blood-sugar-management
تيبس للحفاظ على نظام فتح أمن ضد التهديدات السيبرية
Table of Contents
فهم مأدبة التهديد السيبرية في عمليات النداءات المفتوحة
إن نظام " البكريز " المفتوح (نظام البكريز المستقل) هو تكنولوجيا ذات مصادر مفتوحة مجتمعية تبث تلقائياً خدمات الإيصال للأشخاص المصابين بمرض السكر، ويضع نظاماً قائماً على رصد الغلوكوز، ويستخدم أيضاً نظاماً من أجهزة الاتصال اللاسلكية غير المرخصة، ويستخدم نظاماً فريداً من نوعه في مجال حماية المصابيح.
حافظ على البرامجيات وبرمجيات المستجدات
والبرمجيات القديمة هي أكثر نقاط الدخول شيوعا للمهاجمين، وقد يترك مجتمع البرمجيات المفتوحة المصدر ومصنعو المكونات (المضخة، CGM، جسر الراديو) بانتظام رقائق تصلح أوجه الضعف الأمنية، وتحسن التشفير، وتعزز الاستقرار، وقد يترك تشغيل صيغة قديمة استغلالا معروفا دون معالجة.
تحديث بنائك المفتوح
ويجري تحديث البرمجيات الأساسية المفتوحة عن طريق إطلاقات جيت هوب، ورصد المستودع الرسمي للبرمجيات المفتوحة ]، والتقيد بإخطارات الإطلاق، وعند إعلان نسخة جديدة، اختبارها على بيئة غير منتجة أولا، ثم تطبيقه على نظامك الحي، واستخدام أدوات مثل ، وإعادة النظر في الصورة المستكملة.
Firmware for Peripherals
إن مضخة الانسولين الخاصة بك، ومرسل جهاز التصوير المركزي، والجسر الإذاعي )مثلا، رايليلينك، أو إيمالينك، أو ما شابه ذلك( لكل منهما برنامج ثابت خاص به، وتحقق من صفحات الدعم التي يقدمها الصانع أو المنتديات المجتمعية لتحديثات الأمن، فعلى سبيل المثال، فإن النسخ القديمة من برنامج " سواتل " ( " ميكرو " ( قد تكون ضعيفة في تركيب الأشعة فوق الصوت.
Enable Automatic Updates where Safe
وبالنسبة للعناصر التي تدعمها (مثل نظام Raspberry Pi OS أو نظام تشغيل أجهزة الحفر)، يمكن الحصول على معلومات مستكملة تلقائية عن الأمن، واستخدام مجموعة بشأن ديبيان/أوبونتو، وفيما يتعلق بتطبيق نظام تبادل البيانات المفتوحة نفسه، إنشاء وظيفة مؤقتة للتحقق من الإطلاقات الجديدة وإخطاركم، ولكن لا يمكن أبداً أن يتيح التحديثات التلقائية الكاملة لمضخة إنسولين أو شركة CGMware دون تأكيد سيئ
استخدام كلمات سر قوية، فريدة من نوعها
وكلمات السر الضعيفة هي ثاني أكثر المواد شيوعا بعد البرامجيات التي عفا عليها الزمن، وقد يكون لنظام " البسكويت " الخاص بك حسابات متعددة: مستخدم جهاز الحفر " لينكس " ، وموقع " ليكسكوت " ، وحساب " ديكسكوم " ، و " بي إن " ، و " وي فاي " ، ويجب أن يكون كل منها متميزا وقويا.
أفضل الممارسات في كلمة السر
(ب) تولد كلمات سر لا تقل عن 16 شخصية، تخلط بين الحقيبه، والطابق السفلي، والأرقام، والرموز، وتجنب الكلمات أو التواريخ أو أنماط لوحة المفاتيح، واستخدام مدير كلمة السر مثل بيتواردن، أو كلمة واحدة، أو كيباسكس سي لتخزينها بأمان، وعدم إعادة استخدام كلمات السر عبر مختلف النظم، وإذا تعرض أحد الحسابات للخطر، لا يمكن للمهاجمين أن يلتهم الآخرون.
تأمين مستعملي شركة ريغ لينوكس
وبحسب الافتراض، كثيرا ما يكون لدى جهاز التشغيل المفتوح مستخدم اسمه ] بكلمة مرور موحدة، غير هذا فورا، كما أن سجل الدخول المقطع على كلمة السر لا يستخدم إلا التوثيق القائم على أساس مفتاح، وخلق زوجين قويين من طراز Ed25519، ونسخ المفتاح العام للجهاز، واختياريا، إضافة عامل آخر مثل يوميكي لدورات SSH.
