با توجه به استفاده هرچه بیشتر نهاد های درمانی از فناوری های نوین و اتصال به اینترنت ، امنیت نرم افزارهای تحت وب ، مسئله ای بسیار مهم است. محیط های درمانی مدرن ، به منظور ارائه انواع جدیدی از خدمات فناوری ، پشتیبانی از انواع کاربران و ارائه هرچه بهتر خدمات مراقبتی و درمانی تکامل یافته اند. برنامه های ابری و سیستم های EHR ، با توجه به پشتیبانی ها از انواع جدیدی از موارد مصرف ، در حال تبدیل شدن به یک حالت عادی جدید است.
فناوری هایی چون EPIC در سیستم هایی مانند Citrix XenApp ، جایی که در آن تمامی برنامه، مجازی سازی و سپس تحویل داده می شود ، راه اندازی و استاندارد سازی شده است. همچنین برخی از این نرم افزارهای درمانی برای همکاران و دیگر کاربران ، به صورت خارجی در دسترس قرار گرفته است. گاهی این برنامه های تحت وب ، در دنیای کوچک خودشان زندگی کرده. بنابراین ، بر خلاف برنامه های داخلی ، در معرض انواع مختلف حملات و آسیب پذیری ها هستند.
در سال های اخیر ، مقدار حملات به برنامه های تحت وب ، تنها به دلیل اعتماد کاربران به داده ها و وجود آن در اکوسیستم درمانی ، افزایش یافته است. زیرا اساسا این داده ها بسیار ارزشمند هستند. Juniper Research به این مسئله اشاره داشته که با توجه به دیجیتالی شدن سریع زندگی مصرف کنندگان و ثبت های سازمانی ، هزینه نقض شدن داده ها تا سال ۲۰۱۹ تا ۲.۱ تریلیون دلار ، مقداری تقریبا ۴ برابر آنچه که در سال ۲۰۱۵ تخمین زده شد ، افزایش میابد.
با این حساب ، جای تعجب نیست که پاسخ دهندگان به آخرین نظرسنجی مرکز داده ها ، اظهار داشتند که هنوز مسئله امنیت یک نگرانی اصلی محسوب می شود. در واقع ۳۲ درصد بر این باور بده که هنوز مسئله امنیت ، مانعی برای پذیرش تکنولوژی ابری است.اکنون بیش از هر زمان دیگری ، نهادهای درمانی درحال تلاش برای ایمن سازی نرم افزارهای تحت وب خود بوده تا نقضی در آنها رخ ندهد. گفته می شود که انواع مختلفی از حملات وجود داشته که می توانند انواع مختلفی از سیستم ها را تحت تاثیر خود قرار دهند.
گزارش امنیتی ای از شبکه Arbor که اخیرا منتشر شده ، چگونگی حملات را در ابعاد ، پیچیدگی و فرکانس رشد آنها ترسیم می کند:
- استفاده از بازتاب/تقویت برای ایجاد حملات گسترده: بزرگترین حمله ای که در سال ۲۰۱۴ گزارش شد ، ۴۰۰ Gbps ، همراه با سایر رویدادهای بزرگ اعلام شده ، در ۳۰۰ ، ۲۰۰ و ۱۷۰ Gbps با شش پاسخ دهنده دیگر که رویدادهایی با ۱۰۰ Gbps را گزارش داده ، بوده در حالی که ده سال پیش بزرگترین حمله ، ۸ Gbps بود.
- حملات DDoS چند بُرداری و لایه کاربرد ، درحال فراگیر شدن هستند: ۹۰ درصد از پاسخ دهندگان ، حملات لایه ای را گزارش داده و ۴۲ درصد نیز حملات چند برداری تلفیق شده با تکنیک های از پای درآورنده حجمی ، لایه ای و محلی در قالب یک حمله پایدار ، تجربه کرده اند.
- فرکانس حملات DDoS در حال افزایش است: در سال ۲۰۱۳ ، بیش از یک چهارم پاسخ دهندگان اظهار داشته که در هر ماه بیش از ۲۱ مورد حمله را دیده اند. در سال ۲۰۱۴ این مقدار درصد تقریبا دو برابر شده و به ۳۸ درصد رسیده است.
دارن آنتسی ، مدیر خدمات معماری شبکه Arbor ، گفت:”در طی ۱۰ سال گذشته ، Arbor نظرسنجی گزراش امنیت زیر ساختی را در سرتاسر جهان انجام داده و این امتیاز را داشته تا سیر تکامل اینترنت و کاربردهای آن را از روزهای آغازین پذیرش محتواهای آنلاین تا یک جامعه فوق متصل امروزی ردیابی کند.”
وی افزود:”در سال ۲۰۰۴ شرکت ها کرم های خود انتشاری چون Slammer و Blaster بوده ، چرا که آن ها در سال قبل تمامی شبکه ها را نابود کرده بودند؛ و به احتمال زیاد ، نقض داده ها توسط کارکنانی که دسترسی مستقیم به فایل ها داشتند ، صورت پذیرفته بود. امروزه سازمان ها نگران طیف گسترده تر و پیچیده تری از تهدیدها بوده و باید در برابر سطوح وسیع تری از حملات ، از خود دفاع کنند. تاثیر تجاری یک حمله یا نقض موفقیت آمیز می تواند ویرانگر باشد ، درحال حاضر این سهم بیشتر نیز هست.”
واقعیت این است که هیچ روش واحدی به عنوان بهترین شیوه برای امنیت نرم افزارهای تحت وب وجود نداشته ، اما روش های موضع گیری خوبی وجود داشته که می توان انها را دنبال کرد. هنگام کار با امنیت مبتنی بر وب ، دانستن برخی از انواع حملات و چگونگی پاسخ دهی به آن ها ، اهمیت دارد.
