کد خبر: ۴۴۳

هوش مصنوعی مولد در بیمارستان‌ها؛ وقتی امنیت سایبری به ایمنی بیمار گره می‌خورد

استفاده از هوش مصنوعی مولد در بیمارستان ها

گسترش استفاده از هوش مصنوعی مولد در صنعت سلامت، چالش‌های تازه‌ای در حوزه امنیت سایبری ایجاد کرده است. بررسی جدیدی نشان می‌دهد بیمارستان‌ها و مراکز درمانی برای مقابله مؤثر با حملات سایبری، باید از رویکرد مبتنی بر پیشگیری صرف به سمت افزایش تاب‌آوری سایبری و تضمین تداوم خدمات درمانی حرکت کنند.

هانا حیدری
خبرنگار:
هانا حیدری

رشد سریع استفاده از هوش مصنوعی مولد (GenAI) در مراکز درمانی، اگرچه فرصت‌های تازه‌ای برای افزایش بهره‌وری، بهبود کیفیت خدمات و تسریع فرایندهای درمانی ایجاد کرده است، اما هم‌زمان چالش‌های امنیت سایبری بی‌سابقه‌ای را نیز به همراه آورده است. کارشناسان امنیت سایبری هشدار می‌دهند که در صنعت سلامت، حملات سایبری دیگر تنها به سرقت اطلاعات یا ایجاد اختلال در سامانه‌ها محدود نمی‌شود، بلکه می‌تواند به‌طور مستقیم روند درمان بیماران، تداوم ارائه خدمات پزشکی و حتی جان بیماران را تحت تأثیر قرار دهد.

هوش مصنوعی، معادلات امنیت سایبری در صنعت سلامت را تغییر داده است

با گسترش استفاده از ابزارهای مبتنی بر هوش مصنوعی مولد در بیمارستان‌ها، مراکز درمانی و شرکت‌های فعال در حوزه سلامت، مدیران ارشد امنیت اطلاعات (CISO) با چالشی روبه‌رو شده‌اند که تا چند سال پیش وجود نداشت. اگر در گذشته تمرکز اصلی بر حفاظت از داده‌ها، جلوگیری از نفوذ مهاجمان و حفظ محرمانگی اطلاعات بود، امروز حفظ تاب‌آوری سایبری، تداوم خدمات درمانی و تضمین ایمنی بیماران نیز به مهم‌ترین اهداف امنیت سایبری در بخش سلامت تبدیل شده است.

براساس گزارشی که در هیت کانسالت منتشر شده، صنعت سلامت همچنان یکی از جذاب‌ترین اهداف گروه‌های باج‌افزاری به شمار می‌رود. بر اساس یکی از گزارش‌های معتبر این حوزه، در سال ۲۰۲۵ حدود ۲۲ درصد از حملات باج‌افزاری افشاشده، سازمان‌های فعال در بخش سلامت را هدف قرار داده‌اند. همچنین ۹۳ درصد از سازمان‌های درمانی اعلام کرده‌اند که طی یک سال گذشته دست‌کم یک حمله سایبری را تجربه کرده‌اند. در همین بازه زمانی نیز بیش از ۶۴۰ رخداد بزرگ نشت اطلاعات، داده‌های شخصی نزدیک به ۵۷ میلیون نفر را تحت تأثیر قرار داده است.

این آمارها نشان می‌دهد امنیت سایبری در حوزه سلامت دیگر تنها یک موضوع مرتبط با فناوری اطلاعات نیست، بلکه به‌طور مستقیم با تداوم ارائه خدمات درمانی، ایمنی بیماران و کیفیت مراقبت‌های سلامت گره خورده است.

تهدیدی که از اتاق سرور فراتر می‌رود

کارشناسان معتقدند مهم‌ترین تفاوت صنعت سلامت با سایر صنایع، پیامدهای مستقیم حملات سایبری بر جان و سلامت انسان‌ها است. اختلال در سامانه‌های بیمارستانی می‌تواند به تأخیر در انجام عمل‌های جراحی، اختلال در پذیرش بیماران، از دسترس خارج شدن پرونده‌های پزشکی و کند شدن فرایندهای درمانی منجر شود.

