إذا كان لديك جهاز طبي مزروع ، أو تم توصيله بآلة في المستشفى ، أو وصلت إلى سجلاتك الطبية الإلكترونية ، فقد تفترض أن البنية التحتية والبيانات آمنة ومحمية ضد المتسللين. هذا ليس هو الحال بالضرورة. الأجهزة والأنظمة الطبية المتصلة معرضة للهجمات الإلكترونية ، والتي يمكن أن تكشف عن بيانات حساسة ، وتأخير الرعاية الحرجة ، والأذى جسديًا.
استدعت إدارة الغذاء والدواء الأمريكية ، التي تشرف على سلامة وفعالية المعدات الطبية المباعة في البلاد ، الأجهزة الطبية في السنوات القليلة الماضية بسبب مخاوف الأمن السيبراني. وهي تشمل أجهزة تنظيم ضربات القلب ، وأدوات تسلسل الحمض النووي ، ومضخات الأنسولين.
بالإضافة إلى ذلك ، شهدت المئات من المرافق الطبية هجمات فدية ، حيث قام الأشخاص الخبيثون بتشفير أنظمة الكمبيوتر والبيانات في المستشفى ثم يطلبون فدية ضخمة لاستعادة الوصول. حذر Tedros Adhanom Ghebreyesus ، المدير العام لمنظمة الصحة العالمية ، مجلس الأمن التابع للأمم المتحدة في نوفمبر من “الآثار المدمرة لبرامج الفدية والهجمات الإلكترونية على البنية التحتية الصحية”.
للمساعدة في تأمين الأجهزة الطبية والمعدات والأنظمة بشكل أفضل ضد الهجمات الإلكترونية ، عقدت IEEE شراكة مع مختبرات الاكتتاب ، التي تختبر المنتجات وتشهدها ، لتطوير IEEE/UL 2933 ، المعيار للإنترنت السريري للأشياء (IoT) وبيانات الجهاز مع TIPSS (TIPSS ( الثقة والهوية والخصوصية والحماية والسلامة والأمن).
يقول فلورنس هدسون ، رئيس مجموعة العمل في IEEE 2933: “نظرًا لأن معظم الأنظمة المتصلة تستخدم مكونات شائعة خارج الجرف ، أصبح كل شيء الآن قابلاً للاختراق ، بما في ذلك الأجهزة الطبية وشبكاتها”. “هذه هي المشكلة التي يحلها هذا المعيار.”
هدسون ، وهو عضو كبير في IEEE ، هو المدير التنفيذي لمركز Northeast Big Data Innovation Hub في كولومبيا. وهي أيضًا مؤسس ورئيس تنفيذي لشركة FDHINT الاستشارية للأمن السيبراني ، أيضًا في نيويورك.
إطار لتعزيز الأمن
تم إصدار IEEE 2933 في سبتمبر ، ويغطي طرقًا لتأمين السجلات الصحية الإلكترونية والسجلات الطبية الإلكترونية والأجهزة في المستشفى ويمكن ارتداؤها والتي تتواصل مع بعضها البعض ومع أنظمة الرعاية الصحية الأخرى. Tippss هو إطار يعالج الجوانب الأمنية المختلفة للأجهزة والأنظمة.
“إذا اخترقت جهازًا طبيًا مزروعًا ، فيمكنك قتل الإنسان على الفور. يقول هدسون: “يمكن اختراق بعض الأجهزة المزروعة ، على سبيل المثال ، على بعد 15 مترًا من المستخدم”. “من المناقشات مع مختلف مقدمي الرعاية الصحية على مر السنين ، تأخر هذا المعيار.”
ساعد أكثر من 300 شخص من 32 دولة في تطوير معيار IEEE 2933. شملت مجموعة العمل ممثلين من المنظمات المتعلقة بالرعاية الصحية بما في ذلك Draeger Medical Systems و Indiana University Health و Medtronic و Thermo Fisher Scientific. شاركت إدارة الأغذية والعقاقير والوكالات التنظيمية الأخرى أيضًا. بالإضافة إلى ذلك ، كان هناك ممثلون من معاهد البحوث بما في ذلك كولومبيا ، وجامعة قبرص الجامعة الأوروبية ، ومعهد جويف ستيفان ، وجامعة كينغستون لندن.
“نظرًا لأن معظم الأنظمة المتصلة تستخدم مكونات شائعة خارج الرف ، فإن كل شيء يمكن اختراقه الآن ، بما في ذلك الأجهزة الطبية وشبكاتها.”
حصلت مجموعة العمل على جائزة جمعية المعايير الناشئة في جمعية IEEE العام الماضي لجهودها.
تم رعاية IEEE 2933 من قبل جمعية IEEE Engineering in Medicine وعلم الأحياء ، لأنه ، يقول هدسون ، “المهندسون الذين يجب أن يقلقوا بشأن طرق حماية المعدات”.
