โค้ดแย่ๆ ไม่ใช่แฮกเกอร์ ถูกมองว่าเป็นความเสี่ยงที่ใหญ่ที่สุดต่อการรักษาความปลอดภัยทางไซเบอร์ของเมดเทค

โค้ดแย่ๆ ไม่ใช่แฮกเกอร์ ถูกมองว่าเป็นความเสี่ยงที่ใหญ่ที่สุดต่อการรักษาความปลอดภัยทางไซเบอร์ของเมดเทค

เมื่อรายการทีวี “Homeland” นำเสนอผู้ก่อการร้ายที่พยายามลอบสังหารรองประธานาธิบดีสหรัฐฯ ที่สวมบทบาทโดยการเจาะระบบเครื่องกระตุ้นหัวใจของเขา ผู้คนบางคนให้ความสำคัญกับการคุกคามดังกล่าวแพทย์ของดิ๊ก เชนีย์  ได้ปิดการทำงานแบบไร้สายของเครื่องกระตุ้นหัวใจของอดีตรองประธานาธิบดีอย่างเห็นได้ชัด เผื่อกรณีอย่างไรก็ตาม ในความเป็นจริง ความเสี่ยงเกี่ยวกับอุปกรณ์ทางการแพทย์นั้นเป็นเรื่องธรรมดามากกว่า ในขณะที่การแฮ็กในโรงพยาบาลและระบบสาธารณสุขได้กลายเป็นภัยคุกคามที่สำคัญ 

การแฮ็กอุปกรณ์นั้นหายาก และความเสี่ยงหลัก

สำหรับเครื่องเช่นเครื่องกระตุ้นหัวใจหรือการปลูกถ่ายสมองยังคงเป็นข้อผิดพลาดในการเข้ารหัสและความผิดพลาดของมนุษย์ มากกว่าผู้กระทำการที่เป็นอันตราย ตามที่ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์กล่าว

Nigel Stanley หัวหน้าเจ้าหน้าที่ฝ่ายเทคโนโลยีของ Global Industrial Cybersecurity Center of Excellence ของ TÜV Rheinland กล่าวว่า “[ภัยคุกคามจากการแฮ็กอุปกรณ์ทางการแพทย์] นั้นสร้างมาเพื่อภาพยนตร์ฮอลลีวูดที่ดี “ฉันคิดว่าความเป็นจริงแตกต่างกันเล็กน้อย”

จนถึงปัจจุบัน ยังไม่มีการแฮ็กอุปกรณ์ทางการแพทย์ที่เป็นที่รู้จัก

แต่มีการโจมตีระบบการดูแลสุขภาพเช่นแฮ็คแรนซัมแวร์ WannaCry ที่น่าอับอายซึ่งกำหนดเป้าหมายไปที่บริการสุขภาพแห่งชาติของสหราชอาณาจักรในปี 2560 ปลุกภาคสุขภาพให้ตื่นตัวต่อความต้องการการป้องกันความปลอดภัยทางไซเบอร์

เมื่อพูดถึงอุปกรณ์แต่ละอย่าง เช่น เครื่องกระตุ้นหัวใจหรือเครื่องฟอกไต ข้อผิดพลาดในการเขียนโปรแกรมยังคงเป็นอันตรายที่ชัดเจนและเป็นอยู่ในปัจจุบัน รหัสซอฟต์แวร์ที่เขียนไม่ดี “ไม่ได้เซ็กซี่เป็นพิเศษ แต่อาจเป็นอันตรายต่อเครื่องมือแพทย์ได้อย่างมาก” สแตนลีย์กล่าว

สำหรับตอนนี้ หน่วยงานกำกับดูแลกำลังพยายามติดตามความเสี่ยงดังกล่าว

ฝรั่งเศสและเยอรมนี  ได้เผยแพร่แนวทางปฏิบัติสำหรับผู้ผลิตในการทำให้อุปกรณ์ปลอดภัย

ในขณะเดียวกันสหภาพยุโรปกำลังจัดการกับความปลอดภัย

ของอุปกรณ์การแพทย์ผ่านการออกกฎหมาย เช่น กฎระเบียบอุปกรณ์การแพทย์ ซึ่งออกแบบมาเพื่อกระชับมาตรการความปลอดภัยมากมายสำหรับอุปกรณ์ทางการแพทย์ในกลุ่ม

แต่มีโอกาสเสมอที่แฮ็กเกอร์จะพบช่องโหว่ Annika Eberstein ผู้จัดการอาวุโสด้านกฎระเบียบและการวิจัยที่ล็อบบี้การถ่ายภาพทางการแพทย์ COCIR กล่าว

“ไม่มีอุปกรณ์ใดที่จะปลอดภัย 100 เปอร์เซ็นต์ตลอดไป” เธอบอกกับ POLITICO

ภัยคุกคามที่สมจริงมากขึ้น

สาเหตุหนึ่งที่ความเสี่ยงในการแฮ็กอุปกรณ์ทางการแพทย์ยังคงต่ำอยู่คือ ข้อมูลที่แฮ็กเกอร์จะได้รับ เช่น ระดับอินซูลิน หรือการอ่านจังหวะการเต้นของหัวใจ มีมูลค่าทางการเงินเพียงเล็กน้อยหรือไม่มีเลย

แม้ว่าแฮ็กเกอร์บางคนอาจมุ่งเป้าไปที่การทำอันตรายอย่างหมดจด แต่ก็เป็นสิ่งที่หายากมาก ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์กล่าว