برخی مطالعات نیز نشان می‌دهد بیمارانی که هم‌زمان با آغاز یک حمله باج‌افزاری در بیمارستان بستری هستند، با افزایش قابل توجه خطر بروز پیامدهای نامطلوب درمانی روبه‌رو می‌شوند. پژوهش‌های دیگری نیز از افزایش نرخ مرگ‌ومیر در بیمارستان‌هایی خبر داده‌اند که هدف حملات سایبری قرار گرفته‌اند؛ موضوعی که نشان می‌دهد آثار این حملات می‌تواند فراتر از خسارت‌های مالی و فنی باشد.

همین مسئله باعث شده است مفهوم «امنیت سایبری» در صنعت سلامت بیش از هر زمان دیگری با «ایمنی بیمار» و تداوم ارائه خدمات درمانی پیوند بخورد.

هوش مصنوعی؛ هم ابزار دفاع و هم سلاح مهاجمان

کارشناسان معتقدند هوش مصنوعی مولد در حال تغییر هر دو سوی میدان نبرد سایبری است. از یک سو، بیمارستان‌ها و مراکز درمانی از این فناوری برای خلاصه‌سازی پرونده‌های پزشکی، مدیریت اسناد، پاسخ‌گویی به کارکنان و بهبود فرایندهای اداری استفاده می‌کنند و از سوی دیگر، مهاجمان نیز از همان قابلیت‌ها برای طراحی و اجرای حملات پیچیده‌تر بهره می‌برند.

تولید ایمیل‌های فیشینگ با ظاهری کاملاً واقعی، جعل هویت، توسعه سریع بدافزار، شناسایی آسیب‌پذیری‌ها و اجرای حملات مهندسی اجتماعی، تنها بخشی از قابلیت‌هایی است که هوش مصنوعی مولد در اختیار مهاجمان قرار داده است. در کنار این موارد، گسترش مدل‌های متن‌باز و ابزارهای کم‌هزینه نیز موجب شده اجرای چنین حملاتی برای طیف گسترده‌تری از مجرمان سایبری آسان‌تر و در دسترس‌تر شود.

بزرگ‌ترین تهدید، استفاده کنترل‌نشده از هوش مصنوعی است

با وجود نگرانی‌ها درباره حملات پیشرفته مبتنی بر هوش مصنوعی، متخصصان تأکید می‌کنند بزرگ‌ترین ریسک امروز، استفاده بدون نظارت کارکنان از ابزارهای عمومی هوش مصنوعی است.

کارکنان ممکن است برای افزایش سرعت انجام وظایف روزانه، اطلاعات بیماران، سوابق پزشکی، اسناد داخلی یا حتی داده‌های محرمانه سازمان را در اختیار سرویس‌های عمومی هوش مصنوعی قرار دهند؛ اقدامی که می‌تواند به نشت اطلاعات حساس، نقض الزامات حریم خصوصی و افزایش ریسک‌های امنیتی منجر شود.

به همین دلیل، بسیاری از متخصصان امنیت سایبری معتقدند نخستین گام در مدیریت ریسک هوش مصنوعی، شناسایی تمامی ابزارهای هوش مصنوعی مورد استفاده در سازمان، تدوین سیاست‌های شفاف برای نحوه استفاده از آن‌ها و آموزش کارکنان درباره مخاطرات این فناوری است.

CISOها باید به تاب‌آوری فکر کنند، نه فقط پیشگیری

کارشناسان تأکید می‌کنند دیگر نمی‌توان فرض کرد که همه حملات سایبری قابل پیشگیری هستند. به همین دلیل، رویکرد نوین امنیت سایبری از «پیشگیری مطلق» به سمت «تاب‌آوری سایبری» تغییر کرده است؛ به این معنا که سازمان باید حتی در صورت وقوع یک حمله، قادر به حفظ تداوم خدمات حیاتی، کاهش آثار اختلال و بازیابی سریع سامانه‌ها باشد.

در این چارچوب، مدیران ارشد امنیت اطلاعات (CISO) باید بتوانند به مدیران ارشد اجرایی و اعضای هیئت‌مدیره توضیح دهند که هوش مصنوعی در کدام بخش‌های سازمان به کار گرفته شده، مسئولیت حاکمیت و مدیریت آن بر عهده چه کسی است، چه کنترل‌های امنیتی و نظارتی برای آن در نظر گرفته شده و در صورت وقوع یک رخداد سایبری، چگونه تداوم عملکرد این سامانه‌ها تضمین خواهد شد.

