الهيئة العامة للغذاء والدواء تحذر أقسام تقنية المعلومات بالمنشآت الصحية ومقدمي الرعاية الطبية والشركات المصنعة للأجهزة الطبية من الهجمات الالكترونية والاختراق الأمني للمعلومات الالكترونية على الأجهزة الطبية وشبكات البيانات في المنشآت الصحية

27/08/1435
 

​تحتوي العديد من الأجهزة الطبية على أنظمة حاسوبية داخلية قابلة للضبط يمكن أن تكون عرضة لانتهاكات أمن  المعلومات الالكترونية، فكلما ازداد ترابط هذه الأجهزة من خلال الشبكة العنكبوتية للمعلومات (الانترنت) وشبكات المعلومات بالمستشفى وأجهزة المحمول والأجهزة اللوحية والهواتف الذكية تزايدت المخاطر المرتبطة بالاختراق الأمني للمعلومات الالكترونية والتي من المحتمل أن تؤثر على كيفية تشغيل تلك الأجهزة الطبية.

وفي الآونة الأخيرة تبينت بوضوح نقاط الضعف في الأمن المعلوماتي الالكتروني والحوادث التي يمكن أن تؤثر مباشرة على الأجهزة الطبية أو على شبكات المعلومات في المستشفيات ،بما في ذلك:

1. تعطل أو توقف شبكات الاتصال و الأجهزة الطبية عن العمل بسبب البرامج الضارة.

2. وجود البرامج الضارة في المستشفيات على أجهزة الحواسب والهواتف الذكية والحاسبات اللوحية لاستهداف الأجهزة المتنقلة باستخدام التقنية اللاسلكية للوصول إلى بيانات المرضى ونظم الرصد وأجهزة المرضى المزروعة

3. التوزيع غير المنضبط لكلمات السر وتعطيل العمل بكلمات المرور وكلمات المرور المشفرة للبرامج التي تهدف للوصول إلى الأجهزة ذات الحساسية المعلوماتية ( مثل الإدارية والتقنية وبرامج حفظ بيانات الموظفين ).

4. فشل في توفير برامج الحماية في الوقت المناسب والتحديثات للأجهزة الطبية والشبكات لمعالجة نقاط الضعف ذات الصلة في الطرازات القديمة من الأجهزة(الأجهزة المتوارثة). 

5. الثغرات الأمنية في البرامج الجاهزة والمصممة لمنع الوصول غير المصرح به للأجهزة أو الشبكات.

التوصيات والتوجيهات:

وعليه توصي الهيئة العامة للغذاء والدواء بضرورة اتخاذ خطوات الحماية وتوفير الضمانات المناسبة لأمن المعلومات الالكترونية المرتبط بالأجهزة الطبية للحد من مخاطر الأعطال الناتجة بسبب الهجمات الالكترونية.

 

أ‌ - التوصيات والتوجيهات للشركات المصنعة للأجهزة الطبية :

تقع مسؤولية الاحتراس من المخاطر المحتملة والمرتبطة بالأجهزة الطبية على المصنعين متضمنة الاحتراس من المخاطر المتعلقة بأمن  المعلومات الالكترونية وكذلك وضع الحلول المناسبة للحد من تلك المخاطر والمراعية لسلامة المرضى وضمان كفاءة أداء الجهاز، ومنها على سبيل المثال:

اتخاذ خطوات للحد من الوصول غير المصرح به للأجهزة وحصره على المستخدمين الموثوق بهم فقط لا سيما لتلك الأجهزة التي بها ارتباط مباشر بالحفاظ على الحياة أو التي يمكن أن تكون مرتبطة مباشرة بشبكات المستشفيات.  إن الضوابط الأمنية التي قد تشمل ما يلي:

1. موثوقية المستخدم وعلى سبيل المثال: معرف المستخدم وكلمة المرور والبطاقة الذكية أو القياسات الحيوية وتعزيز حماية كلمة المرور عن طريق تجنب كلمات المرور الثابتة ومعقدة التشفير والحد من وصول الجمهور إلى كلمات السر المستخدمة للوصول للجهاز الفني واستخدام الأقفال الفيزيائية وقارئات البطاقات وتوفير الحراسة.

2. توفير طرق للاحتفاظ والاسترداد للمعلومات بعد أي حادثة اختراق أمني لها.

3. استخدام التصاميم الملائمة والتي تحافظ على عمل الجهاز حتى في الأوقات الحرجة وبعد حدوث اختراق أمن المعلومات الالكترونية والتي تعُرف ( بطرق الحماية من الفشل أو التعطيل).

 

ب ‌- التوصيات والتوجيهات لمقدمي الرعاية الطبية:

1. أخذ خطوات نحو العمل على تقييم أداء أمن الشبكات لدى المنشات الصحية وحماية النظام الخاص بها.

2. تقييد الوصول غير المصرح به إلى شبكات الاتصال المعلوماتي والأجهزة الطبية المتصلة بالشبكات المعلوماتية.

3. وضع برامج ومضادة للفيروسات الإلكترونية وبرامج الحماية المحدثة منعاً للاختراقات  والهجمات.

4. مراقبة خلو الشبكات المعلوماتية من الأنشطة غير المصرح بها.

5. حماية مكونات شبكات الأفراد من خلال التقييم الاعتيادي والدوري بما في ذلك تحديث التصحيحات الأمنية وتعطيل جميع المنافذ والثغرات بالإضافة إلى تعطيل الخدمات غير الضرورية.

6. ضرورة الاتصال بالشركة المصنعة للجهاز في حالة اعتقدت وجود مشاكل ذات علاقة بالخرق الأمني  المعلوماتي للجهاز الطبي.

7. وضع خطط تطويرية وإستراتجية للحفاظ على عمل الأجهزة في ظروف الحوادث الحرجة.

                                                

كما تهيب الهيئة  بمقدمي الرعاية الصحية الإبلاغ عن أي مشاكل تتعلق بالأجهزة والمنتجات الطبية من خلال الموقع الالكتروني للمركز الوطني لبلاغات الأجهزة والمنتجات الطبية  http://ncmdr.sfda.gov.sa

وللمزيد من المعلومات نأمل منكم الرجوع إلى موقع الهيئة على الشبكة العنكبوتية للمعلومات :

 http://www.sfda.gov.sa