“การโจมตีทางไซเบอร์ส่วนใหญ่เป็นอาชญากรรมแห่งโอกาส” สเตฟานี โดมัส รองประธานฝ่ายวิจัยของ MedSec ในสหรัฐฯ กล่าว “เป็นเรื่องยากที่ผู้โจมตีจะต้องการเจาะจงเข้าไปในอุปกรณ์ที่เฉพาะเจาะจงมาก”

แฮกเกอร์มักจะดาวน์โหลดมัลแวร์ที่มีอยู่แล้ว (มักเรียกว่า “เวิร์ม”) และเรียกใช้บนอินเทอร์เน็ตโดยกำหนดเป้าหมายไปยังอุปกรณ์สมาร์ทที่มีช่องโหว่ จนกว่าจะพบมัลแวร์ที่ยอมจำนนต่อการโจมตี

นี่คือสาเหตุที่อุปกรณ์ใดๆ ที่เชื่อมต่อกับ WiFi มีความเสี่ยงมากกว่า แฮ็กเกอร์ “พยายามจะเข้าสู่เครือข่ายอย่างสุดความสามารถ และพวกเขาจะลองใช้กลอุบายของพวกเขากับทุกอุปกรณ์ที่พวกเขาทำได้” Domas กล่าว

ภัยคุกคามที่พบบ่อยที่สุดอย่างหนึ่งต่ออุปกรณ์ทางการแพทย์ก็คือเมื่อระบบของโรงพยาบาลซื้อ “ซอฟต์แวร์สินค้าโภคภัณฑ์” (เช่น ผลิตภัณฑ์ Windows) จากผู้ค้าปลีกและไม่ได้ปรับแต่งให้เหมาะกับแต่ละบุคคล มีรหัสมากมายสำหรับแฮกเกอร์เพื่อใช้และถอดรหัสซอฟต์แวร์สินค้าโภคภัณฑ์

สแตนลีย์เน้นย้ำถึงอันตรายต่อผู้ป่วยที่เขียนโค้ดไม่ดี ในโลกแห่งความเป็นจริง ความเสี่ยงของการใช้เครื่องจ่ายอินซูลินที่ปรับเทียบได้ไม่ดีมีมากกว่าการถูกแฮ็ก

“บุคคลสามารถพิมพ์ค่าได้ 1,000 มากกว่าหนึ่ง” สแตนลีย์กล่าว “[ถ้า] การป้อนข้อมูลไม่ได้รับการตรวจสอบอย่างถูกต้อง ผู้ป่วยอาจได้รับยาเกินขนาดจริง ๆ ”

นำไปปฏิบัติ

ผู้ผลิตสามารถออกแบบ “อุปกรณ์ที่สมบูรณ์แบบ” ที่เป็นไปตามข้อบังคับทั้งหมดได้ แต่อย่างที่ Eberstein อธิบาย ทั้งหมดนั้นขึ้นอยู่กับคนที่ใช้มันจริงๆ

“ช่างในโรงพยาบาลสามารถพูดได้ว่า ‘อ่า คีย์การ์ดเหรอ? ลืมเรื่องนั้นไปซะ แล้วปิดการใช้งานพวกมัน” Eberstein กล่าว “แล้วงานทั้งหมดของคุณก็ไร้ค่า”

ส่วนหนึ่งของความท้าทายนี้ตาม Domas หมายความว่าผู้ออกแบบอุปกรณ์ต้องมั่นใจว่ามาตรการรักษาความปลอดภัยที่นำมาใช้นั้นสามารถนำไปใช้ได้จริงในสถานพยาบาล

บางขั้นตอนเหล่านี้ต้องการความมุ่งมั่นของผู้เชี่ยวชาญด้านสุขภาพในการปฏิบัติตามมาตรการด้านความปลอดภัย ตัวอย่างเช่น Domas ให้รายละเอียดเรื่องราวเกี่ยวกับรถเข็นจ่ายยาพร้อมเซ็นเซอร์ความใกล้ชิด เมื่อพยาบาลเดินออกจากเกวียน เครื่องก็จะล็อคตัวเอง

“พวกเขาพบว่ามันน่ารำคาญ และสุดท้ายพวกเขาก็วางถ้วยไว้เหนือเซ็นเซอร์ความใกล้ชิด” Domas กล่าว

ความเสี่ยงอื่น ๆ นั้นร้ายแรงกว่า การเปิดใช้งานการเข้ารหัสบนอุปกรณ์ เช่น ช่วยเพิ่มความปลอดภัยของอุปกรณ์ แต่ก็ทำให้ช้าลงด้วย หากการเข้ารหัสทำให้คอมพิวเตอร์ส่วนบุคคลของคุณล่าช้าไปครึ่งวินาที นั่นก็ไม่ใช่เรื่องใหญ่ แต่สำหรับอุปกรณ์ทางการแพทย์ การอ่านเซ็นเซอร์ล่าช้าครึ่งวินาที “ไม่เป็นที่ยอมรับ” Domas กล่าว “ดังนั้น โซลูชันการรักษาความปลอดภัยแบบดั้งเดิมจำนวนมาก … มีผลข้างเคียงที่ไม่เป็นที่ยอมรับในพื้นที่อุปกรณ์ทางการแพทย์”

credit : รีวิวหนังไทย | คู่มือพ่อแม่มือใหม่ | แม่และเด็ก | เรื่องผี | แคคตัส กระบองเพชร