امنیت سایبری در تصویربرداری پزشکی

چکیده مقاله

این مقاله، مروری است بر مطالعات منتشر شده با موضوع امنیت سایبری در PACS (بایگانی تصاویر پزشکی و سیستم‌های ارتباطی) و تصویربرداری پزشکی که آنها را بررسی می‌کند. از دیدگاه عملی، برای جلوگیری از حوادثی مانند قرارگیری سیستم‌های PACS در معرض دسترسی غیرمجاز اینترنتی، باید اقدامات امنیتی مختص PACS را همراه با اقدامات قابل اجرا در زیرساخت‌های IT به صورت یکپارچه اجرا کرد. بنابراین، این مقاله ابتدا به طور کلی مروری بر اقدامات کاهش اثر فیزیکی، فنی و سازمانی ارائه شده در مطالعات امنیت سایبری که در حوزه IT مراقبت‌های سلامت انجام شده‌اند ارائه می‌دهد و به دنبال آن مروری بر نشریاتی دارد که درباره موضوعات ویژه امنیت سایبری که برای PACS و تصویربرداری پزشکی اعمال می‌شوند انجام می‌دهد و “اجزای سازنده” موجود در مطالعات که می‌توانند برای ساخت یک محیط امن PACS کمک کننده باشند را ارائه می‌نماید. این موارد شامل حذف هویت بیمار از تصاویر پزشکی، امنیت انتقال اطلاعات، رمزگذاری انتخابی سربرگ DICOM (تصویربرداری دیجیتال و ارتباطات در پزشکی)، فایل‌های رمزگذاری شده DICOM، امضاهای دیجیتالی و تکنیک‌های نهان نگاری است.

مقدمه

استفاده از فناوری اطلاعات (IT) در حوزه پزشکی مدرن نفوذ کرده است. این نفوذ با معرفی سیستم‌های اطلاعات بیمارستانی (HIS) در حدود سال ۱۹۷۰، روش‌های تصویربرداری دیجیتال مانند توموگرافی کامپیوتری (CT) و تصویربرداری تشدید مغناطیسی (MRI) در دهه ۱۹۷۰ و ۱۹۸۰، سیستم‌های ارتباطی بایگانی و تصویربرداری (PACS) و خواندن نسخه غیر چاپی در ۱۹۸۰ و ۱۹۹۰شروع شد و امروزه به سمت اشتراک گذاری الکترونیکی اطلاعات بالینی در سراسر مراکز، کشورها و یا حتی در سطح بین المللی توسعه پیدا کرده است. اینترنت به منبع ضروری اطلاعات و ابزاری برای برقراری ارتباط سریع، کارآمد و ارزان تبدیل شده است. با این حال، استفاده گسترده از فناوری اطلاعات و اینترنت چالش‌های جدیدی را نیز ایجاد کرده است و یکی از موضوعاتی که برای بیمارستان‌ها اهمیت بیشتری پیدا کرده است امنیت سایبری است. اصطلاحی که دیکشنری انگلیسی آکسفورد آن را به عنوان “وضعیت حفاظت شده در برابر استفاده مجرمانه یا غیر مجاز از داده‌های الکترونیکی یا اقدامات انجام شده برای دستیابی به این هدف ” تعریف می‌کند. مفاهیم “بدافزار” (نرم افزار مخرب) و “هک” (نفوذ غیرمجاز به رایانه یا شبکه داخلی) قبل از استقرار گسترده اینترنت و حداقل به اوایل دهه ۱۹۷۰ بر می‌گردند. با این حال، این واقعیت که امروزه اکثر سیستم‌های IT در سراسر جهان تا حدی به اینترنت متصل شده‌اند، باعث افزایش چشمگیر چنین حوادثی شده است و این حوادث دیگر به افراد علاقه‌مندی که از روی کنجکاوی این کار را انجام می‌دهند نسبت داده نمی‌شود، بلکه به گروه‌های جرایم سازمان یافته و تهدید مداوم پیشرفته (APT) مرتبط با دولت‌ها و سازمان‌های جاسوسی نسبت داده می‌شود.