Pump Remote Bolus PIN
إذا دعمت مضختك القفز عن بعد عبر نظام (إف بي إس) يجب أن تكون 6 أرقام على الأقل ليس عيد ميلادك أو تسلسل مشترك بعض المضخات تسمح بإستخدام مجاميع متغيرة لشبكة المعلومات الخاصة، وتغيير نظام المعلومات عن بعد دورياً، و لا تتقاسمه مع الأطراف غير المُعهد بها.
تنفيذ تدابير أمن الشبكات
وتقوم أجهزة الحفر التابعة للشبكة بالاتصال بالشبكة اللاسلكية (W-Fi) لنقل البيانات إلى الكشافة وتلقي تغييرات في التشكيلات، وتكشف شبكة منزلية غير آمنة عن أجهزة الحفر إلى المهاجمين المحليين أو الأجهزة الخبيثة للوقود، وتؤمن الشبكة في كل طبقة.
Wi-Fi Encryption and Router Hardening
استخدموا تشفير الـ (واب) 3 إذا كان مرشدكم يدعمه، وإلا فإن (واو بي 2) مع (إي إس) فقط (لا يُمكن أن يُستخدم جهاز تحديد المواقع وجهاز التحكم، الذي يعرف أنه قابل للاستغلال، و غيروا خط سير SID ورمز المرور الإداري، وضبطوا جدران الحاسب لحجب الاتصالات الواردة من الإنترنت، وإذا كان جهازكم للتحكم في وضع جهاز توجيه أكثر قدرة خلفه.
شبكة متفرقة للمتفجرات
إنشاء ضيف أو شبكة (إيوت) للأجهزة الداخلية وأجهزة منزلية ذكية أخرى، هذا يعزلهم عن حواسيبكم الرئيسية وهواتفكم، حتى لو تعرضت المركبة للخطر، لا يستطيع المهاجم الوصول إلى ملفاتكم الشخصية، ويؤمن بأن جهاز الحاسب لا يسمح إلا بالوصول إلى الإنترنت وخدم الكشافة (أو مركزك المحلي للنايتسكوت) على موانئ محددة.
شبكة البرامج المواضيعية للوصول إلى المناطق النائية
إذا كنت بحاجة إلى الوصول إلى جهاز الحفر عن بعد (مثلاً، لتصوير الاضطرابات أو التجاوزات اليدوية)، أو استخدام شبكة فيديو بدلاً من تعريض SSH أو واجهة الإنترنت مباشرة إلى الإنترنت، أو إنشاء شبكة ويريغارد أو شبكة الإنترنت على متن المركبة، أو استخدام خدمة نفق آمنة مثل تايلد أو زيرو تيير، أو عدم إرسال الموانئ 22 أو 443 أو 8080 من جهاز توجيهك إلى الرافعة.
نشاط نظام الرصد
ويمكن للكشف المبكر عن الشذوذ أن يوقف هجوماً قبل أن يتسبب في ضرر، ويسجل نظام " سبات " ثروة من البيانات: الجرعات الانسولين، وقراءات الأشعة السينية، وقرارات حلقات العمل، والأحداث النظامية، ويستعرض بانتظام هذه السجلات لأنماط غير متوقعة.
Automated Log Analysis
تركيب مشاهد لوجست مثل على جهاز الحفر لحجب المحاولات المتكررة للإنقاذ، واستخدام أدوات مثل أو لإحالة سجلات إلى خادم مركزي أو إيميل لك ملخص يومي، وبحث عن علامات الدخول غير المأذون به: عناوين غير مألوفة للشركة، أو إعدام غير عادي للقيادة، أو تغيير تشكيلة خارج النوافذ التحديثية العادية.
إعداد إنذارات
ويمكن تشكيل الكشافة الليلية لإرسال إنذارات عن أنماط غير عادية، مثل أخطاء الاتصالات المتكررة بالضخ أو التغييرات غير المتوقعة في معدل البصل، وإدماجها مع شركة إي إف تي تي أو بوشوفر لتلقي إخطارات الدفع، وإذا كانت أجهزة الحفر تدعمها، فإن ذلك يتيح تنبيهات بالبريد الإلكتروني أو نظام الرصد الخاص عندما يكتشف النظام جهازا جديدا على شبكة بلوتوث أو عندما تنخفض الاتصالات اللاسلكية بشكل غير متوقع.
استعراض اللوزات دوريا
وضع رسالة تذكير أسبوعية أو نصف أسبوعية لسجلات المسح اليدوي، وإيلاء الاهتمام لرسائل الخطأ التي تشير إلى عدم التلف أو الحزم غير الصحيحة أو فشل التوثيق، ولدى مجتمع " أوف بي سي " نماذج لقطع سجلات التشريح - تستخدمها لكشف الأحداث المشبوهة.
