آیا "پزشکی از راه دور" واقعاً ایمن است؟

امروزه بسیاری از کاربران می‌توانند در چند دقیقه، بی‌آنکه از خانه خارج شوند، با پزشک گفت‌وگو کنند و راهنمایی بگیرند. با این حال، هم‌زمان با رشد این شیوه درمان، یک پرسش جدی‌تر از همیشه مطرح است، پزشکی از راه دور واقعاً تا چه اندازه امن است و چه مخاطراتی در کمین داده‌های حساسی است که کاربران در اختیار این پلتفرم‌ها می‌گذارند؟

خدمات و اپلیکیشن‌های «سلامت از راه دور» در سال‌های اخیر با سرعتی چشمگیر فراگیر شده‌اند؛ خدماتی که دسترسی به پزشک و مشاوره درمانی را ساده‌تر از هر زمان دیگری کرده‌اند. امروزه بسیاری از کاربران می‌توانند در چند دقیقه، بی‌آنکه از خانه خارج شوند، با پزشک گفت‌وگو کنند و راهنمایی بگیرند. با این حال، هم‌زمان با رشد این شیوه درمان، یک پرسش جدی‌تر از همیشه مطرح است، پزشکی از راه دور واقعاً تا چه اندازه امن است و چه مخاطراتی در کمین داده‌های حساسی است که کاربران در اختیار این پلتفرم‌ها می‌گذارند؟

خطرات سلامت از راه دور؛ از نقض داده‌ها تا فیشینگ و هرزنامه

۷ آوریل، «روز جهانی بهداشت» است؛ روزی که در سال ۲۰۲۶ با شعار «با هم برای سلامت؛ در کنار علم بایستیم» یادآوری می‌کند مبارزه برای پزشکی مبتنی بر شواهد و پیشرفت علمی، نیازمند هم‌افزایی و اعتماد عمومی است. بسیاری، سلامت از راه دور را یکی از ثمرات مهم همین پیشرفت می‌دانند، تجربه‌ای سریع، کم‌هزینه و در دسترس، اما روی دیگر این سکه، ارزش بی‌سابقه داده‌های پزشکی و جذابیتی است که برای مجرمان سایبری ایجاد کرده است.

کارشناسان امنیت سایبری بارها هشدار داده‌اند که داده‌های پزشکی در بازارهای سیاه و خاکستری، ده‌ها برابر گران‌تر از اطلاعات کارت اعتباری یا اطلاعات ورود به شبکه‌های اجتماعی خرید و فروش می‌شود. دلیل روشن است، کارت بانکی را می‌توان مسدود کرد و جایگزین ساخت، اما «سابقه پزشکی» قابل تنظیم مجدد نیست. نام و نام خانوادگی، تاریخ تولد، نشانی، شماره تماس، شناسه بیمه، تشخیص‌ها، نتایج آزمایش‌ها، نسخه‌ها و برنامه‌های درمانی، سال‌ها و گاه تمام عمر معنا و کارکرد دارند. چنین مجموعه‌ای از اطلاعات، برای طیفی از اهداف بازاریابی هدفمند تا اخاذی، کلاهبرداری و سرقت هویتبه معنای واقعی کلمه یک معدن طلاست.

هوش مصنوعی و موج تازه «کلینیک‌های جعلی»

با گسترش ابزارهای هوش مصنوعی، اینترنت بیش از گذشته از وب‌سایت‌های ظاهراً حرفه‌ای پر شده است؛ سایت‌هایی که ادعا می‌کنند خدمات پزشکی ارائه می‌دهند، اما هدف اصلی‌شان شکار اطلاعات محرمانه کاربران است. این وب‌سایت‌ها، با طراحی‌های فریبنده، متن‌های به ظاهر معتبر و پیشنهادهای اغواکننده، قربانیان ناآگاه را به وارد کردن اطلاعات شخصی و بارگذاری مدارک حساس ترغیب می‌کنند. پرسش کلیدی اینجاست،هکرها چرا این داده‌ها را می‌خواهند و کاربران چگونه می‌توانند مانع سوءاستفاده شوند؟

به گفته تحلیلگران، کلاهبرداران از داده‌های پزشکی سرقت‌شده، چه به صورت عمده و چه در فروش‌های موردی، کسب درآمد می‌کنند. نخستین گام آن‌ها در بسیاری از موارد، اخاذی از سازمان یا شرکت هک‌شده است. آمارها نشان می‌دهد که در سال ۲۰۲۴، ۹۱ درصد نشت داده‌های حوزه مراقبت‌های بهداشتی مرتبط با بدافزار در ایالات متحده، نتیجه حملات باج‌افزاری بوده است.

