پیس میکرز سے لے کر اسمارٹ واچز تک ، ہم تیزی سے سائبرنیٹک نوع میں بن رہے ہیں۔ یہی وجہ ہے کہ ایمپلانٹڈ میڈیکل آلات میں پائی جانے والی کمزوریوں کے بارے میں حالیہ سرخیاں خطرے کی گھنٹی بجا سکتی ہیں۔ کیا آپ کے دادا کے پیس میکر کو واقعی میں ہیک کیا جاسکتا ہے اور ، اگر ایسا ہے تو ، اصل دنیا کو کیا خطرہ ہے؟
یہ ایک بروقت سوال ہے۔ ہاں ، اس سے پہلے ہی میڈیکل ٹکنالوجی میں نمایاں تبدیلیاں آرہی ہیں — اب قابل تقلید آلات وائرلیس طور پر بات چیت کرسکتے ہیں ، اور آنے والی میڈیکل انٹرنیٹ آف تھنگس (IOT) صحت کے ساتھ فراہم کرنے والوں اور مریضوں کو زیادہ سے زیادہ مربوط رکھنے کے ل various اپنے ساتھ مختلف لباس پہننے کے قابل آلہ لے رہی ہے۔ لیکن میڈیکل ڈیوائس کے ایک بڑے کارخانہ دار نے ایک نہیں ، بلکہ دو اہم حفاظتی خطرات سے سرخیاں بنائیں ہیں۔
نقصان دہیاں ہیکنگ کے خطرات کو نمایاں کرتی ہیں
اس پچھلے مارچ میں ہوم لینڈ سیکیورٹی کے محکمہ نے انتباہ کیا تھا ہیکر میڈلیٹرونک کے ذریعہ بنائے گئے پرتیاروپت پیس میکرز تک وائرلیس طور پر رسائی حاصل کرسکتے تھے . پھر ، صرف تین ماہ بعد ، میڈٹرونک نے رضاکارانہ طور پر اپنے انسولین کے کچھ پمپوں کو واپس بلا لیا اسی طرح کی وجوہات کی بناء پر۔
سطح پر ، یہ خوفناک ہے ، لیکن یہ اتنا برا نہیں ہوگا جتنا اسے لگتا ہے۔ ہیکرز سینکڑوں میل دور کچھ دور دراز کے ٹرمینل سے لگائے ہوئے پیس میکرز تک رسائی حاصل نہیں کرسکتے ہیں یا وسیع پیمانے پر حملے کر سکتے ہیں۔ ان میں سے کسی ایک پیس میکر کو ہیک کرنے کے ل the ، شکار کو قریب سے جسمانی قربت میں حملہ کرنا پڑتا ہے (بلوٹوتھ رینج کے اندر) ، اور صرف اس وقت جب آلہ انٹرنیٹ سے ڈیٹا بھیجنے اور وصول کرنے کے لئے جڑ جاتا ہے۔
اگرچہ امکان نہیں ، خطرہ اصلی ہے۔ میٹٹرونک نے آلے کا مواصلاتی پروٹوکول ڈیزائن کیا تاکہ اسے کسی توثیق کی ضرورت نہ ہو ، اور نہ ہی ڈیٹا کو خفیہ بنایا جاتا ہے۔ لہذا ، جو بھی شخص کافی حوصلہ افزائی کرتا ہے وہ ایمپلانٹ میں موجود ڈیٹا کو تبدیل کرسکتا ہے ، امکانی طور پر اس کے طرز عمل کو خطرناک یا اس سے بھی مہلک انداز میں تبدیل کرسکتا ہے۔
پیس میکرز کی طرح ، واپس آئے ہوئے انسولین پمپ وائرلیس طور پر متعلقہ سازو سامان سے منسلک کرنے کے قابل بنائے جاتے ہیں ، جیسے ایک پیمائش آلہ ، جس سے یہ طے ہوتا ہے کہ کتنا انسولین پمپ ہوتا ہے۔ انسولین پمپوں کے اس خاندان میں بھی بلٹ ان سیکیورٹی نہیں ہے ، لہذا کمپنی ان کی جگہ زیادہ سائبر سے واقف ماڈل کے ساتھ لے رہی ہے۔
