آیا سامانه‌های بیمارستانی نفوذناپذیرند؟

محققان امنیتی، شبکه‌ی یک بیمارستان معروف را مورد حمله قرار دادند تا به تجهیزات پزشکی حساس که می‌تواند به جان بیماران بستگی داشته باشد، دسترسی پیدا کنند.
در این آزمایش‌ها، نفوذگران بیمارستان از تیم تحقیق مستقل Security Evaluators بودند که صفحات نمایش بیماران را هدف قرار دادند و موجب شدند تا آن‌ها اطلاعات غلطی را به نمایش گذارند که ممکن است بتواند به پاسخ‌های درمانی نادرستی بیانجامد که موجب آسیب و یا حتی مرگ بیماران شود.
آن‌ها می‌گویند سایر تجهیزات پزشکی حساس نیز می‌تواند با استفاده از حملاتی مشابه مورد دسترسی قرار گیرد.
این تیم دوازده مورد از امکانات درمانی و پزشکی، دو پایگاه داده از دستگاه‌های پزشکی، و تعدادی از نرم‌افزارهای تحت وب را که می‌توانستند عمیقاً از سوی مهاجمان راه دور مورد سوءاستفاده قرار گیرند، مورد بررسی قرار دادند.
این تحقیق که به وسیله‌ی رئیس مراقبت‌های بهداشتی جف جنتری هدایت می‌شد، در مقاله‌ای با عنوان «امن کردن بیمارستان‌ها» ‌شرح داده شده است.
این تیم در مقاله گفته‌اند: «در بخشی از شبکه که قطع بوده است، تیم ما حمله‌ای را برای دور زدن احراز هویت برای دسترسی به نمایش‌گرها ترتیب می‌دهد، و به آن بخش دستور می‌دهد تا وظایف مخربی را همچون هشدارهای کاذب، نشان‌دادن علایم حیاتی نادرست بیمار و غیرفعال کردن هشدارهای مربوط به بیمار انجام دهد.»
«این حمله را می‌توان علیه همه‌ی دستگاه‌های پزشکی انجام داد، که به احتمال زیاد موجب جلوگیری از کمک کردن به بیمار و آسیب جدی تا حد مرگ بیمار می‌شود. سناریوی حمله دلخراش است: اجرای مدام حمله، زندگی بسیاری از انسان‌ها می‌تواند در معرض خطر باشد، و دیده‌شدن این مشکل در سایر بیمارستان‌ها می‌تواند حتی وحشتناک‌تر از این باشد.»
آن‌ها می‌گویند که کاملاً واضح است که حملات تصادفی در ماهیت خود کاملاً عملی می‌باشد.
این مقاله‌ی ۷۱ صفحه‌ای، آخرین و یکی از جامع‌ترین تلاش‌های تحقیقی در مورد نفوذ به تجهیزات پزشکی است و نشان می‌دهد که وضعیت امنیت در بیمارستان‌ها همچنان‌که در جامعه‌ی نفوذگران معروف است، می‌تواند تا چه میزان تیره باشد.
پرونده‌ی الکترونیکی سلامت می‌تواند توسط حملات تزریق کد، با استفاده از محموله‌ای که به پزشکان و پرستارانی که دارای دسترسی‌های غیرممتاز هستند حمله می‌کند، سرقت شود و اگر حمله با موفقیت اجرا شود می‌تواند موجب دسترسی‌های ممتاز کامل در حد مدیریت سامانه شود.
درایورهای یواس‌بی می‌توانند به عنوان طعمه عمل کنند. این تیم ۱۸ درایو یواس‌بی را در بیمارستان قرار داد که با بدافزارهایی که در ایستگاه‌ها و ترمینال‌های پرستاری نصب می‌شدند، پر شده بودند. این کار برای مهاجمان مانند معدن طلا است، زیرا آن‌ها اعتبارنامه‌های پرستاران و پزشکانی که به داخل سامانه وارد می‌شوند به این وسیله جمع‌آوری می‌کنند. نفوذگران می‌گویند که با استفاده از این درایورهای یواس‌بی کوچک، توانسته‌اند به داخل خدمات درمانگاه بیمارستان نفوذ کنند. روند این کار می‌توانست به این تیم اجازه دهد تا توانایی دست‌کاری موجودی انبار درمانگاه را داشته باشند.
این نفوذگران می‌گویند: «اگر این‌ها داروهایی باشند که باید به بیماران داده شوند، به احتمال زیاد می‌توانند به آن‌ها صدمه زده و یا موجب مرگ آن‌ها شوند.»
