واشنطن / لندن (بي بي سي) : حذر خبراء من أن مضخات الحقن المُستخدمة في المستشفيات حول العالم بها عيوب يمكن استغلالها من جانب قراصنة إلكترونيين لتغيير الجرعات التي تُعطى للمرضى. واكتشف الخبير الأمني سكوت غايو ثمانية عيوب مختلفة في جهاز ضخ الحقن "ميد فيوشن 4000" الذي تصنعه شركة "سميث ميديكال" للمنتجات الطبية.



ودفع هذا الاكتشاف وكالة الأمن القومي الأمريكية إلى إصدار تحذير بشأن مخاطر هذه المضخات. وتعتزم شركة "سميث ميديكال" إصلاح هذه الأجهزة بحلول عام 2018، وأكدت أن "من غير المرجح بشكل كبير" أن يستغل أي قراصنة هذه العيوب.

"وضع مُعقد"
وتستخدم أجهزة حقن السوائل عن طريق الوريد، التي حللها غايو، في المستشفيات لإمداد المرضى بجرعات مُحددة من العقاقير والدم والمضادات الحيوية وغيرها من السوائل المُهمة. وتُستخدم هذه المضخات أيضا خلال العمليات الجراحية لضمان بقاء المرضى تحت تأثير المخدر، وأيضا في أجنحة حديثي الولادة لعلاج الأطفال المولودين مبكرا.

وجعلت هذه الثغرات التي اكتشفها غايو الأجهزة عرضة لمجموعة من الهجمات الإلكترونية المعروفة، إذ أن هذه الأجهزة لم تتعرف على هوية الأشخاص الذين يتصلون بها إلكترونيا ولم تتمكن من فرز الأوامر التي أرسلت إليها لضخ السوائل.

وقالت وكالة الأمن القومي الأمريكية إن أي شخص ينجح في استغلال هذه العيوب يمكنه "الدخول غير المصرح به (للمضخة) والتأثير على وظيفتها الأساسية". وأوضحت أن هذا الأمر قد يسمح للمهاجمين بالسيطرة على أجهزة الاتصال الخاصة بالمضخة والتحكم في أنظمتها.

وأقرت الوكالة الأمريكية بأن هناك "برمجيات خبيثة عامة ومعروفة" استهدفت بشكل واضح عيوب المضخات، لكنها أكدت أنه يجب على المستشفيات البحث في طريقة استغلال البرمجيات لهذه الثغرات للتعرف على مدى الخطورة التي تشكلها.

وأكدت شركة "سميث ميديكال" في بيان لها أنه لا توجد خطورة كبيرة لأي ضرر قد تسببه هذه العيوب لأن ذلك يتطلب وجود "مجموعة من الظروف المُعقدة وغير المواتية" قبل أن يتمكن أي مهاجم من إساءة استخدام المضخات.

وقبيل إصدار "سميث ميديكال" التحديث الخاص بالبرمجيات في يناير/ كانون الثاني المقبل، والذي يهدف إلى إصلاح هذه العيوب، قدمت الشركة إرشادات حول أسلوب تغيير إعدادات المضخات المعيبة للحد بصورة أكبر من فرص استغلالها من جانب القراصنة. واعتذرت الشركة عن أي إزعاج قد يسببه اكتشاف هذه العيوب لعملائها.

ويأتي التحليل الخاص ببرمجيات هذه المضخات بعد فترة قصيرة من اكتشاف عيوب في أكثر من 745 ألف جهاز لتنظيم ضربات القلب من الممكن استغلالها في اختراق هذه الأجهزة.



"آلاف" الثغرات الأمنية في أجهزة تنظيم ضربات القلب
توصلت دراستان منفصلتان إلى أن أجهزة تنظيم ضربات القلب، ومضخات الأنسولين، وغيرها من الأجهزة الطبية بالمستشفيات تعاني من مشاكل أمنية تجعلها عرضة لهجمات إلكترونية. وخلصت واحدة من الدراستين، أجريت على أجهزة تنظيم ضربات القلب، إلى وجود أكثر من ثمانية آلاف ثغرة معروفة في نظام التشفيرالخاص بهذه الأجهزة.



