صور طبية مُستَخدَمة كسلاح: هل يختبئ البرمجيات الخبيثة في نتائج التصوير بالرنين المغناطيسي؟

اكتشف باحثو شركة Cylera مؤخرًا خللًا يسمح للبرامج الضارة بتضمين نفسها داخل ملفات التصوير الطبي.

يتيح هذا الخلل الذي اكتشفه باحثو Cylera مؤخرًا للبرامج الضارة تضمين نفسها في ملف DICOM - وهو نوع الملف المستخدم في أجهزة CT وMRT. وفقًا لبحث Cylera Labs:

"تُعد هذه الملفات الهجينة ملفات ثنائية للبرامج الضارة قابلة للتنفيذ بالكامل وصور DICOM تعمل بكامل طاقتها وتتوافق مع المعايير وتحافظ على بيانات المريض الأصلية ويمكن للأطباء استخدامها دون إثارة الشكوك. من خلال الاختلاط بالمعلومات الصحية المحمية، يمكن للبرمجيات الخبيثة استغلال التأثيرات السريرية والتنظيمية للبيانات بشكل فعال للتهرب من الاكتشاف وإفشال محاولات الإصلاح مع خلق مجموعة من المخاوف الجديدة لفرق الأمن ومنظمات الرعاية الصحية وشركات مكافحة الفيروسات في هذه العملية.  ادعى Cylera CTO، بول باكويانيس.

وبما أن البرنامج الخبيث لا يلحق الضرر ببيانات المريض أثناء إدخال نفسه في ملف DICOM، فإنه قادر على ترك الملف سليماً تماماً وقابلاً للاستخدام. ويمكن للأطباء الاستمرار في استخدام ملف تصوير مصاب، يُطلق عليه اسم ملفات "PE/DICOM"، أثناء تشخيص المريض وعلاجه دون أي إشارة إلى أن الملف يعيش حياة مزدوجة كبرنامج خبيث يعمل بكامل طاقته.

تحتوي ملفات DICOM على معلومات طبية حساسة تتعلق بالمرضى الأفراد، وبالتالي يتم تصنيفها على أنها معلومات صحية محمية إلكترونيًا، أو ePHI. تخضع هذه المعلومات للتنظيم بموجب قانون HIPAA، ويتطلب من مقدمي الرعاية الصحية وشركائهم التجاريين الحفاظ على سرية هذه البيانات وسلامتها وتوافرها.

بمجرد أن يدمج البرنامج الخبيث نفسه في ملف DICOM، فإنه "يتحول" فعليًا إلى ePHI نفسه ويرث هذه الحماية التي توفرها بيانات المريض الحقيقية. يمكن لأي محاولة لإلحاق الضرر بملف البرنامج الخبيث الآن أن تلحق الضرر بمعلومات المريض الموجودة فيه. يستغل البرنامج الخبيث بفعالية طبيعة البيانات التي يخفيها والآثار التنظيمية لها لحماية نفسه من الأذى.

الأضرار المحتملة

يؤدي هذا الاندماج بين البرامج الضارة العاملة بكامل طاقتها وePHI إلى إنشاء مجموعة من المخاوف التنظيمية والأمنية التي لم يكن من الضروري أخذها في الاعتبار في السابق أثناء عمليات الاستجابة للحوادث، مثل:

• قد يقوم برنامج مكافحة الفيروسات بحذف أو تسريب معلومات ePHI عن طريق الخطأ إلى السحابة أو الإنترنت العام من خلال إجراء تحليلات روتينية قياسية وإصلاحية على ملفات PE/DICOM. وقد لا يكون لهذا عواقب تنظيمية تتعلق بكشف بيانات المرضى المحمية فحسب، بل قد يؤدي أيضًا إلى تعطيل سير العمل السريري اعتمادًا على توفر الملفات المتأثرة.
• قد تقوم فرق الأمان بحذف أو تسريب ePHI عن طريق الخطأ وبنفس الطريقة التي يمكن بها لبرنامج مكافحة الفيروسات الآلي القيام بذلك، فإن تحميل الملفات المشبوهة إلى الخدمات السحابية مثل VirusTotal، على سبيل المثال، هو خطوة شائعة يستخدمها المحللون الذين يقومون الآن بتحميل معلومات المريض المحمية بالإضافة إلى البرامج الضارة.
• قد لا تتمكن فرق الأمان من حذف البرامج الضارة أو عزلها إذا تعرفوا عليه ليس فقط باعتباره ملفًا قابلاً للتنفيذ به برامج ضارة، بل وأيضًا ملف صورة DICOM وظيفي يحتوي على ePHI. وبدون الأدوات المناسبة للتعامل مع ملفات PE/DICOM، فقد يضطرون إلى الاحتفاظ بالملفات المصابة بالبرامج الضارة على أنظمتهم السريرية.
• قد يتهرب البرنامج الخبيث من الكشف 1) بواسطة برنامج مكافحة الفيروسات الذي تم تكوينه بواسطة المؤسسة أو الشركة المصنعة للجهاز لتجاهل البيانات السريرية، أو 2) بواسطة برنامج مكافحة الفيروسات أو برنامج الحماية المصمم بشكل سيئ والذي يتجاهل ملفات DICOM لأنها لا تبدو قابلة للتنفيذ، أو 3) بواسطة محللين بشريين يتعرفون على الملف كصورة DICOM تعمل بكامل طاقتها.
• قد تنتشر حمولات البرامج الضارة في جميع أنحاء المؤسسة، يتم إرسال بيانات DICOM المصابة وحفظها في الأنظمة السريرية أثناء أنماط الاستخدام العادية، مثل عرض نتائج التصوير من قبل ممارسين متعددين. ستكون حمولات البرامج الضارة كامنة في البيانات الموجودة داخل هذه الملفات وستحتاج إلى معالجتها وتنشيطها بواسطة حمولة ثانوية كجزء من هجوم من مرحلتين، والذي يتضمن تعديل "مقدمة" الملف وتنفيذ ملف DICOM مباشرة.

إن الخيط المشترك بين التأثيرات المحتملة المذكورة أعلاه، فضلاً عن التأثيرات الإضافية العديدة غير المدرجة هنا، هو أنها تنبع من الآثار السريرية أو التنظيمية لبيانات المرضى. وهذا أحد الجوانب الأكثر إثارة للاهتمام في خلل PE/DICOM: فالثغرة نفسها لا يتم تعريفها من خلال م ضعف في تصميم البرمجيات، ولكن بدلاً من ذلك ضعف في تصميم البرمجيات المزيد السياق التنظيمي والسريري للبيانات المتأثرة.

تخفيف

إن جذور هذه المشكلة تكمن في مواصفات تنسيق ملف DICOM، والتي تتضمن ميزة تستخدم لتمكين التوافق المتبادل بين ملفات DICOM والتطبيقات المصممة لعرض تنسيقات الصور الأخرى. وهذه الميزة، التي يرتبط غرضها إلى حد كبير بتوفير التوافق مع الأنظمة القديمة، هي بالضبط ما يمكن إساءة استخدامه لتحويل ملف DICOM إلى برنامج قابل للتنفيذ - وهو جزء أساسي من هذا الهجوم.

إن فائدة هذه الميزة لا تقلل من مخاطرها الأمنية، كما أن تأثيرها على الأمن لا يغير من حقيقة أن هذه الميزة، عند استخدامها على النحو المقصود، تقدم قيمة. وقد لا يكون من الممكن إجراء تعديلات على معيار DICOM لإزالة المخاطر الأمنية مع الحفاظ على الوظيفة المقصودة في الأصل. وهذا يجعل من غير المحتمل أن يتغير المعيار بأي شكل جذري للتعويض عن ضعف الميزة وإمكانية إساءة استخدامها.

يجب على المؤسسات التي تسعى إلى حماية نفسها بشكل استباقي من البرامج الضارة التي قد تستغل هذا الخلل تكوين آليات أساسية للكشف عن ملفات PE/DICOM، والحصول على أدوات لتحييد الملفات المكتشفة، والحصول على أدوات لفصل الملفات القابلة للتنفيذ للبرامج الضارة الخام عن ملف صورة DICOM. تتم مناقشة هذه الخطوات بمزيد من التفصيل في التحليل الذي أجرته Cylera Labs، وتتوفر الأدوات المناسبة من Cylera عند الطلب.

