هوش مصنوعی مولد در بیمارستانها؛ وقتی امنیت سایبری به ایمنی بیمار گره میخورد
گسترش استفاده از هوش مصنوعی مولد در صنعت سلامت، چالشهای تازهای در حوزه امنیت سایبری ایجاد کرده است. بررسی جدیدی نشان میدهد بیمارستانها و مراکز درمانی برای مقابله مؤثر با حملات سایبری، باید از رویکرد مبتنی بر پیشگیری صرف به سمت افزایش تابآوری سایبری و تضمین تداوم خدمات درمانی حرکت کنند.
رشد سریع استفاده از هوش مصنوعی مولد (GenAI) در مراکز درمانی، اگرچه فرصتهای تازهای برای افزایش بهرهوری، بهبود کیفیت خدمات و تسریع فرایندهای درمانی ایجاد کرده است، اما همزمان چالشهای امنیت سایبری بیسابقهای را نیز به همراه آورده است. کارشناسان امنیت سایبری هشدار میدهند که در صنعت سلامت، حملات سایبری دیگر تنها به سرقت اطلاعات یا ایجاد اختلال در سامانهها محدود نمیشود، بلکه میتواند بهطور مستقیم روند درمان بیماران، تداوم ارائه خدمات پزشکی و حتی جان بیماران را تحت تأثیر قرار دهد.
هوش مصنوعی، معادلات امنیت سایبری در صنعت سلامت را تغییر داده است
با گسترش استفاده از ابزارهای مبتنی بر هوش مصنوعی مولد در بیمارستانها، مراکز درمانی و شرکتهای فعال در حوزه سلامت، مدیران ارشد امنیت اطلاعات (CISO) با چالشی روبهرو شدهاند که تا چند سال پیش وجود نداشت. اگر در گذشته تمرکز اصلی بر حفاظت از دادهها، جلوگیری از نفوذ مهاجمان و حفظ محرمانگی اطلاعات بود، امروز حفظ تابآوری سایبری، تداوم خدمات درمانی و تضمین ایمنی بیماران نیز به مهمترین اهداف امنیت سایبری در بخش سلامت تبدیل شده است.
براساس گزارشی که در هیت کانسالت منتشر شده، صنعت سلامت همچنان یکی از جذابترین اهداف گروههای باجافزاری به شمار میرود. بر اساس یکی از گزارشهای معتبر این حوزه، در سال ۲۰۲۵ حدود ۲۲ درصد از حملات باجافزاری افشاشده، سازمانهای فعال در بخش سلامت را هدف قرار دادهاند. همچنین ۹۳ درصد از سازمانهای درمانی اعلام کردهاند که طی یک سال گذشته دستکم یک حمله سایبری را تجربه کردهاند. در همین بازه زمانی نیز بیش از ۶۴۰ رخداد بزرگ نشت اطلاعات، دادههای شخصی نزدیک به ۵۷ میلیون نفر را تحت تأثیر قرار داده است.
این آمارها نشان میدهد امنیت سایبری در حوزه سلامت دیگر تنها یک موضوع مرتبط با فناوری اطلاعات نیست، بلکه بهطور مستقیم با تداوم ارائه خدمات درمانی، ایمنی بیماران و کیفیت مراقبتهای سلامت گره خورده است.
تهدیدی که از اتاق سرور فراتر میرود
کارشناسان معتقدند مهمترین تفاوت صنعت سلامت با سایر صنایع، پیامدهای مستقیم حملات سایبری بر جان و سلامت انسانها است. اختلال در سامانههای بیمارستانی میتواند به تأخیر در انجام عملهای جراحی، اختلال در پذیرش بیماران، از دسترس خارج شدن پروندههای پزشکی و کند شدن فرایندهای درمانی منجر شود.
برخی مطالعات نیز نشان میدهد بیمارانی که همزمان با آغاز یک حمله باجافزاری در بیمارستان بستری هستند، با افزایش قابل توجه خطر بروز پیامدهای نامطلوب درمانی روبهرو میشوند. پژوهشهای دیگری نیز از افزایش نرخ مرگومیر در بیمارستانهایی خبر دادهاند که هدف حملات سایبری قرار گرفتهاند؛ موضوعی که نشان میدهد آثار این حملات میتواند فراتر از خسارتهای مالی و فنی باشد.