یک نوع بدافزار مضر بخصوص که در حال حاضر سازمان‌ها و کاربران رایانه را در سراسر جهان آزار می‌دهد، “باج افزار” است. باج افزار، نرم افزاری است که به محض دانلود شدن، شروع به کار می‌کند و هرچه قدر فایل که ممکن است را رمزگذاری کرده و سپس خواستار پرداخت باج (معمولاً با استفاده از یک ارز رمزنگاری شده مانند بیت کوین) می‌شود. با این قول که پس از پرداخت باج، رمز مورد نیاز برای رمزگشایی پرونده‌های رمزگذاری شده از طرف نویسندگان بدافزار در دسترس آن‌ها قرار خواهد گرفت. البته ممکن است چنین بشود یا نشود. یک سند منتشر شده توسط وزارت دادگستری ایالات متحده بیان می‌کند که ۴۰۰۰ حمله باج افزار در روز در سال ۲۰۱۶ گزارش شده است که نسبت به سال ۲۰۱۵ با چهار برابر افزایش همراه است. علاوه بر این، مراقبت‌های بهداشتی، یکی از بخش‌هایی است که بیشترین تاثیر را از این مسئله دیده است و ۱۵٪ از کل باج افزارهای تشخیص داده شده جهان در سال ۲۰۱۷ در مراکز درمانی شناسایی شده‌اند. پنجاه درصد از کل حوادث امنیت سایبری در بیمارستان‌ها در سال ۲۰۱۷ مربوط به باج افزار بوده است.

سیاست گذاران در سراسر جهان دیگر به این نتیجه رسیده‌اند که مراکز مراقبت‎های بهداشتی بخشی از زیرساخت‎های مهم جامعه هستند که نیاز به محافظت ویژه در برابر تهدیدات سایبری را دارند. به عنوان مثال، طرح ملی حفاظت از زیرساخت‎های ایالات متحده، یک طرح ویژه برای بخش بهداشت، درمان و بهداشت عمومی ارائه می‎دهد. اتحادیه اروپا نیز آژانس امنیت شبکه و اطلاعات اتحادیه اروپا (ENISA) را به عنوان مسئول رسیدگی به این امر قرار داده است، که در میان سایر موضوعات، مطالعاتی را مربوط به مسائل امنیت سایبری در بخش مراقبت‌های بهداشتی منتشر می‌کند. در آلمان، بیمارستان‌های بزرگ (بیمارستان‌هایی که سالانه ۳۰۰۰۰ نفر یا بیشتر پذیرش بستری دارند) مجبور هستند الزامات قانون امنیت فناوری اطلاعات را با هدف تأمین زیرساخت‌های حیاتی اجرا کنند.

از طرف دیگر، تهدیدهای امنیت سایبری که بیمارستان‌ها با آن روبرو هستند به حد جدیدی رسیده است. در حالی که در گذشته حملات اغلب گسترده و تصادفی بودند، اکنون به طور فزاینده‌ای بخش مراقبت‌های بهداشتی را به طور هدفمند و برنامه‌ریزی شده هدف قرار می‌دهند، که ظاهراً برای گروه‌هایی که پشت این تهدیدها هستند به عنوان یک هدف جذاب قلمداد می‌شود. به عنوان مثال، به جای ایمیل‌های رایج “فیشینگ” که به طور گسترده به عنوان ایمیل ناخواسته (SPAM) توزیع می‌شود و از کاربران می‌خواهند پیوست ایمیل خود را باز کنند، مهاجمان به طور فزاینده از روش مهندسی اجتماعی “ فیشینگ با نیزه” (Spear Phishing) استفاده می‌کنند. به این صورت که یک کاربر مشخص، به عنوان مثال، یک کارمند بخش منابع انسانی، ایمیل متقاعد کننده‌ای و اختصاصی را دریافت می‌کند که یک سند یا فایل به آن لینک یا پیوست شده است و اگر باز شود، بدافزار رایانه را آلوده می‌کند.

