انتشار شده در تاریخ 1404/03/27 - 09:24

طرح دوحزبی کنگره آمریکا برای مقابله با حملات سایبری به بیمارستان‌ها

قانون‌گذاران آمریکایی لایحه‌ای دوحزبی به نام قانون امنیت سایبری در حوزه سلامت ارائه کرده‌اند که هدف آن تقویت هماهنگی بین آژانس امنیت سایبری و امنیت زیرساخت آمریکا و وزارت بهداشت و خدمات انسانی در مقابله با حملات سایبری به بیمارستان‌هاست.

به گزارش کارگروه بین الملل خبرگزاری سایبربان، نمایندگان برایان فیتزپاتریک (جمهوری‌خواه از پنسیلوانیا) و جیسون کرو (دموکرات از کلرادو) این لایحه را در ماه جاری معرفی کردند تا گامی در جهت محافظت بهتر از بیمارستان‌ها در برابر مجرمان سایبری و تهدیدهای دیجیتال بردارند.

اهداف اصلی لایحه:

•    ایجاد ارتباط رسمی بین آژانس امنیت سایبری و امنیت زیرساخت آمریکا (CISA) و وزارت بهداشت و خدمات انسانی (HHS) برای بهبود ارتباطات، تحلیل تهدیدها و واکنش به حوادث.
•    همکاری مشترک دو نهاد در خصوص تهدیدهای کلی امنیت سایبری علیه بخش سلامت.
•    انجام مطالعات برای شناسایی آسیب‌پذیری‌های خاص در حوزه سلامت.
•    فراهم کردن دوره‌های آموزشی امنیت سایبری برای کارکنان بیمارستان‌ها.

فیتزپاتریک در بیانیه‌ای اعلام کرد:

حملات سایبری به نظام سلامت ما فقط داده‌ها را به خطر نمی‌اندازند، بلکه جان انسان‌ها را تهدید می‌کنند. این لایحه با اقداماتی راهبردی مانند هماهنگی لحظه‌ای تهدیدات، آموزش کارکنان و ایجاد رابط امنیتی، به‌صورت مستقیم به موضوع ورود کرده است.

نسخه‌ای مشابه این لایحه نیز در سنا توسط سناتورها جکی روزن (دموکرات از نوادا) و تاد یانگ (جمهوری‌خواه از ایندیانا) ارائه شده است.

این لایحه پس از حملات سایبری اخیر که منجر به تعطیلی بیمارستان‌ها، اختلال در سامانه‌های نوبت‌دهی و انحراف آمبولانس‌ها شد، مطرح شده است.

در یکی از این موارد، یک شبکه بیمارستانی در اوهایو هفته‌ها برای بازیابی اطلاعات بیماران زمان نیاز داشت.

شبکه‌ای دیگر در شمال شرق آمریکا هنوز پس از دو هفته از حمله، سیستم‌های خود را به‌طور کامل بازیابی نکرده است.

فیتزپاتریک خاطرنشان کرد این حملات موجب افشای حساس‌ترین اطلاعات شخصی بیماران می‌شوند.

وی اشاره کرد در سال ۲۰۲۱، داده‌های درمانی ۴۶ میلیون آمریکایی طی حملات سایبری فاش شد.

مسئولیت‌های رابط آژانس امنیت سایبری و امنیت زیرساخت آمریکا - وزارت بهداشت و خدمات انسانی:

•    اشتراک‌گذاری اطلاعات تهدیدات سایبری
•    افزایش آگاهی نسبت به خطرات امنیتی
•    برگزاری آموزش برای بیمارستان‌ها
•    ایفای نقش به‌عنوان نقطه تماس اصلی هنگام حملات بزرگ

علاوه بر این، طبق این لایحه، آژانس امنیت سایبری و امنیت زیرساخت آمریکا و وزارت بهداشت و خدمات انسانی موظف‌اند ظرف یک سال گزارشی به کنگره ارائه دهند که در آن ریسک‌های سایبری تجهیزات پزشکی خاص، چالش‌های بیمارستان‌ها در محافظت از دستگاه‌ها، ناامن‌ترین دستگاه‌های پزشکی، و راهکارهایی برای حفظ پرونده‌های سلامت الکترونیک ارائه شده باشد.

برخی تجهیزات به‌عنوان «پرخطر» شناخته شده و لیستی از آن‌ها به کنگره ارسال و به‌روزرسانی خواهد شد.

گزارش همچنین شامل راهکارهای واکنش مؤثر به نفوذ داده‌ای و بررسی تأثیر حملات بر زمان‌بندی خدمات درمانی و پیامدهای سلامت خواهد بود.

مایک همیلتون، مدیر ارشد امنیتی در شرکت امنیت سایبری لومیفی (Lumifi Cybersecurity) و مسئول سابق امنیت سایبری شهرداری سیاتل، این لایحه را مشابه نسخه‌ای دانست که سال گذشته بی‌نتیجه ماند.

به گفته او، لایحه بیشتر بر آموزش متمرکز است، در حالی که چالش اصلی بیمارستان‌ها کمبود منابع است، نه کمبود مهارت.

وی همچنین معتقد است که این طرح، نوعی جایگزین غیرمستقیم برای نظارت‌های رسمی است و از آژانس امنیت سایبری و امنیت زیرساخت آمریکا خواسته شده تا بدون تحمیل مقررات، در شناسایی آسیب‌پذیری‌ها کمک کند.

همیلتون تاکید کرد:

این قانون شامل نظارت لحظه‌ای بر نهادهای درمانی یا تحلیل رفتار تهدیدات از طریق داده‌ها نیست.

سناتور مارک وارنر (دموکرات از ویرجینیا) نیز هشدار داد حملات سایبری به سیستم سلامت در حال افزایش است و گفت:

سال‌هاست زنگ خطر را به صدا درآورده‌ام. این تهدیدات نوظهور می‌توانند بیمارستان‌ها را فلج کرده و درمان‌های حیاتی را به تأخیر بیاندازند. باید آماده مقابله باشیم.