Limit Access and Use Two-Factor Authentication
تقييد من يستطيع التفاعل مع نظام (إف بي إس) يجب تأمين جهاز الحفرة مادياً، ويجب أن يتطلب الوصول عن بعد أدلة متعددة على الهوية.
2FA) for nightscout
() الكشافة الليلية غالباً ما تكون نقطة النهاية العامة، ويمكن الحصول على 2FA عن طريق مضيفكم (مثل غوغل أو غيت هوب أو أزور أ دي) أو استخدام خدمة طرف ثالث مثل أوث0 (Auth0) أو استخدام نظام للنايت المزود بالأجهزة ذاتياً، أو تطبيق نظام " تليفزيون " () على الخادم، مما يحول دون حصول الشخص على بيانات سرّة من خلال إتاحة الوصول إلى المعلومات.
أقل المبيعات للمستعملين
إنشاء حسابات منفصلة لكل شخص يحتاج إلى الوصول (مثلاً، مقدم الرعاية، أخصائي الغدد الصماء) ومنح امتيازات دنيا، مثلاً، ينبغي أن يقتصر حساب المشاهد على قراءة البيانات، وليس على بيانات التحرير أو على تشغيل المزلاجات اليدوية.
مراقبة الدخول المادي
وإذا كانت المركبة في مكان مشترك، فإنها تؤمّنها في صندوق مغلق أو درج، وموانئ من طراز USB غير صالحة للاستعمال، وزر الاستعادة إن أمكن، والنظر في استخدام ختم تلاعبي للكشف عن التدخل المادي، ولكفالة عدم تركها في أماكن يسهل الوصول إليها بالنسبة للأجهزة المحمولة المستخدمة في العمل أو المدرسة.
تشفير البيانات في الراحة وفي المرور العابر
ويجب أن تشفير البيانات الصحية الحساسة أينما كانت موجودة - على بطاقة جهاز الحفر - أثناء تحميلها على الكشافة المغلقة، وفي النسخ الاحتياطية، وتدعم نظام " أوبس " التشفير لبعض الطرق، ولكن قد تحتاج إلى توسيع نطاقه.
اشتر تخزين شركة ريغ
(ب) استخدام نظام LUKS (Linux Unified Key Setup) لتشفير الملفات الأساسية للأجهزة (باستثناء تقسيم الأحذية) - وهذا يحمي البيانات إذا كانت بطاقة السحب الخاصة قد سرقت أو فقدت التصلب، أما في راببيري بي، فإن الأحذية من جذور مشفرة تستخدم [( - يقدم المجتمع نصوصاً أو يستعمل نموذجاً آلياً في بيئة التعبئة.
عمليات نقل الكشافة الليلية المشفرة
دائماً ما يتواصل مع شركة " نايتسكو " (HTTPS/TLS) ويستخدم شهادة صالحة من شركة Let’s Encrypt أو شهادة ذاتية السمعة، ما لم تكن لديك شبكة داخلية صارمة، وللمزيد من الخصوصية، النظر في استضافة الكشافة في مجالكم الخاص بتشكيل قوي من نظام HTTPS (TLS 1.3, السرية الكاملة للأمام).
المساندة
)أ( دعم ملفات وسجلات تركيبات أجهزة الحفر بانتظام، ومسح المحفوظات الاحتياطية بأداة مثل GnuPG أو ](FLT:8[ قبل تخزينها في السحابة أو على قرص مركب من نوع USB.
تأمين بلوتون وراديو الاتصالات
وتعتمد أجهزة الاتصال المفتوحة على جهاز لاسلكي ذي طاقة منخفضة من بلوتون وأجهزة لاسلكية من طراز GHz للحديث مع جهاز CGM والضخ، ويمكن اعتراض أو تضييق هذه الروابط اللاسلكية، وتشمل البروتوكولات الحديثة التشفير، ولكن الأجهزة القديمة قد تفتقر إليه.
Use Encrypted Bluetooth
(ج) ضمان أن تكون أجهزة إرسال وضخاتكم لدعم أسلوب أمن BLE 1 من المستوى 3 (التشفير بالتوثيق) و(ديكسوم ج-6 وG7) ومضخات ميدترونيك جديدة مثل الـ 780G، وأن تستخدموا وصلات مشفرة، وإذا استخدمتم مضخة أقدم (مثل سلسلة الـ (ميدترونيك) أو (أومنيبود) أقدم، فإن البروتوكول الإذاعي قد يكون غير مجهز إلى أدنى حد ممكن.
إدارة شؤون البريد الأزرق
ولا يمكن اكتشاف بلوتون الرافعة إلا أثناء الضم الأول، ثم حلها، إذ تقوم أجهزة مراجعة الحسابات المدمجة بانتظام عن طريق بزوغات جهاز الحفر، وإذا اكتشفت جهازا غير معروف، تزيلها وتعيد تجهيزها بجميع المناطق المحيطة بمفاتيح جديدة، وتسمح بعض أجهزة الحفر بوضع جهاز PIN - باستخدامه.