همین مسئله باعث شده است مفهوم «امنیت سایبری» در صنعت سلامت بیش از هر زمان دیگری با «ایمنی بیمار» و تداوم ارائه خدمات درمانی پیوند بخورد.
هوش مصنوعی؛ هم ابزار دفاع و هم سلاح مهاجمان
کارشناسان معتقدند هوش مصنوعی مولد در حال تغییر هر دو سوی میدان نبرد سایبری است. از یک سو، بیمارستانها و مراکز درمانی از این فناوری برای خلاصهسازی پروندههای پزشکی، مدیریت اسناد، پاسخگویی به کارکنان و بهبود فرایندهای اداری استفاده میکنند و از سوی دیگر، مهاجمان نیز از همان قابلیتها برای طراحی و اجرای حملات پیچیدهتر بهره میبرند.
تولید ایمیلهای فیشینگ با ظاهری کاملاً واقعی، جعل هویت، توسعه سریع بدافزار، شناسایی آسیبپذیریها و اجرای حملات مهندسی اجتماعی، تنها بخشی از قابلیتهایی است که هوش مصنوعی مولد در اختیار مهاجمان قرار داده است. در کنار این موارد، گسترش مدلهای متنباز و ابزارهای کمهزینه نیز موجب شده اجرای چنین حملاتی برای طیف گستردهتری از مجرمان سایبری آسانتر و در دسترستر شود.
بزرگترین تهدید، استفاده کنترلنشده از هوش مصنوعی است
با وجود نگرانیها درباره حملات پیشرفته مبتنی بر هوش مصنوعی، متخصصان تأکید میکنند بزرگترین ریسک امروز، استفاده بدون نظارت کارکنان از ابزارهای عمومی هوش مصنوعی است.
کارکنان ممکن است برای افزایش سرعت انجام وظایف روزانه، اطلاعات بیماران، سوابق پزشکی، اسناد داخلی یا حتی دادههای محرمانه سازمان را در اختیار سرویسهای عمومی هوش مصنوعی قرار دهند؛ اقدامی که میتواند به نشت اطلاعات حساس، نقض الزامات حریم خصوصی و افزایش ریسکهای امنیتی منجر شود.
به همین دلیل، بسیاری از متخصصان امنیت سایبری معتقدند نخستین گام در مدیریت ریسک هوش مصنوعی، شناسایی تمامی ابزارهای هوش مصنوعی مورد استفاده در سازمان، تدوین سیاستهای شفاف برای نحوه استفاده از آنها و آموزش کارکنان درباره مخاطرات این فناوری است.
CISOها باید به تابآوری فکر کنند، نه فقط پیشگیری
کارشناسان تأکید میکنند دیگر نمیتوان فرض کرد که همه حملات سایبری قابل پیشگیری هستند. به همین دلیل، رویکرد نوین امنیت سایبری از «پیشگیری مطلق» به سمت «تابآوری سایبری» تغییر کرده است؛ به این معنا که سازمان باید حتی در صورت وقوع یک حمله، قادر به حفظ تداوم خدمات حیاتی، کاهش آثار اختلال و بازیابی سریع سامانهها باشد.
در این چارچوب، مدیران ارشد امنیت اطلاعات (CISO) باید بتوانند به مدیران ارشد اجرایی و اعضای هیئتمدیره توضیح دهند که هوش مصنوعی در کدام بخشهای سازمان به کار گرفته شده، مسئولیت حاکمیت و مدیریت آن بر عهده چه کسی است، چه کنترلهای امنیتی و نظارتی برای آن در نظر گرفته شده و در صورت وقوع یک رخداد سایبری، چگونه تداوم عملکرد این سامانهها تضمین خواهد شد.
