزنگاری خود را قبل از پیادهسازی و اجرا به تأیید متخصصان و کارشناسان امنیتی برسانند و بعد آن را پیادهسازی کنند. محققان اشاره کردند که «اشتباهات میتواند ساز و کارهای رمزنگاری به خوبی طراحی شده را هم بیاثر کند.»
دستورالعملهای اضافی ذکر شده در سند، توسعهدهندگان را تشویق میکند تا از سامانهی عامل امضای دیجیتالی، فهرستهای سفید و نرم افزارهای مربوط به حوادث امنیتی در دستگاههای پزشکی خود استفاده کنند.
یک گروه ۴۰ نفری از کارشناسان در رشتهها و حوزههای مختلف از جمله محققان دستگاههای پزشکی، محققان امنیت سایبری، مهندسین نرمافزار، و تنظیمکنندگان دستورالعملها را در طول دو روز در نیواورلئان در ماه نوامبر گذشته مورد بررسی و تولید قرار دادند. این کارگاه توسط IEEE و برنامهی امن و قابل اعتماد فضای مجازی بنیاد ملی علوم حمایت شد. کارشناسان تاکید میکنند که توصیههای آنها صرفاً باید به عنوان نقطهی شروع برای توسعهدهندگانی باشد که به دنبال سادگی در امنیت کد دستگاههای پزشکی هستند.
Landwehr مینویسد: « البته توسعهی یک کد کامل در یک کارگاه آموزشی دو روزه غیرممکن است هدف از این کد اولیه این است که یک مبنا برای توسعهدهندگان ارائه دهد تا بتوانند با استفاده از آن در مقابل شایعترین آسیبپذیریهای نرمافزاری مقابله کنند.»
«این حوزه جای کار بیشتری دارد، بنابراین ما صنعت را به مشارکت در تلاشهای خود تشویق میکنیم تا یک کد کاملتر برای صنعت تجهیزات پزشکی ایجاد شود.»
وی افزود که کدهای اضافی میتواند برای تحقیقات پیرامون طراحی و آزمایش تجهیزات پزشکی امن ایجاد شود.
در اوایل این ماهJeremy Richards ، یک محقق به همراه شرکت SAINT، با پمپهای دارویی تولیدشده توسط شرکت تجهیزات پزشکی Hospira کار بیهودهای کرد، بدین ترتیب که قادر به خدعه و فریب در پمپ شد تا تا دستوراتی را اجرا کند که از طریق یک حمله پمپ را باز کرده و به دستگاه آسیب برساند. این موضوع تقریباً دو سال پس از اینکه FDA، از تولیدکنندگان تجهیزات پزشکی خواست تا امنیت دستگاههای خود را بالا ببرند اتفاق افتاد. همچنین چهار سال قبل از آن هم Barnaby Jackبه عنوان یکی از پیشگامان در زمینهی امنیت دستگاههای پزشکی چگونگی نفوذ به پمپهای انسولین را به اطلاع عموم رساند.
در پایان خاطرنشان میکنیم که تولیدکنندگان تجهیزات پزشکی باید در افزایش امنیت دستگاهای خود بکوشند و در نظر داشته باشند که خطر همیشه در کمین آنها است.