ارائه‌ی دستورالعمل‌های امنیت تجهیزات پزشکی توسط محققان

به گزارش پایگاه اطلاع رسانی پایداری ملی به نقل از asis.io،در مقاله‌­ی «ایجاد کد برای امنیت نرم‌افزاری دستگاه‌های پزشکی» که به تازگی منتشر شد و توسط دکتر Tom Haigh، یک محقق در آزمایشگاه Adventium و Carl Landwehr، یک دانشمند محقق در دانشگاه جورج واشنگتن نوشته شده است. محققان مجموعه دستورالعمل‌های خود را برای ایجاد کد درنظر گرفته­‌اند که بسیار شبیه به نحوه­‌ی ایجاد کد برای ساختارهای مقاومت در برابر آب و هوا و آتش می­‌باشد. اگر این روی‌کرد به درستی اجرا شود، محققان امیدوارند کدهای نرم‌افزاری آن­‌ها به مقاومت در برابر آسیب­‌های محیطی از قبیل حملات نشت داده و یا تغییر عمل‌کرد یک دستگاه کمک کند.

این اعلامیه که بیشتر بر روی پیاده‌سازی تمرکز دارد تا طراحی، امنیت دستگاه­های پزشکی را در ده دسته­ طبقه‌بندی می­‌کند. اولین و شاید ساده‌ترین احتیاط  IEEE تشویق توسعه‌دهندگان به این است که از زبان‌های امن حافظه و استانداردهای برنامه‌نویسی امن استفاده کنند. آن‌ها هشدار می‌­دهند که شیوه‌­های امن‌تر، حتی در پایین‌­ترین سطح، می‌­تواند خطاهای دسترسی به حافظه، اشتباهات پیاده‌سازی و سوءاستفاده از ساختارهای زبانی­ که می­‌تواند موجب آسیب‌رسانی به کد شود، جلوگیری کنند.

همان‌طور که باید انتظار داشت این گروه همچنین طرفدار این است که توسعه‌دهندگان از رمزنگاری با دقت بالا استفاده کنند و به دنبال الگوریتم‌­هایی باشند که گواهینامه‌­ی علنی دریافت کرده­‌اند. هنگام تولید اعداد تصادفی، آن‌ها باید به درستی مورد استفاده قرار گیرند. این گزارش به عنوان آخرین چاره ادعا می­کند که باید توسعه‌دهندگان الگوریتم‌های رمزنگاری خود را قبل از پیاده‌­سازی و اجرا به تأیید متخصصان و کارشناسان امنیتی برسانند و بعد آن را پیاده‌سازی کنند. محققان اشاره کردند که «اشتباهات میتواند ساز و کارهای رمزنگاری به خوبی طراحی شده را هم بی‌اثر کند.»

دستورالعمل­‌های اضافی ذکر شده در سند، توسعه‌دهندگان را تشویق می­‌کند تا از سامانه­‌ی عامل امضای دیجیتالی، فهرست‌های سفید و نرم افزارهای مربوط به حوادث امنیتی در دستگاه­‌های پزشکی خود استفاده کنند.

یک گروه ۴۰ نفری از کارشناسان در رشته‌­ها و حوزه‌های مختلف از جمله محققان دستگاه­‌های پزشکی، محققان امنیت سایبری، مهندسین نرم‌افزار، و تنظیم‌کنند‌گان دستورالعمل‌­ها را در طول دو روز در نیواورلئان در ماه نوامبر گذشته مورد بررسی و تولید قرار دادند. این کارگاه توسط IEEE و برنامه‌­ی امن و قابل اعتماد فضای مجازی بنیاد ملی علوم حمایت شد. کارشناسان تاکید می‌کنند که توصیه‌­های آن­ها صرفاً باید به عنوان نقطه­‌ی شروع برای توسعه‌دهندگانی باشد که به دنبال سادگی در امنیت کد دستگاه­‌های پزشکی هستند.

Landwehr می­‌نویسد: « البته توسعه‌­ی یک کد کامل در یک کارگاه آموزشی دو روزه غیرممکن است هدف از این کد اولیه این است که یک مبنا برای توسعه‌دهندگان ارائه دهد تا بتوانند با استفاده از آن در مقابل شایع­‌ترین آسیب‌پذیری­‌های نرم‌افزاری مقابله کنند.»

«این حوزه جای کار بیشتری دارد، بنابراین ما صنعت را به مشارکت در تلاش­‌های خود تشویق می­‌کنیم تا یک کد کامل­تر برای صنعت تجهیزات پزشکی ایجاد شود.»

 وی افزود که کدهای اضافی می‌­تواند برای تحقیقات پیرامون طراحی و آزمایش تجهیزات پزشکی امن ایجاد شود.

در اوایل این ماهJeremy Richards ، یک محقق به همراه شرکت SAINT، با پمپ‌­های دارویی تولیدشده توسط شرکت تجهیزات پزشکی Hospira کار بیهوده‌ای کرد، بدین ترتیب که قادر به خدعه و فریب در پمپ شد تا تا دستوراتی را اجرا کند که از طریق یک حمله پمپ را باز کرده و به دستگاه آسیب برساند. این موضوع تقریباً دو سال پس از اینکه FDA،  از تولیدکنندگان تجهیزات پزشکی خواست تا امنیت دستگاه­های خود را بالا ببرند اتفاق افتاد. همچنین چهار سال قبل از آن هم Barnaby Jackبه عنوان یکی از پیشگامان در زمینه‌­ی امنیت دستگاه­های پزشکی چگونگی نفوذ به پمپ­‌های انسولین را به اطلاع عموم رساند.

در پایان خاطرنشان می‌کنیم که تولیدکنندگان تجهیزات پزشکی باید در افزایش امنیت دستگا­های خود بکوشند و در نظر داشته باشند که خطر همیشه در کمین آن‌ها است.