جلوگیری از تهدیدات ابری
راه های زیادی وجود داشته که یک متجاوز می تواند برای دستیابی به محیط مراقبت های درمانی ، از آن ها استفاده کند. تهدیدات مداوم پیشرفته (APT) در حال افزایش بوده چرا که بیشتر هکرها انواع خاصی از مراکز اطلاعاتی را برای مقاصد خود (یا یک گروه) هدف قرار می دهند.
نهادهای درمانی میلیون ها دلار هزینه صرف تلاش برای تامین امنیت محیط خود کرده چرا که یک نقض و تخلف می تواند نتایج مخربی را به همراه داشته باشد. از دست رفتن احتمالی داده های کاربران ، وجهه عمومی ضعیف و دیگر تبعات ، مسائل ایمنی را مستحق چنین هزینه هایی می کند.
از دیدگاه ابری ، چندین روش وجود داشته که یک متجاوز یا یک مخرب توانسته وارد سیستم مراقبت های بهداشت و درمان شود:
حملات مبتنی بر سخت افزار و داده
- حملات سرریز کننده بافری
- DDoS یا DoS
حملات پایگاه داده و دستورات
- حفره های امنیتی SQL
- تزریق SQL
- SSI (تزریق از سمت سرور)
- تزریق LDAP
حملات از سمت مشتری
- این نوع حملات می توانند کاملا سهوی باشند به طوری که ممکن است مشتری ، کاملا تصادفی اطلاعات آلوده یا آسیب دیده را به برنامه تحت وب انتقال دهد.
- جعل مطالب یا اجرای غیرقانونی کد
حملات مبتنی بر سایت
- برنامه نویسی بین سایتی (XSS)
- معیارهای ورود کاربر ضعیف. این بدان معناست که کاربران می توانند هنگام استفاده از یک برنامه تحت وب ، مقادیر لازم را جایگزین کنند.
شکاف های امنیتی سخت افزاری مبتنی بر وب
- مجموعه قوانین نادرست فایروال
- اعمال نادرست در تنظیمات فایروال
اگرچه سیستم ها امنیتی در طی سالهای گذشته بهبود یافته اند ، اما همچنان اخبار متعددی درباره تهدیدات ایمنی برای داده ها و برنامه های درمانی تحت وب وجود دارد. برای مقابله با این مسئله ، سازمان ها مجبور بوده تا مجموعه قوانین و بهترین شیوه های خود را برای حصول اطمینان از داده ها و یکپارچگی برنامه ها در وب تنظیم کنند.
بهترین شیوه های امنیتی برنامه های ابری
برنامه های تحت وب در چندین سطح نیازمند امنیت می باشند. این نوع از مدل ردیفی ، به مدیران این اجازه را داده که نه تنها عناصر محیطی خود بلکه خطر را نیز عایق بندی کنند.
هنگام کار با سیستم های درمانی ، ایده مدنظر جداکردن اجزا حیاتی و ایمن سازی آنها به صورت جداگانه است.
با این حال ، باید از طریق همه ی اینها ، دیدی مستقیم بر کل اکوسیستم وجود داشته باشد. این روش به تیم امنیتی این اجازه را داده تا گزارش های فردی ، سرورها ، پایگاه های داده و سرویس ها را کنترل کنند تا از قابل اجرا بودن سیاست های امنیتی اطمینان حاصل شود.
برای امنیت بهتر محیط درمانی ابری ، هفت توصیه زیر را در نظر بگیرید.
برنامه درمانی خود و چگونگی ایمن سازی آن را بشناسید.
در صورت لزوم از تیم های دیگر استفاده کرده و نیازهای اساسی را بشناسید.
زیرساخت های طبقه بندی شده خود را شناخته و موعلفه های مراقبت های درمانی فردی را ایمن سازی کنید.
همه سیاست های امنیتی ، پورت ها ، سرویس ها و داده ها را بررسی کنید.
سیاست امنیتی ایجاد کرده و ممیزی های داخلی را انجام دهید.
بهترین راه برای حصول اطمینان از یکپارچگی یک معماری امنیتی ، آزمایش کردن آن است.
از یک چرخه عمر برنامه تحت وب استفاده کنید.
همچنین از Risk Correlation و Log Aggregation نیز استفاده کنید. این ها می توانند ابزارهای فعال خوبی برای امنیت به موقع باشد.
نحوه دریافت برنامه ها را شناخته و ترافیک آنها را رمزگذاری کنید.
برنامه های ابری به طور بالقوه با چند مرکز داده در تماس هستند. مواردی که دریافت می شوند را شناخته ، از انجام رمزگذاری اطمینان حاصل کرده و سیاست های امنیتی متنی (چه کسی ، چه چیزی ، کجا و چه زمانی) را اعمال کنید.
نقش های کاربر را مشخص کنید.
غالبا حساب های ادمین هرز یا امتیازات عالی یافت شده که می تواند منجر به ایجاد حفره های امنیتی کاملا واقعی شود. گروه های کاربری ، حقوق ادمین و چگونگی تعامل کاربر با داده ها را کنترل کنید.اجرای اقدامات امنیتی قوی برای نرم افزار های تحت وب یک نهاد درمانی ، امری غیرممکن نیست اما بخش های تحت پوشش باید اطمینان حاصل کرده که زمان لازم را به یافتن ابزارهای مناسب عملکرد خود ، اختصاص می دهند.
منبع: healthitsecurity.com