اما ماجرا به همین‌جا ختم نمی‌شود. داده‌های فاش‌شده می‌توانند ابزار حملات «شخصی‌سازی‌شده» و دقیق شوند. مهاجمان با کنار هم گذاشتن جزئیات درمانی، برای قربانی پروفایلی پزشکی می‌سازند، این‌که چه داروهایی می‌خرد، هر چند وقت یک‌بار و کدام داروها را در بلندمدت مصرف می‌کند. سپس همین اطلاعات می‌تواند به شرکت‌های بزرگ داروسازی یا بازاریابان فروخته شود، یا در کلاهبرداری‌های فیشینگ هدفمند به کار رود؛ برای نمونه، عرضه «درمان نوآورانه»‌ای که جعلی است اما دقیقاً بر اساس نیاز یا نگرانی‌های پزشکی همان قربانی طراحی شده است.

از سوی دیگر، خطر اخاذی نیز مطرح است؛ تشخیص‌های حساس یا خصوصی می‌تواند بهانه فشار و تهدید شود. حتی امکان سوءاستفاده برای «نسخه‌نویسی جعلی» مواد کنترل‌شده نیز در برخی سناریوها وجود دارد. در کنار این‌ها، شرکت‌های بیمه هم به این نوع داده‌ها علاقه‌مندند، داده‌هایی که می‌توان با تحلیل آن‌ها حق بیمه را افزایش داد یا در مواردی از ارائه پوشش کامل خودداری کرد. جمع‌بندی روشن است، راه‌های متعددی وجود دارد که می توان از داده های پزشکی سوء استفاده کرد.

پرونده‌ای که تاریخ‌ساز شد

بزرگ‌ترین نقض اطلاعات پزشکی ثبت‌شده، در فوریه ۲۰۲۴ رخ داد؛ زمانی که گروه هکری BlackCat به سامانه‌های شرکت Change Healthcare نفوذ کرد. بنا بر گزارش‌ها، این شرکت سالانه حدود ۱۵ میلیارد تراکنش بیمه را پردازش می‌کند و به عنوان واسطه مالی میان بیماران، ارائه‌دهندگان خدمات درمانی و شرکت‌های بیمه عمل می‌کند.

گزارش‌ها می‌گویند مهاجمان به مدت ۹ روز بدون مانع در سامانه‌های داخلی این شرکت تردد کردند و پیش از اجرای باج‌افزار، حدود شش ترابایت داده محرمانه را به سرقت بردند. در ادامه، UnitedHealth برای جلوگیری از گسترش رمزگذار، مراکز داده Change Healthcare را به طور کامل از دسترس خارج کرد و سرانجام ناچار شد ۲۲ میلیون دلار باج بپردازد. پیامدهای این حمله، فراتر از یک حادثه امنیتی معمول بود؛ این رخداد عملاً بخش‌هایی از سیستم مراقبت‌های بهداشتی ایالات متحده را مختل کرد.

تعداد قربانیان این حادثه چند بار اصلاح شد،ابتدا ۱۰۰ میلیون نفر اعلام شد، سپس ۱۹۰ میلیون و در نهایت رقم نهایی به ۱۹۲.۷ میلیون نفر رسید. میزان خسارت نیز ۲.۹ میلیارد دلار برآورد شد. نکته تکان‌دهنده آن‌که بنا بر توضیحات منتشرشده، یکی از دلایل اصلی وقوع چنین رخداد عظیمی، چیزی به ظاهر ساده بود:،نبودِ احراز هویت دومرحله‌ای در پورتال دسترسی از راه دور دسکتاپ.