وتوصلت دراسة أخرى عن سوق الأجهزة على نطاق واسع إلى أن 17 في المئةفقط من شركات التصنيع اتخذت خطوات لتأمين الأجهزة. وجاءت هذه التقارير بعد فترة قصيرة من تعرض أكثر من 60 هيئة صحية في بريطانيا لهجوم إلكتروني.

حاجة ملحة
وبحثت الدراسة، التي أجريت على أجهزة تنظيم ضربات القلب، في مجموعة من الأجهزة القابلة للزرع في الجسم، والتي تُصنعها أربع شركات بالإضافة إلى "النظام البيئي" لأجهزة أخرى تُستخدم لمراقبة هذه الأجهزة وإدارتها. وقال الباحث بيلي ريوس والدكتور جوناثان بوتس، من شركة "وايتسكوب" الأمنية، إن الدراسة التي أجرياها تُظهر "تحديات خطيرة" تواجه شركات تصنيع أجهزة قياس ضربات القلب في محاولة لتأمين الأجهزة، ومنع أية ثغرات تقنية يمكن أن يستغلها القراصنة الإلكترونيون.

وتوصل الباحثان إلى أن عددا قليلا من شركات التصنيع هي من شفرت أو وفرت الحماية بطريقة أخرى للبيانات الموجودة على الأجهزة، أو خلال عملية نقل هذه البيانات إلى أنظمة المراقبة.

وأفادت نتائج الدراسة بأنه لم تحظ أي من هذه الأجهزة بالحماية من خلال أنظمة الدخول التي توظف آلية اسم المستخدم وكلمة المرور، أو التأكد من أن الأجهزة المتصلة بها كانت حقيقية. وأوضج ريوس أن قلة حجم، وضعف القدرة الحاسوبية للأجهزة الداخلية، يجعل من الصعب تطبيق المعايير الأمنية التي تُساعد في حماية الأجهزة الأخرى.

وفي بحث أكبر، قال الباحثان إن شركات تصنيع الأجهزة يجب عليها بذل المزيد من الجهد "للوقاية من أي ثغرات محتملة في الأنظمة، قد يكون لها تداعيات على رعاية المرضى."

وقال ريوس إنه، وزملائه في البحث، أحالوا جميع المشاكل التي اكتشفوها إلى وزارة الأمن الداخلي الأمريكية، التي تشرف على الشركات المصنعة للأجهزة الطبية.

وتوصلت الدراسة المنفصلة، التي استقصت آراء الشركات المُصنعة والمستشفيات والهيئات الصحية بشأن الأجهزة التي يستخدمونها عند علاج المرضى، إلى أن 80 في المئة منهم قالوا إنه من الصعب حماية الأجهزة. وأشارت الدراسة إلى أن الثغرات الموجودة في الشفرات، وعدم المعرفة بطريقة كتابة الرموز الآمنة، وضغوط الوقت، جعلت العديد من هذه الأجهزة عرضة للهجمات.

وبالرغم من معرفتها بهذه المشاكل، فإن تسعة في المئة فقط من شركات تصنيع الأجهزة، وخمسة في المئة من الهيئات الصحية، أجروا اختبارات سنوية للمعدات للكشف عن وجود أي ثغرات أمنية محتملة، بحسب الدراسة. وأشارت إلى أن نسبة أعلى من شركات التصنيع، تصل إلى 17 في المئة، اتخذت خطوات لتأمين الأجهزة التي تُصنعها.

وقال الدكتور لاري بونيمون، الذي شارك في إعداد الدراسة الثانية مع شركة "سينوبسيز" الأمنية، إن "تأمين الأجهزة الطبية هو بالفعل قضية حياة أو موت لكل من شركات تصنيع الأجهزة وهيئات تقديم الرعاية الصحية." وأضاف: "من المهم جدا أن تجعل شركات تصنيع الأجهزة الطبية أمن أجهزتها أولوية قصوى".