أصدرت وزارة الأمن الداخلي الأمريكية تحذيرًا حول مجموعة من الثغرات الأمنية الحرجة التي تتيح للمهاجمين استغلال الاتصالات اللاسلكية للتحكم بأجهزة تنظيم ضربات القلب المصنعة من قبل شركة ميدترونيك Medtronic المزروعة داخل المرضى.
ويتم زرع أجهزة إزالة الرجفان القلبي الصغيرة جراحيًا تحت الجلد لمراقبة قلب المريض وتوفير صدمات كهربائية صغيرة لمنع حدوث ضربات قلب غير منتظمة أو سريعة، والتي يمكن أن تكون قاتلة، واستعادة نبضات القلب الطبيعية للشخص.
واستخدم الأطباء في العقود الأخيرة الموجات الراديوية على نحو متزايد لمراقبة أجهزة إنقاذ الحياة وضبطها بمجرد زرعها بدلاً من استخدام وسائل أقدم وأكثر تكلفة وأكثر تدخلًا جراحيًا.
وتأتي معظم الأجهزة الحديثة مزودة بتكنولوجيا لاسلكية أو قائمة على الموجات الراديوية للسماح للمرضى بمراقبة ظروفهم، كما أنها تسمح للأطباء بضبط الإعدادات دون الحاجة إلى إجراء عملية جراحية.
وحذرت الوزارة من أن بروتوكول الاتصالات اللاسلكية الخاص بشركة Medtronic، والمعروف باسم Conexus، لم يتم تشفيره، ولم يتطلب مصادقة، مما يسمح لمهاجم قريب يمتلك أجهزة اعتراض لاسلكية بتعديل البيانات على جهاز مزيل الرجفان المتأثر.
وأعطت وزارة الأمن الداخلي التنبيه درجة 9.3 من أصل 10، واصفة إياه بأنه يتطلب مستوى مهارة منخفض لاستغلاله.
ويعني هذا أن أي شخص لديه جهاز لتنظيم ضربات القلب متأثر بالخلل هو هدف للمتسللين، وتوضح المعلومات أن عدد الأجهزة المتأثر يصل إلى 750 ألف جهاز.
وقالت شركة ميدترونيك إن المرضى سيكونون أكثر عرضة للخطر عندما يتم فحص الجهاز أثناء وجودهم في عيادة الطبيب، بينما يجري تفعيل جهاز تنظيم ضربات القلب في جميع الأوقات الأخرى من حين لآخر، ويستمع لجهاز مراقبة قريب إذا كان ضمن النطاق، مما يضيق نطاق الهجوم.
وأوضح الإنذار أن أكثر من 20 نموذجًا مختلفًا من نماذج أجهزة إزالة الرجفان من شركة ميدترونيك متأثرة، بما في ذلك نظام CareLink القابل للبرمجة المستخدم في عيادات الأطباء، وشاشة MyCareLink المستخدمة في بيوت المرضى.
وكان بيتر مورجان Peter Morgan، مؤسس ومدير شركة كليفر سيكيوريتي Clever Security، قد أبلغ ميدترونيك عن الخلل في شهر يناير، موضحًا أنه ليس من السهل اكتشاف الخلل، لكنه حذر من خطر محتمل على المرضى.
وقال: “من الممكن في هذا الهجوم التسبب في ضرر للمريض، إما عن طريق محو البرامج الثابتة التي تقدم العلاج اللازم لقلب المريض، أو عن طريق استدعاء الأوامر المتعلقة بالصدمة مباشرة على مزيل الرجفان”.
وأشار إلى أنه بالنظر إلى أن البروتوكول لا يتطلب مصادقة، فإنه لا يمكن لجهاز مزيل الرجفان تمييز ما إذا كانت الاتصالات التي يتلقاها تأتي من جهاز ميدترونيك موثوق به أو من مهاجم”.
وقالت ميدترونيك إنها تبحث حاليًا في إمكانية وجود نشاطًا غير عادي أو غير مصرح به يتعلق بالضعف لكنها لم تجد أي حادثة استغلال ناجح للعيوب حتى هذه اللحظة، مضيفة أنها تطور تحديثات لإصلاح الثغرات الأمنية، دون أن تذكر متى سوف يتم تنفيذ الإصلاحات.
وقدمت إدارة الغذاء والدواء FDA، التي تنظم الأجهزة الطبية، قائمة بالأجهزة المصابة.
وكانت إدارة الأغذية والعقاقير قد أصدرت في عام 2016 توصيات غير ملزمة تساعد صانعي الأجهزة الطبية فيما يتعلق بممارسات الأمن السيبراني من أجل منع حدوث مثل هذه العيوب، بالإضافة إلى تقديم النصح للشركات من أجل بناء ضوابط أمن سيبراني أفضل عند تصميم الأجهزة وتطويرها لضمان حسن الأداء في مواجهة التهديدات السيبرانية.
أخبار متعلقة :