انڈسٹری کیچ اپ کھیل رہی ہے
پہلی نظر میں ، یہ ظاہر ہوسکتا ہے کہ میڈٹ ٹرنک بے خبر اور خطرناک سیکیورٹی کا پوسٹر چائلڈ ہے (کمپنی نے اس کہانی پر تبصرہ کرنے کے لئے ہماری درخواست کا جواب نہیں دیا) ، لیکن یہ اکیلے سے دور ہے۔
آئی او ٹی سیکیورٹی کمپنی کیفیکٹر کے چیف ٹکنالوجی آفیسر ٹیڈ شارٹر نے کہا ، "مجموعی طور پر طبی آلات میں سائبرسیکیوریٹی کی صورتحال ناقص ہے۔
ایپسٹین بیکر گرین میں پرائیویسی ، سائبرسیکیوریٹی ، اور صحت کی دیکھ بھال کے ضوابط میں مہارت رکھنے والے ایک وکیل الآپ شاہ بتاتے ہیں: "مینوفیکچررز نے سیکیورٹی کو مدنظر رکھتے ہوئے تاریخی طور پر مصنوعات تیار نہیں کیں۔"
بہرحال ، ماضی میں ، پیسمیکر کے ساتھ چھیڑ چھاڑ کرنے کے ل you ، آپ کو سرجری کرنی پڑی۔ پوری صنعت ٹکنالوجی کو پکڑنے اور سیکیورٹی کے مضمرات کو سمجھنے کی کوشش کر رہی ہے۔ ایک تیزی سے ترقی پذیر ماحولیاتی نظام - جیسے میڈیکل IoT کا پہلے ذکر کیا گیا ہے - ایک ایسی صنعت پر نئے سکیورٹی دباؤ ڈال رہا ہے جس کے بارے میں پہلے کبھی اس کے بارے میں سوچنا نہیں پڑا تھا۔
"ہم رابطے اور سیکیورٹی خدشات کی نمو میں ایک موڑ ڈال رہے ہیں ،" مکافی کے سربراہ خطرہ محقق ، اسٹیو پوولوینی نے کہا۔
اگرچہ میڈیکل انڈسٹری میں کمزوریاں ہیں ، اگرچہ ، جنگل میں کبھی بھی میڈیکل ڈیوائس ہیک نہیں ہوئی۔
شارٹر نے کہا ، "مجھے کسی بھی استحصال کا سامنا نہیں ہے۔
کیوں نہیں؟
پوولوینی نے وضاحت کرتے ہوئے کہا ، "مجرموں کو صرف پیسمیکر کو ہیک کرنے کی تحریک نہیں ہوتی ہے۔ "میڈیکل سرورز کے پیچھے اور بھی زیادہ آر اوآئی جارہی ہے ، جہاں وہ مریضوں کے ریکارڈ کو یرغمال بنائے ہوئے ریمس ویئر کے ذریعہ رکھ سکتے ہیں۔ یہی وجہ ہے کہ وہ اس جگہ کے پیچھے چلتے ہیں ، کم پیچیدگی ، واپسی کی اعلی شرح۔ "
در حقیقت ، جب پیچیدہ ، انتہائی تکنیکی میڈیکل ڈیوائس میں چھیڑ چھاڑ میں سرمایہ کاری کیوں کی جائے ، جب اسپتال کے آئی ٹی محکموں نے روایتی طور پر اس طرح کی خراب حفاظت کی ہے اور اس کی ادائیگی اتنی اچھی ہے؟ صرف 2017 میں ، 16 اسپتال تاوان کے سامان سے معذور ہوگئے تھے . اور اگر آپ کو پکڑا جاتا ہے تو سرور کو غیر فعال کرنا قتل کا الزام نہیں اٹھاتا ہے۔ کام کاج ، پرتیاروپت میڈیکل ڈیوائس کو ہیک کرنا ایک بہت ہی مختلف معاملہ ہے۔
قتل اور میڈیکل ڈیوائس ہیکنگ