از درز اطلاعات به شبکه‌های اجتماعی تا تبلیغات بی‌پروا

پیش از آن، استارتاپ سلامت روان از راه دور Cerebral نیز به دلیل تعبیه ابزارهای ردیابی شخص ثالث در وب‌سایت و اپلیکیشن‌هایش خبرساز شد؛ اقدامی که به درز داده‌های ۳.۲ میلیون بیماراز جمله نام‌ها، سوابق پزشکی و تجویزی و اطلاعات بیمه به پلتفرم‌هایی مانند لینکدین، اسنپ‌چت و تیک‌تاک انجامید. کمیسیون تجارت فدرال آمریکا این شرکت را ۷.۱ میلیون دلار جریمه کرد و ممنوعیتی کم‌سابقه برای استفاده تبلیغاتی از داده‌های پزشکی صادر شد.

همین استارتاپ همچنین به دلیل ارسال کارت‌پستال‌های تبلیغاتی بدون پاکت به مشتریان خود، تیتر رسانه‌ها شد؛ کارت‌پستال‌هایی که نام بیماران و عباراتی را نمایش می‌داد که تشخیص بیماری آن‌ها را برای دیگران قابل حدس می‌کرد.

چرا سلامت از راه دور آسیب‌پذیرتر است؟

کارشناسان برای توضیح این آسیب‌پذیری‌ها، به چند نقطه ضعف پرتکرار اشاره می‌کنند، ردیاب‌های تبلیغاتی در اپلیکیشن‌های پزشکی،ردیاب‌های فیس‌بوک، تیک‌تاک، اسنپ‌چت و دیگر شرکت‌های بزرگ فناوری، گاهی مستقیماً در پلتفرم‌های سلامت از راه دور تعبیه می‌شوند و می‌توانند بدون آگاهی کاربران، داده‌های بیمار را به تبلیغ‌کنندگان منتقل کنند.

کانال‌های ارتباطی ناامن: در برخی موارد پزشکان به جای استفاده از پلتفرم‌های معتبر پزشکی، از پیام‌رسان‌های معمول برای گفت‌وگو با بیمار بهره می‌برند. این روش هرچند راحت است، اما برای بیمار ناامن و برای کلینیک، در بسیاری از چارچوب‌ها غیرقانونی تلقی می‌شود.

آسیب‌پذیری‌های پلتفرم: پلتفرم‌های پزشکی از راه دور از حملات کلاسیک وب مصون نیستند؛ از جمله تزریق SQL که می‌تواند به تخریب یا سرقت پایگاه داده بیماران منجر شود، یا ربایش نشست و رهگیری اطلاعات در صورت ضعف یا نبود رمزگذاری.

آموزش ناکافی کارکنان: برخی تحقیقات نشان داده است حدود ۳۰ درصد پزشکان، به طور مشخص در جلسات پزشکی از راه دور با وضعیت‌های پرخطر مرتبط با داده‌های بیمار مواجه شده‌اند و ۴۲ درصد کارکنان درمانی نیز اساساً نمی‌دانند داده‌های بیمارانشان چگونه محافظت می‌شود.

دستگاه‌های پزشکی قدیمی: بسیاری از گجت‌های پوشیدنی مانند پایشگرهای قلب یا دستگاه‌های فشارخون از پروتکل قدیمی انتقال داده با نام MQTT استفاده می‌کنند؛ پروتکلی که می‌تواند حفره‌های امنیتی داشته باشد و راه را برای سرقت اطلاعات یا حتی اختلال در عملکرد دستگاه باز کند.

هرزنامه و فیشینگ؛ تهدیدی هم‌زمان با هک

تهدیدها فقط به هکرها محدود نیست. اسپمرها و کلاهبرداران نیز با پیشنهاد «خدمات پزشکی» با قیمت‌هایی که بیش از حد خوب به نظر می‌رسد، ایمیل‌هایی درباره «تغییرات ادعایی در بیمه درمانی» یا روایت‌هایی درباره «روش‌های درمانی باستانی » کاربران را هدف می‌گیرند. لینک‌های ارسالی، غالباً به وب‌سایت‌هایی ختم می‌شود که کالاها و خدمات مشکوک عرضه می‌کنند.