إذاعة درع التردد
ولمزيد من الارتياب، فكر في ضم جهاز الحفر في قفص صغير في فاراداي (كيس معدني) عندما لا يكون في الاستخدام أثناء النوم أو السفر، وهذا يحول دون أي اتصال لاسلكي، ولكن كوني على علم بذلك أيضاً، يتوقف عن العمل العادي، ولا تستخدم هذا إلا إذا كنت متأكد تماماً من أنه لا حاجة إلى أي حلقة.
برمج نفسك و ابقوا على علم
وتتطور مشهد الخطر، ويتقاسم مجتمع النظام باستمرار تقنيات أمنية جديدة، ويظل البقاء على علم عملية مستمرة.
انضموا إلى قناة الأمن - المُتهمة
Participate in the OpenAPS community forums and the #security channel on the OpenAPS Discord or Slack. Follow researchers like those in the ]OWASP Medical Device Security project. Subscribe to cybersecurity news sources that cover IoT health devices, such as the Krebity b
إجراء تقييمات دورية للمخاطر
كل بضعة أشهر، استعراض موقفك الأمني: التحقق من التحديثات، واختبار النسخ الاحتياطية، وكلمات السر الدوارة، والتأكيد على أن 2FA لا تزال نشطة، واستخدام أدوات المصدر المفتوح مثل لمسح شبكتك للموانئ المفتوحة و لرصد حركة مرور بلوتون للأورام.
تعلم من الحوادث الحقيقية
فالقراءة عن الحوادث الأمنية السابقة التي تنطوي على أجهزة السكر، مثلا، البحث الذي أجري في عام 2019 والذي أظهر هجوما نظريا على جهاز لا يصلح للمضخة الطبية أدى إلى تغييرات على نطاق الصناعة، ففهم هذه الحالات يساعدك على تقدير سبب ضرورة بعض التخفيف من حدة المرض، وتشاطر خبراتك في المجتمع لمساعدة الآخرين.
الدعم والتخطيط لاستعادة القدرة على العمل بعد الكوارث
فالأمن ليس فقط بشأن الوقاية، بل يتعلق أيضا بالقدرة على التكيف، وإذا نجح الهجوم، فإن خطة احتياطية قوية تضمن لك أن تستعيد بسرعة التشغيل العادي دون تعريض صحته للخطر.
الدعم المنتظم في مجال الاتحادات
دعم دليل النظام المتكامل (عادة ما يكون (FLT:11]) يومياً باستخدام وظيفة مؤقتة، بما في ذلك ملفات الملفات، والملفات، وملفات السجل، والاحتفاظ على الأقل بنسخ الدعم السبعة الأخيرة، وكذلك دعم قاعدة بيانات الكشافة الأسبوعية (تصدير مونغو ديبو).
نسخ احتياطية غير مباشرة
تخزين احتياطي مشفوع على قرص مركب من نوع (أوسترا بي) يتم فصله عادة من الشاحنه، وربطه بالموعد وخزنه في صندوق الأمانات، وفي حالة تدمير المركبة أو إفسادها، يمكنك استعادة النسخ من خارج الخط.
أسلوب التشغيل في حالات الطوارئ
إعداد خطة للتراجع: معرفة كيفية إدارة نظامك في طريقة مفتوحة (العمل الرسمي) إذا تعرض المشغل المغلقة للخطر، وجهز مضخة احتياطية، ومجس إدارة المكالمات، ومصرف الكهرباء الهاتفي، وتحول إلى طريقة يدوية حتى لا ترتعش خلال أزمة.
خاتمة
ويتطلب تأمين نظام مفتوح العضوية نهجاً متدرجاً: إبقاء البرامجيات موجودة، واستخدام التوثيق القوي، وتقوية شبكتكم، وتشتيت البيانات، ورصد حالات الشذوذ، والإعداد لحالات الطوارئ، ولا يوجد أي تدبير واحد غير مجزأ، بل إنها تخلق مجتمعاً دفاعياً يجعل الهجمات الناجحة صعبة للغاية، وطائفة " نبسبيس " هي مورد قوي - يعتمد على ذلك، ويسهم في أفكاره، ويضع في طياته، ويضع في طياته، ويضع في طياته، ويضع في طياته، ويضع في طياًاًاًاًاًاًاًاًاًاًاًاًاًاًاًاً في طيًّ في طيًّ في طيًّاً في طيًّاًاًاً في طيًّاًاً في طيًّاً في طيًّاً في طيًّاًاً في طيًّاً في طيًّاً في طيًّ في طيًّاًاًاًاًاًاًاًاًا، ويُناًاًاً