اس کے باوجود ، سابق نائب صدر ڈک چینی نے 2012 میں کوئی امکان نہیں اٹھایا۔ جب ڈاکٹروں نے اس کے پرانے پیسمیکر کو ایک نئے ، وائرلیس ماڈل سے تبدیل کیا تو ، انہوں نے کسی بھی ہیکنگ کو روکنے کے لئے وائرلیس خصوصیات کو غیر فعال کردیا۔ جزوی طور پر ٹی وی شو ، "ہوم لینڈ ،" کے پلاٹ کے ذریعہ متاثر ہوا چین کے ڈاکٹر نے کہا ، "مجھے ایسا لگتا تھا کہ ریاست ہائے متحدہ امریکہ کے نائب صدر کے لئے ایسا آلہ تیار کرنا برا خیال ہوگا جو شاید کوئی… ہیک کر سکے۔"
چین کی کہانی ایک خوفناک مستقبل کی تجویز کرتی ہے جس میں افراد اپنی صحت کو باقاعدہ بنانے والے طبی آلات کے ذریعے دور دراز سے نشانہ بناتے ہیں۔ لیکن پوولینی نہیں سوچتے کہ ہم سائنس فائی کی دنیا میں رہ رہے ہیں جس میں دہشت گرد ایمپلانٹس کے ساتھ چھیڑ چھاڑ کرکے لوگوں کو دور سے زپ کر دیتے ہیں۔
پوکولینی نے ہیک کی مشکل پیچیدگی کا حوالہ دیتے ہوئے کہا ، "ہمیں شاذ و نادر ہی لوگوں پر حملہ کرنے میں دلچسپی نظر آتی ہے۔"
لیکن اس کا مطلب یہ نہیں کہ ایسا نہیں ہوسکتا۔ یہ شاید وقت کی بات ہے جب تک کہ کوئی حقیقی دنیا ، مشن ناممکن طرز کے ہیک کا شکار نہ ہوجائے۔ الپائن سیکیورٹی نے پانچ طبقوں کی فہرست تیار کی جو سب سے زیادہ خطرے میں ہیں۔ فہرست میں سرفہرست ، قابل تقویت مند پیسمیکر ہے ، جس نے حالیہ میڈٹرونک یاد کے بغیر ، 2017 کا حوالہ دیتے ہوئے کٹ بنا دیا۔ مینوفیکچرر ایبٹ کے ذریعہ لگائے گئے 465،000 پیسمیکر کی یاد آوری . کمپنی کو حفاظتی سوراخوں کو پیچ کرنے کے لئے ان آلات کا فرم ویئر اپ ڈیٹ کرنا پڑا جس کے نتیجے میں مریض کی آسانی سے موت واقع ہوسکتی ہے۔
الپائن کے بارے میں فکر مند دیگر آلات میں امپلانٹیبل کارڈیوورٹر ڈیفبریلیٹرز (جو پیس میکرز سے ملتے جلتے ہیں) ، منشیات کے انفیوژن پمپ ، اور یہاں تک کہ ایم آر آئی سسٹم بھی شامل ہیں ، جو نہ تو خون بہہ رہے ہیں اور نہ ہی پرتیار ہیں۔ یہاں پیغام یہ ہے کہ میڈیکل آئی ٹی انڈسٹری کو ہر طرح کے آلات کو محفوظ رکھنے کے لئے اپنی پلیٹ میں بہت زیادہ کام کرنا پڑتا ہے ، بشمول بڑے لیگیسی ہارڈویئر جو اسپتالوں میں بے نقاب بیٹھے ہیں۔
ہم کتنے محفوظ ہیں؟
شکر ہے ، تجزیہ کار اور ماہرین اس بات سے متفق نظر آتے ہیں کہ میڈیکل ڈیوائس تیار کرنے والی جماعت کی سائبرسیکیوریٹی کرنسی میں پچھلے کچھ سالوں سے استحکام آرہا ہے۔ یہ ، جزوی طور پر ، کی وجہ سے ہے 2014 میں شائع ایف ڈی اے کے رہنما خطوط ، انٹرایجنسی ٹاسک فورسز کے ساتھ جو وفاقی حکومت کے متعدد شعبوں پر محیط ہیں۔