در برخورد با چنین سایت‌هایی، کلاهبرداران می‌کوشند هر اطلاعات خصوصی ممکن را استخراج کنند که شامل عکس کارت شناسایی، بیمه‌نامه، نسخه‌ها و حتی گاهی عکس‌هایی از اعضای بدن بیمار است که ظاهراً نیازمند بررسی پزشکی دارد. سپس این داده‌ها ممکن است در دارک‌وب رها و فروخته شود یا برای باج‌گیری، اخاذی و موج‌های بعدی فیشینگ مورد سوءاستفاده قرار گیرد.

به عنوان یک قاعده کلی، «کلینیک‌های جعلی» معمولاً بخش سیاست حفظ حریم خصوصی را جدی نمی‌گیرند و کاربر را با پیشنهادهای محدود «فقط امروز» بمباران می‌کنند. با این حال، واقعیت نگران‌کننده این است که با کمک هوش مصنوعی، ساخت یک سایت حرفه‌ای که از نمونه واقعی قابل تشخیص نباشد، اکنون بسیار آسان شده است. بنابراین پرسش پایانی دوباره برجسته می‌شود: چه می‌توان کرد؟

نکات ایمنی برای بیماران در سلامت از راه دور

کارشناسان برای کاهش ریسک، مجموعه‌ای از توصیه‌های کاربردی را مطرح می‌کنند:

· برای خدمات پزشکی، یک ایمیل اختصاصی بسازید. اگر این ایمیل در پی هک یک کلینیک افشا شود، ردیابی سایر بخش‌های زندگی دیجیتال شما برای کلاهبرداران دشوارتر خواهد بود.

· از ورود با حساب گوگل یا شبکه‌های اجتماعی خودداری کنید. جدا نگه داشتن حساب‌ها، اتصال اطلاعات پزشکی به هویت دیجیتال روزمره را سخت‌تر می‌کند.

· پلتفرم مشاوره را دوباره بررسی کنید. اگر کلینیک پیشنهاد تماس یا چت در یک پیام‌رسان عمومی را داد، باید آن را علامت خطر دانست. پورتال امن و رمزگذاری‌شده کلینیک، گزینه‌ای به مراتب مطمئن‌تر است.

· مدارک پزشکی را در چت‌ها یا شبکه‌های اجتماعی ارسال نکنید. نتایج آزمایش، اسکن‌ها و سوابق را فقط از طریق پورتال رسمی بیمار بارگذاری کنید.

· برای هر حساب، رمز عبور جداگانه و پیچیده بسازید. ورود به پورتال دولتی، حساب کلینیک و اپ رزرو پزشک باید رمزهای متفاوت داشته باشد.

· احراز هویت دومرحله‌ای را فعال کنید. به‌ویژه برای حساب‌های دولتی و سازمان‌های پزشکی. استفاده از اپلیکیشن‌های احراز هویت به جای پیامک، معمولاً امن‌تر و ناشناس‌تر توصیه می‌شود.

· در اشتراک‌گذاری اطلاعات سلامت در شبکه‌های اجتماعی یا چت‌ها محتاط باشید. کلاهبرداران از آسیب‌پذیری افراد سوءاستفاده می‌کنند .حواستان به نشانه‌های نفوذ باشد. نسخه‌های عجیب، ویزیت‌هایی که انجام نداده‌اید یا داروهایی که نمی‌شناسید می‌تواند نشانه هک شدن حساب باشد.

· گجت‌های سلامت را درست تنظیم و مرتب به‌روزرسانی کنید. ردیاب‌های تناسب اندام، فشارخون‌سنج‌ها، ترازوهای هوشمند و ردیاب‌های فعالیت همگی داده را به اینترنت ارسال می‌کنند؛ تنظیمات نامناسب یا به‌روزرسانی‌نشدن، دریچه‌ای برای نقض داده‌هاست.

گزارش خطا

پسندها:

اشتراک گذاری

روبیکا واتس‌اپ لینکدین توییتر تلگرام

ارسال پیام