هکرها در کمین ژنوم انسان
هر عصری با کشفی بزرگ تعریف میشود؛ بخار برای قرن نوزدهم، اتم برای قرن بیستم، و شاید ژن برای قرن بیستویکم. اما همانطور که انرژی اتمی با وعده انرژی پاک آغاز شد و به سلاح هستهای انجامید، دادههای ژنتیکی نیز میتوانند از ابزار درمان به ابزاری برای تهدید و نفوذ تبدیل شوند، اگر امنیت و اخلاق در کنار علم پیشرفت نکند.
فناوریهای زیستی در دو دهه گذشته چنان سریع پیشرفت کردهاند که چارچوبهای امنیتی و حقوقی نتوانستهاند همگام با آن حرکت کنند. اکنون حجم گستردهای از دادههای ژنتیکی در پایگاههای آنلاین ذخیره میشود، دادههایی که شخصیترین لایههای هویت انسان را بازتاب میدهند. این شکاف میان پیشرفت علمی و حفاظت سایبری، نقطهای آسیبپذیر ایجاد کرده است که هکرها میتوانند از آن بهرهبرداری کنند.
از پروژه ژنوم انسان تا عصر توالییابی پرسرعت
برای درک این تهدید، باید به عقب برگردیم. در سال ۱۹۹۰، پروژهای عظیم با نام «ژنوم انسان» (Human Genome Project) آغاز شد. هدف آن نقشهبرداری کامل از «دیاِناِی» (DNA) انسان بود، کاری که در آن زمان غیرممکن بهنظر میرسید.
این پروژه ۱۳ سال طول کشید و بیش از سه میلیارد دلار هزینه داشت، اما در نهایت در سال ۲۰۰۳ نخستین نقشه ژنتیکی کامل انسان ارائه شد. این نقطه عطف علمی، دروازهای تازه بهسوی پزشکی ژنتیکی گشود.
اما تحول واقعی زمانی رخ داد که فناوری «توالییابی نسلی جدید» (NGS) در دهه ۲۰۰۰ معرفی شد. این روشها هزینه توالییابی را هزاران برابر کاهش دادند و سرعت را بهطور چشمگیری افزایش دادند. حالا پزشکان میتوانند تنها با چند صد دلار، توالی کامل ژنوم یک فرد را ظرف چند ساعت بخوانند؛ کاری که زمانی سالها زمان و میلیونها دلار هزینه میخواست.
این پیشرفت، «پزشکی شخصیسازیشده» (Personalized Medicine)، تشخیص زودهنگام سرطان، درمانهای مبتنی بر ژن و ردیابی بیماریهای عفونی مانند «کووید-۱۹» را ممکن کرد. اما همانطور که دادههای ژنتیکی در پایگاههای ابری، بیمارستانها و شرکتهای تحقیقاتی انباشته میشد، خطرهای تازهای نیز پدیدار شد که اگر این دادهها به دست هکرها بیفتد چه خواهد شد؟
زنجیرهای از آسیبپذیریها
گزارش تازه «دانشگاه پورتسموث» (University of Portsmouth) با رهبری دکتر «محرین حسن» (Mahreen-Ul-Hassan) نخستین مطالعهای است که کل زنجیره NGS را از مرحله جمعآوری نمونه تا تحلیل دادهها بررسی میکند. یافتههای این پژوهش نشان میدهد که نقاط ضعف متعددی در این زنجیره وجود دارد و هرکدام میتوانند هدف حملات سایبری قرار گیرند.
به گزارش سایت «ساینس بلاگ» (ScienceBlog)، یکی از تکاندهندهترین مثالها مربوط به «بدافزار رمزگذاریشده در DNA مصنوعی» (Synthetic DNA-encoded Malware) است. در این حمله که در محیط آزمایشگاهی انجام شد، هکرها کدهای مخرب را در رشتههای DNA مصنوعی قرار دادند و هنگامی که این رشتهها در دستگاه توالییاب خوانده شد، سیستم رایانهای متصل به آن آلوده شد. این سناریو که زمانی شبیه داستانهای علمیتخیلی بود، حالا در دنیای واقعی امکانپذیر شده است.