مثال کے طور پر ، پوولینی کی حوصلہ افزائی کی گئی ہے کہ ایف ڈی اے مینوفیکچررز کے ساتھ آلہ کی تازہ کاریوں کے لئے ٹیسٹنگ ٹائم لائن کو ہموار کرنے کے لئے کام کر رہا ہے۔ "جانچ کے آلات کو اتنا توازن لگانے کی ضرورت ہے کہ ہم کسی کو تکلیف نہ پہنچائیں ، لیکن اتنا زیادہ وقت نہیں لگاتے ہیں کہ ہم حملہ آوروں کو معلوم خطرات پر تحقیق کرنے اور ان پر عمل درآمد کے ل very بہت طویل رن وے دیتے ہیں۔"
انورا فرنینڈو کے مطابق ، UL's چیف انوویشن آرکٹیکٹ آف میڈیکل سسٹمز انٹرآپریبلٹی اینڈ سیکیورٹی ، حکومت میں ابھی طبی آلات کی حفاظت کو بہتر بنانا ایک ترجیح ہے۔ “ایف ڈی اے نئی اور بہتر رہنمائی تیار کررہا ہے۔ ہیلتھ کیئر سیکٹر کوآرڈینیٹنگ کونسل نے حال ہی میں مشترکہ سیکیورٹی پلان پیش کیا۔ معیارات کی ترقی کی تنظیمیں معیار کو تیار کررہی ہیں اور جہاں ضرورت ہو وہاں ایک نیا تشکیل دے رہی ہیں۔ ڈی ایچ ایس اپنے سی ای آر ٹی پروگراموں اور بنیادی ڈھانچے کے تحفظ کے دیگر اہم منصوبوں پر توسیع جاری رکھے ہوئے ہے ، اور ہیلتھ کیئر کمیونٹی دوسروں کے ساتھ سائبر سیکیورٹی کی کرنسی کو بہتر بنانے کے ل threat بڑھتی ہوئی خطرے کی تزئین کو برقرار رکھنے کے ل expand توسیع اور کام کررہی ہے۔
شاید یہ تسلی بخش ہے کہ بہت سارے مخففات اس میں شامل ہیں ، لیکن ابھی بہت طویل سفر طے کرنا ہے۔
فرنینڈو نے افسوس کا اظہار کرتے ہوئے کہا ، "جب کہ کچھ اسپتالوں میں سائبر سیکیورٹی کی صورتحال بہت پختہ ہے ، لیکن ابھی بھی بہت سارے لوگ یہ سمجھنے کے لئے جدوجہد کر رہے ہیں کہ یہاں تک کہ بنیادی سائبرسیکیوریٹی حفظان صحت سے بھی کیسے نمٹا جائے۔"
تو ، کیا آپ کے ، آپ کے دادا ، یا کوئی مریض پہننے کے قابل یا ایمپلانٹ میڈیکل ڈیوائس سے کام کرسکتا ہے؟ اس کا جواب تھوڑا سا پریشان کن ہے۔
پوولینی نے کہا ، "بدقسمتی سے ، یہ ذمہ داری مینوفیکچررز اور طبی برادری پر ہے۔ "ہمیں زیادہ محفوظ آلات اور سیکیورٹی پروٹوکول کے مناسب نفاذ کی ضرورت ہے۔"
اگرچہ ، یہاں ایک استثناء ہے۔ اگر آپ صارف کے معیار کا آلہ استعمال کررہے ہیں a مثلا smart اسمارٹ واچ ، جیسے — پوولنی آپ کو سلامتی کی اچھی حفظان صحت کی مشق کرنے کی سفارش کرتا ہے۔ "ڈیفالٹ پاس ورڈ کو تبدیل کریں ، سیکیورٹی اپ ڈیٹس کا اطلاق کریں ، اور یہ یقینی بنائیں کہ اگر یہ ہونا ضروری نہیں ہے تو وہ ہر وقت انٹرنیٹ سے منسلک نہیں ہوتا ہے۔"