امروزه پرسش مدیران دیگر این نیست که «آیا از هوش مصنوعی استفاده می‌کنیم؟» بلکه این است که «اگر سامانه‌های مبتنی بر هوش مصنوعی از دسترس خارج شوند، چگونه می‌توان تداوم خدمات درمانی و ایمنی بیماران را حفظ کرد؟»

مقررات نیز سخت‌گیرانه‌تر شده‌اند

هم‌زمان با افزایش تهدیدهای سایبری، چارچوب‌های قانونی و الزامات نظارتی نیز در حال تحول هستند. به‌روزرسانی پیشنهادی «قانون امنیت HIPAA»، دستورالعمل‌های وزارت بهداشت آمریکا، استاندارد HITRUST، الزامات PCI DSS و الزامات امنیتی سازمان غذا و داروی آمریکا (FDA) برای تجهیزات پزشکی مبتنی بر هوش مصنوعی، همگی نشان می‌دهند رویکرد قانون‌گذاران از حفاظت صرف از داده‌ها به سمت افزایش تاب‌آوری سایبری و تضمین تداوم خدمات درمانی در حال تغییر است.

در کنار این موارد، مقررات پیشنهادی CIRCIA نیز سازمان‌های مشمول را ملزم می‌کند رخدادهای سایبری را حداکثر ظرف ۷۲ ساعت گزارش کنند و هرگونه پرداخت باج را نیز حداکثر طی ۲۴ ساعت به مراجع ذی‌صلاح اطلاع دهند.

کارشناسان معتقدند رعایت این الزامات، اگرچه امنیت کامل را تضمین نمی‌کند، اما سازمان‌ها را به ایجاد فرآیندهای منظم برای مدیریت ریسک، اجرای دوره‌ای آزمون‌های بازیابی، مستندسازی دارایی‌های مبتنی بر هوش مصنوعی و افزایش آمادگی برای مقابله با بحران‌های سایبری سوق می‌دهد.

خسارت باج‌افزاری به سامانه‌های بیمارستانی در ایران و منطقه

تهدیدهای سایبری علیه مراکز درمانی تنها به اروپا و آمریکا محدود نیست. در منطقه نیز طی سال‌های اخیر چندین رخداد مهم ثبت شده است. از جمله حمله باج‌افزاری به بیمارستان تخصصی Al Tadawi در امارات که به افشای حجم قابل توجهی از اطلاعات بیماران انجامید و همچنین حمله به Royal Bahrain Hospital در بحرین که مهاجمان مدعی سرقت بیش از ۱۱۰ گیگابایت داده شدند.

تهدیدهای سایبری علیه مراکز درمانی موضوع تازه‌ای نیست. در ایران نیز مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانه‌ای (ماهر) در سال ۱۳۹۶ نسبت به حملات باج‌افزاری علیه چند سامانه بیمارستانی هشدار داده و اعلام کرده بود مهاجمان با سوءاستفاده از سرویس دسترسی از راه دور (RDP)، فایل‌های سرورها را رمزگذاری کرده و خسارت‌های قابل توجهی به مراکز درمانی وارد کرده‌اند. این موضوع نشان می‌دهد که با گسترش استفاده از هوش مصنوعی مولد در صنعت سلامت، تقویت امنیت سایبری و افزایش تاب‌آوری دیجیتال بیمارستان‌ها بیش از هر زمان دیگری اهمیت یافته است.

آینده از آن سازمان‌های تاب‌آور است

ارشناسان تأکید می‌کنند رقابت اصلی در حوزه هوش مصنوعی دیگر بر سر سرعت به‌کارگیری این فناوری نیست، بلکه بر سر نحوه مدیریت ایمن، مسئولانه و تاب‌آور آن است. سازمان‌هایی که بتوانند برای استفاده از هوش مصنوعی، چارچوب‌های حاکمیتی، کنترل‌های امنیتی، سازوکارهای نظارت مستمر و برنامه‌های مؤثر بازیابی و تداوم کسب‌وکار را پیاده‌سازی کنند، در برابر تهدیدهای آینده از آمادگی و تاب‌آوری بیشتری برخوردار خواهند بود.

در صنعت سلامت، جایی که هر دقیقه اختلال می‌تواند بر روند درمان بیماران و حتی جان آن‌ها تأثیر بگذارد، امنیت هوش مصنوعی دیگر صرفاً یک موضوع فنی نیست، بلکه به بخشی جدایی‌ناپذیر از کیفیت خدمات درمانی، ایمنی بیماران و تاب‌آوری نظام سلامت تبدیل شده است.

 

گزارش خطا
ارسال پیام
captcha
پیشنهاد سردبیر بیشتر
آخرین اخبار
پربازدید
خانه پربازدید پربحث