امروزه پرسش مدیران دیگر این نیست که «آیا از هوش مصنوعی استفاده میکنیم؟» بلکه این است که «اگر سامانههای مبتنی بر هوش مصنوعی از دسترس خارج شوند، چگونه میتوان تداوم خدمات درمانی و ایمنی بیماران را حفظ کرد؟»
مقررات نیز سختگیرانهتر شدهاند
همزمان با افزایش تهدیدهای سایبری، چارچوبهای قانونی و الزامات نظارتی نیز در حال تحول هستند. بهروزرسانی پیشنهادی «قانون امنیت HIPAA»، دستورالعملهای وزارت بهداشت آمریکا، استاندارد HITRUST، الزامات PCI DSS و الزامات امنیتی سازمان غذا و داروی آمریکا (FDA) برای تجهیزات پزشکی مبتنی بر هوش مصنوعی، همگی نشان میدهند رویکرد قانونگذاران از حفاظت صرف از دادهها به سمت افزایش تابآوری سایبری و تضمین تداوم خدمات درمانی در حال تغییر است.
در کنار این موارد، مقررات پیشنهادی CIRCIA نیز سازمانهای مشمول را ملزم میکند رخدادهای سایبری را حداکثر ظرف ۷۲ ساعت گزارش کنند و هرگونه پرداخت باج را نیز حداکثر طی ۲۴ ساعت به مراجع ذیصلاح اطلاع دهند.
کارشناسان معتقدند رعایت این الزامات، اگرچه امنیت کامل را تضمین نمیکند، اما سازمانها را به ایجاد فرآیندهای منظم برای مدیریت ریسک، اجرای دورهای آزمونهای بازیابی، مستندسازی داراییهای مبتنی بر هوش مصنوعی و افزایش آمادگی برای مقابله با بحرانهای سایبری سوق میدهد.
خسارت باجافزاری به سامانههای بیمارستانی در ایران و منطقه
تهدیدهای سایبری علیه مراکز درمانی تنها به اروپا و آمریکا محدود نیست. در منطقه نیز طی سالهای اخیر چندین رخداد مهم ثبت شده است. از جمله حمله باجافزاری به بیمارستان تخصصی Al Tadawi در امارات که به افشای حجم قابل توجهی از اطلاعات بیماران انجامید و همچنین حمله به Royal Bahrain Hospital در بحرین که مهاجمان مدعی سرقت بیش از ۱۱۰ گیگابایت داده شدند.
تهدیدهای سایبری علیه مراکز درمانی موضوع تازهای نیست. در ایران نیز مرکز مدیریت امداد و هماهنگی عملیات رخدادهای رایانهای (ماهر) در سال ۱۳۹۶ نسبت به حملات باجافزاری علیه چند سامانه بیمارستانی هشدار داده و اعلام کرده بود مهاجمان با سوءاستفاده از سرویس دسترسی از راه دور (RDP)، فایلهای سرورها را رمزگذاری کرده و خسارتهای قابل توجهی به مراکز درمانی وارد کردهاند. این موضوع نشان میدهد که با گسترش استفاده از هوش مصنوعی مولد در صنعت سلامت، تقویت امنیت سایبری و افزایش تابآوری دیجیتال بیمارستانها بیش از هر زمان دیگری اهمیت یافته است.
آینده از آن سازمانهای تابآور است
ارشناسان تأکید میکنند رقابت اصلی در حوزه هوش مصنوعی دیگر بر سر سرعت بهکارگیری این فناوری نیست، بلکه بر سر نحوه مدیریت ایمن، مسئولانه و تابآور آن است. سازمانهایی که بتوانند برای استفاده از هوش مصنوعی، چارچوبهای حاکمیتی، کنترلهای امنیتی، سازوکارهای نظارت مستمر و برنامههای مؤثر بازیابی و تداوم کسبوکار را پیادهسازی کنند، در برابر تهدیدهای آینده از آمادگی و تابآوری بیشتری برخوردار خواهند بود.
در صنعت سلامت، جایی که هر دقیقه اختلال میتواند بر روند درمان بیماران و حتی جان آنها تأثیر بگذارد، امنیت هوش مصنوعی دیگر صرفاً یک موضوع فنی نیست، بلکه به بخشی جداییناپذیر از کیفیت خدمات درمانی، ایمنی بیماران و تابآوری نظام سلامت تبدیل شده است.