هدف این مقاله ارائه مروری کلی در مورد مطالعات منتشر شده در مورد امنیت سایبری برای PACS و تصویربرداری پزشکی است، هم برای محققی در حوزه فناوری اطلاعات پزشکی و هم برای پزشکی مانند مدیر CIO یا PACS بیمارستان که می‌خواهد امنیت سایبری مرکز خود را با جدیدترین تکنولوژی‌ها مقایسه کند. از منظر عملی، برای جلوگیری از حوادثی مانند پیکربندی آرشیو تصاویر به نحوی که به دلیل کمبود زیر ساخت‌های نسبتاً اساسیIT، دسترسی بدون محدودیت از اینترنت به آن‌ها وجود داشته باشد، اقدامات امنیتی مختص PACS باید همراه با اقدامات قابل اجرا در زیرساخت IT به صورت یکپارچه اجرا شود. مطالعات استیتس و همکاران در سال ۲۰۱۵، مطالعه گیلوم و همکاران و Greenbone Networks و در سال ۲۰۱۹ و یک گزارش فالوآپ (پیگیری) توسط ویتتاکر در سال ۲۰۲۰ نشان می‎دهد که این یک مشکل کاملا واقعی است. مشخص شده است که صدها سیستم PACS در سراسر جهان در معرض دسترسی از طریق اینترنت قرار دارند و تعداد آن‌ها با گذشت زمان افزایش نیز می‌یابد.

ساختار این مقاله به شرح زیر است: بخش “امنیت سایبری در IT مراقبت‌های بهداشتی” نمایی کلی از مطالعات مربوط به امنیت سایبری در IT مراقبت‌های بهداشتی را ارائه می‌دهد. بخش “امنیت سایبری در PACS و تصویربرداری پزشکی” مروری دارد بر نشریاتی که در مورد موضوعات مختص امنیت سایبری که برای PACS و تصویربرداری پزشکی بحث می‌کنند و “اجزای سازنده” موجود در مطالعات را برای ساخت یک محیط امن PACS ارائه می‌دهند. در بخش “بحث”، ما در مورد نتایج بررسی‌ها بحث می‌کنیم و به شکاف‌های موجود در مطالعات منتشر شده اشاره خواهیم کرد.

امنیت سایبری در مراقبت های بهداشتی IT

نشریات در حوزه امنیت سایبری از سال ۲۰۱۲ افزایش چشمگیری داشته‌اند. استانداردهای متعدد موجود، مقررات دولتی، دستورالعمل‌های ارائه دهنده بهترین روش‌ها و مقالات علمی، هر کدام در حوزه امنیت سایبری بحث کرده و توصیه‌هایی را ارائه می‌دهند. بنابراین، ارائه یک نمای کلی از امنیت IT در سطح عمومی، از حوصله این مقاله خارج است. با این وجود سعی می‌کنیم مهم‌ترین توصیه‌ها را برای بهبوددیدگاه پزشکان و فعالان حوزه سلامت، خلاصه کنیم. توصیه‌هایی که قابل استفاده در مراقبت‌های بهداشتی IT و به ویژه PACS و شبکه‌های تصویربرداری پزشکی است. برای رفرنس بیشتر، خوانندگان باید از مهمترین استانداردها در این حوزه، یعنیISO / IEC 27002: 2013 و ISO 27799: 2016 استفاده کنند.

امنیت سایبری در PACS و تصویربرداری پزشکی

در حالی که تعداد زیادی از نشریات در مورد نیازهای امنیت سایبری فناوری اطلاعات در بهداشت و درمان به طور کلی بحث می‌کنند، تعداد نشریاتی که به طور خاص در مورد الزامات امنیتی PACS و تصویربرداری پزشکی بحث می‌کنند بسیار کمتر است و بسیاری از نشریات موجود بر الزامات امنیتی در زمینه تبادل تصاویر پزشکی از طریق شبکه‌های عمومی، به عنوان مثال، در زمینه برنامه‌های teleradiology / telemedicine یا سوابق الکترونیکی بهداشت (EHR) تمرکز دارند. استریکلند در مورد خطرات مرتبط با استقرار و بهره‌برداری از PACS بحث می‌کند، اگرچه روی امنیت سایبری متمرکز نیست. دژاردین و همکاران یک نمای کلی از مسائل مربوط به امنیت سایبری مربوط به DICOM ارائه می‌دهد و توصیه‌هایی را برای رادیولوژیست‌ها، کارکنان فناوری اطلاعات و نهادهای استانداردسازی و قانون گذاری ارائه می‌دهد.

منبع : کتاب Cybersecurity in PACS and Medical Imaging]