يتعين على بائعي برامج مكافحة الفيروسات إضافة آليات مماثلة للتعرف على ملفات PE/DICOM والتعامل معها بشكل مناسب لضمان عدم تسريب معلومات المرضى إلى السحابة أو حذفها أو جعلها غير قابلة للوصول بأي شكل آخر. يسعدنا أن نرى بالفعل بائعين يعملون على إضافة مثل هذا الدعم إلى منتجاتهم. يجب على المنظمات المهتمة بمعرفة ما إذا كان بائع برامج مكافحة الفيروسات أو EDR يخطط لتطبيق معالجة PE/DICOM الاستفسار مباشرة من ممثلهم.

وفي الختام

إن الاعتماد المتزايد للرعاية السريرية على الأنظمة المتصلة بالشبكة يفرض أبعاداً جديدة من القلق والتعقيد على المستشفيات ومقدمي الرعاية الصحية. ويتضح هذا بوضوح من خلال خلل PE/DICOM: إن طبيعة البيانات الموجودة داخل ملفات DICOM هي التي تمنح الثغرة مستوى قوتها الفنية. وإذا تم اكتشاف هذه المشكلة في تنسيق التصوير غير الطبي، فإن الفوائد المترتبة على البرامج الضارة ستكون أقل وسيكون الخطر أقل حدة.

مع النمو السريع لعدد التهديدات التي تتعرض لها شبكات الرعاية الصحية والأجهزة السريرية، غالبا ما يكون من الصعب، وربما حتى غير منتج، التركيز بشكل مفرط على الدفاع ضد أي تهديد أو ثغرة أمنية واحدة. بدلا من ذلك، ينبغي للتهديدات الجديدة ونواقل الهجوم أن تؤثر على كيفية تعامل فرق الأمن وتكنولوجيا المعلومات والهندسة السريرية مع الأمن السيبراني السريري بشكل عام وينبغي أن تؤدي إلى ممارسات أقوى ودفاعات أكثر قوة واستراتيجيات أكثر تنسيقا.

تتضمن بعض مبادئ الأمن السيبراني السريرية الرئيسية التي أبلغ عنها خلل PE/DICOM ما يلي:

• يجب تقييم المخاطر السيبرانية في مجال الرعاية الصحية بطريقة متعددة الأبعاد. فبعيدًا عن التأثير الواضح للهجوم السيبراني على شبكة المؤسسة وأنظمتها، يجب على فرق الأمن وتكنولوجيا المعلومات أن تأخذ في الاعتبار بشكل مباشر العواقب التنظيمية وسرية المرضى والاستمرارية السريرية وسلامة المرضى في نهاية المطاف عند النظر في المخاطر والهجمات.
• يتعين على فرق الأمن أن تكون على دراية بالتأثيرات السريرية والتنظيمية لأفعالها أثناء الاستجابة للتهديدات. إن عزل ملف مصاب أو جهاز طبي قد يتسبب في النهاية في إلحاق ضرر أكبر بالمؤسسة مقارنة بالبرامج الضارة أو التهديد نفسه.
• يتعين على المؤسسات أن تكتسب رؤية أعمق لشبكاتها وأجهزتها وتدفقات البيانات السريرية مع استمرار نمو حجم شبكاتها والتهديدات التي تتعرض لها. إن فهم الأنماط والسلوكيات النموذجية الموجودة على هذه الشبكات يمكن أن يساعد الفرق في تحديد التهديدات التي لا يمكن التنبؤ بها وناقلات الهجوم مثل هذه دون معرفة مسبقة بها.

Cylera هي شركة متخصصة في الأمن السيبراني والاستخبارات في مجال الرعاية الصحية تركز على المرضى وتركز على تغيير الطريقة التي تحمي بها مؤسسات الرعاية الصحية وتدير بيئات HIoT التي تحتوي على أجهزة طبية وأجهزة تشغيلية وأجهزة إنترنت الأشياء. منصة سيليرا توفر لفرق الأمن السيبراني والهندسة السريرية حلاً موحدًا لحماية سلامة مرضاهم وأصولهم وسير العمل السريري من الهجمات الإلكترونية.