برای مهاجمان فیزیکی که در محل حضور دارند، درگاه‌های دستگاه‌های سخت‌افزاری آسیب‌پذیر و رایانه‌هایی که در اتاق‌های بیماران کار می‌کنند به منزله‌ی یک شیرینی‌فروشی برای یک حمله‌ی شیرین است. بسیاری از این ناکارآمدی‌ها در اثر سهل‌انگاری یا عدم اجرای درست فرآیندهای کسب و کار به وجود می‌آید.
«این یافته‌ها نشان از یک آشفتگی در این صنعت می‌دهند: فقدان حمایت اجرایی؛ استعداد ناکافی، پیاده‌سازی نادرست فن‌آوری، درک منسوخ از عمل‌کرد مهاجمان، فقدان رهبری و تکیه بر پیروی کورکورانه از دستورات.»
«این‌ها همه نشان‌دهنده‌ی بزرگ‌ترین ترس ما هستند: سلامت بیمار به شدت آسیب‌پذیر است. یکی از یافته‌های فراگیر این تحقیق این است که این صنعت تقریباً به طور کامل بر حفاظت از داده‌های سلامت بیماران تمرکز کرده است و بسیار کمتر و به ندرت به بررسی و حفاظت از تهدیدهایی می‌پردازد که سلامت بیمار را از منظر تهدیدهای سایبری، مورد حمله قرار می‌دهند.»
امنیت اطلاعات بیمارستان به شدت دچار کمبود بودجه است، آموزش‌های ناقص در تمام سطوح دیده می‌شوند، شبکه‌ها ناامن هستند و سیاست‌گذاری و ممیزی دیده نمی‌شود، و در بهترین حال اگر وجود داشته باشند، دارای نقایص فراوانی هستند.
محققان می‌گویند که تجهیزات دارای بسته‌‌های امنیتی خریداری‌شده‌ای هستند که نه‌تنها نامناسب هستند، بلکه به صورت ضعیفی کارگذاری شده‌اند و پر از آسیب‌پذیری هستند و عمل‌کرد آن‌ها در کنار فن‌آوری‌های دیگر مملو از ایراد و نقص است.
این ناامنی تیره باعث می‌شود که به سختی بتوان با دقت به ریشه‌ی این علت و یا عوامل تقویت‌کننده‌ی‌ این مشکلات اشاره کرد.
تد هارینگتون محقق امنیتی می‌گوید: «ما کاستی‌های فاحشی را در این صنعت در همه‌ی بیمارستان‌ها پیدا می‌کنیم که شامل بودجه‌ی ناکافی، نیروی انسانی ناکافی، آموزش اندک، فقدان سیاست‌گذاری، عدم وجود هوشیاری مناسب در شبکه و بسیاری چیزهای دیگر می‌شود. این نقایص و کمبودها موجب ناکارآمدی هدف‌مند در امنیت می‌شود.ه
این تیم به ارائه‌ی مشاوره‌ای دقیق برای کاهش مشکلات شناخته‌شده پرداخته است.
شش ماه از زمانی که بیمارستان‌های Scott Erven و Mark Collao مورد حمله‌ی نفوذگران قرار گرفتند می‌گذرد که در آن هزاران خدمات پزشکی حساس آن‌ها، از جمله تجهیزات تصویربرداری رزونانس مغناطیسی و دستگاه‌های پزشکی هسته‌ای، در اینترنت در معرض خطر قرار گرفت.
در اثر این حمله، یک سازمان بسیار بزرگ بهداشت و درمان آمریکا که نامش ذکر نشده است، مورد حمله قرار گرفت و حدود ۶۸ هزار سامانه‌ی پزشکی از جمله ۲۱ مورد تجهزات بی‌هوشی، ۴۸۸ مورد تجهیزات قلب و عروق، ۶۷ مورد تجهیزات پزشکی هسته‌ای و همچنین ۱۳۳ مورد سامانه‌های پمپاژ و ۳۱ مورد از تجهزات ضربان قلب و ۹۷ پویش‌گر ام‌آرآی، و ۳۲۳۲ مورد از سامانه‌های بایگانی تصاویر و ارتباطی در معرض خطر قرار گرفتند.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.

اسکن امنیتی وب سایت
(5000 تومان)

نوع وب سایت: وبلاگ، شرکتی، تجارت الکترونیک و کسب و کارحرفه ای
آسیب پذیری های OWASP (شامل بررسی 10 آسیب پذیری متداول)
اسکن نرم افزار/وب سایت توسط Acunetix نسخه 11
اسکن تمامی پورت ها با ابزار Nmap
اسکن وب سرور و پیکربندی آن توسط ابزار Nikto
اسکن تزریق توسط نرم افزار قدرتمند SQLmap