وتقول إن المعيار مخصص لصناعة الرعاية الصحية بأكملها ، بما في ذلك الشركات المصنعة للأجهزة الطبية ؛ الأجهزة والبرامج والبرامج الثابتة ؛ مرضى؛ مقدمي الرعاية والوكالات التنظيمية.
ستة تدابير أمنية لتقليل التهديدات الإلكترونية
يقول هدسون إن الأمن في تصميم الأجهزة والبرامج الثابتة والبرامج يجب أن يكون الخطوة الأولى في عملية التطوير. هذا هو المكان الذي يأتي فيه Tippss.
وتقول: “إنه يوفر إطار عمل يتضمن توصيات تقنية وأفضل الممارسات لبيانات الرعاية الصحية المتصلة والأجهزة والبشر”.
يركز Tippss على المجالات الستة التالية لتأمين الأجهزة والأنظمة المشمولة بالمعايير.
- يثق. إنشاء اتصالات موثوقة وجديرة بالثقة بين الأجهزة. السماح فقط للأجهزة والأشخاص والخدمات المخصصة للوصول.
- هوية. تأكد من تحديد الأجهزة والمستخدمين بشكل صحيح ومصادقة. التحقق من صحة هوية الناس والخدمات والأشياء.
- خصوصية. حماية بيانات المريض الحساسة من الوصول غير المصرح به.
- حماية. قم بتنفيذ تدابير لحماية الأجهزة من التهديد السيبراني وحمايتها ومستخدميها من الأذى المادي والرقمي والمالي والسمعة.
- أمان. تأكد من أن الأجهزة تعمل بأمان ولا تشكل مخاطر للمرضى.
- حماية. الحفاظ على الأمان العام للجهاز والبيانات والمرضى.
يتضمن TIPPSS توصيات تقنية مثل المصادقة متعددة العوامل ؛ التشفير على مستويات الأجهزة والبرامج والبرامج الثابتة ؛ يقول هدسون إن تشفير البيانات عند الراحة أو في الحركة.
في مضخة الأنسولين ، على سبيل المثال ، تكون البيانات في بقية عندما تقوم المضخة بجمع معلومات حول مستوى الجلوكوز للمريض. تنتقل البيانات في الحركة إلى المشغل ، والذي يتحكم في مقدار الأنسولين الذي يجب تقديمه ومتى يستمر في نظام الطبيب ، وفي النهاية يتم إدخاله في السجلات الإلكترونية للمريض.
يقول هدسون: “يتضمن الإطار كل هذه القطع والعمليات المختلفة للحفاظ على البيانات والأجهزة والبشر أكثر أمانًا”.
أربع حالات استخدام
يتم تضمينه في المعيار أربعة سيناريوهات تحدد الخطوات التي سيتخذها المستخدمون من المعيار لضمان أن المعدات الطبية التي يتفاعلون معها جديرة بالثقة في بيئات متعددة. تشمل حالات الاستخدام مراقبة الجلوكوز المستمرة (CGM) ، ونظام توصيل الأنسولين الآلي (AID) ، وسيناريوهات المستشفى في المنزل والمستشفى. وهي تشمل الأجهزة التي تسافر مع المريض ، مثل CGM وأنظمة المساعدة ، وكذلك الأجهزة التي يستخدمها المريض في المنزل ، وكذلك أجهزة تنظيم ضربات القلب ، وأجهزة استشعار الأكسجين ، وشاشات القلب ، وغيرها من الأدوات التي يجب أن تتصل ببيئة في المستشفى.
المعيار متاح للشراء من IEEE و UL (UL2933: 2024).
مقاطع فيديو عند الطلب على الأمن السيبراني Tippss
عقدت IEEE سلسلة من ورش عمل TIPPSS Framework ، متوفرة الآن عند الطلب. وهي تشمل IEEE Cybersecurity Tippss للصناعة وتأمين IOTs لمراقبة الموضوع عن بُعد في التجارب السريرية. هناك أيضًا مقاطع فيديو عند الطلب حول حماية أنظمة الرعاية الصحية ، بما في ذلك سلسلة ورشة العمل العالمية للأمن السيبراني ، وهوية البيانات وهوية الجهاز ، والتحقق من الصحة ، والتشغيل البيني في الرعاية الصحية المتصلة ، والخصوصية ، والأخلاق ، والثقة في الرعاية الصحية المتصلة.
يوفر IEEE SA أداة لتقييم المطابقة ، برنامج شهادة الأمن السيبراني للأجهزة الطبية IEEE. تحتوي عملية التقييم المباشر على تعريف واضح لمتطلبات النطاق والاختبار المحددة للأجهزة الطبية للتقييم مقابل خطة اختبار IEEE 2621 ، والتي تساعد على إدارة نقاط الضعف في الأمن السيبراني في الأجهزة الطبية.
من مقالات موقعك
المقالات ذات الصلة حول الويب