هوش مصنوعی؛ متحد یا دشمن؟
پژوهشگران هشدار میدهند که پیشرفت «هوش مصنوعی» (Artificial Intelligence) میتواند این تهدیدها را تشدید کند. ابزارهای هوش مصنوعی قادرند با «بازشناسایی غیرمستقیم» (Re-identification) هویت افراد را از دادههای بهظاهر ناشناس کشف کنند یا حتی با دستکاری اطلاعات ژنتیکی، نتایج پژوهشها و تشخیصهای پزشکی را تحتتأثیر قرار دهند.
دکتر محرین حسن میگوید: «دادههای ژنتیکی نهتنها شخصیترین نوع اطلاعات هستند، بلکه برخلاف رمزهای عبور قابل تغییر نیستند. افشای آنها میتواند اعتماد عمومی به پزشکی و علم را برای همیشه خدشهدار کند و حتی امنیت ملی را به خطر اندازد.»
حمله واقعی و تجربه تلخ شرکت «23andMe»
نگرانیها فقط در ذهن نیستند. در سال ۲۰۲۳، شرکت «۲۳ اند می» (23andMe) که خدمات ژنتیکی به مصرفکنندگان ارائه میدهد، اعلام کرد دادههای ۶.۹ میلیون کاربرش در یک حمله سایبری افشا شده است. اطلاعات شامل نام، سال تولد، محل سکونت و پیشینه ژنتیکی کاربران بود. تحقیقات نشان داد که هکرها با روش «کردنشیال استافینگ» (Credential Stuffing) یعنی استفاده از رمزهای عبور لو رفته در سایتهای دیگر وارد حسابهای کاربری شدند. عدم وجود احراز هویت چندمرحلهای، در سیستم امنیتی شرکت، این حمله را آسانتر کرده بود.
این حادثه نهتنها کاربران، بلکه کل صنعت ژنتیک را شوکه کرد و نشان داد حتی شرکتهای بزرگ هم در برابر تهدیدهای سایبری مصون نیستند.
رمزنگاری و قانونگذاری
در واکنش به این تهدیدها، نهادهایی مانند «مؤسسه ملی استاندارد و فناوری آمریکا» (NIST) شروع به تدوین دستورالعملهای امنیتی کردهاند. این راهکارها شامل رمزنگاری پیشرفته، ایمنسازی سختافزاری دستگاههای توالییاب، توسعه پروتکلهای اختصاصی برای دادههای ژنتیکی و استفاده از «رمزنگاری همومورفیک» (Homomorphic Encryption) است؛ روشی که اجازه میدهد دادهها بدون رمزگشایی و در حالی که رمزگذاریشدهاند، پردازش شوند.
در همین حال، پژوهشهای دانشگاهی منتشر شده در سایت پیشچاپ مقاله «آرکایو» (arXiv)، نشان دادهاند که با استفاده از یادگیری عمیق میتوان حملات مبتنی بر DNA رمزگذاریشده را با دقتی نزدیک به صد درصد شناسایی کرد. این یعنی فناوری میتواند در برابر تهدیدهایی که خودش ایجاد کرده هم سپر دفاعی بسازد.
نیاز به همکاری بینرشتهای و آیندهای پرچالش
نویسندگان گزارش دانشگاه پورتسموث تأکید میکنند که حل این بحران فقط با همکاری زیستشناسان، متخصصان امنیت سایبری، کارشناسان «بیوانفورماتیک» (Bioinformatics) و قانونگذاران ممکن است.
آنها پیشنهاد میکنند که دولتها باید مقررات سختگیرانهتری وضع کنند، سیستمهای تشخیص ناهنجاری مبتنی بر هوش مصنوعی توسعه یابد و پروتکلهای ذخیرهسازی امن برای دادههای ژنتیکی اجباری شود.
پژوهش در میان امید و ترس
فناوری NGS نویدبخش عصری است که در آن بیماریها پیش از بروز علائم شناسایی و درمان میشوند، درمانها بر اساس ژنوم هر فرد طراحی میشوند و پژوهشهای علمی با سرعتی بیسابقه پیش میروند. اما همان فناوری که میتواند جان میلیونها نفر را نجات دهد، در صورت بیتوجهی به امنیت، ممکن است به جعبه پاندورایی تبدیل شود که تهدیدهایش از کنترل خارج شوند.
دکتر محرین حسن هشدار میدهد: «ما در لبه مرزی میان انقلاب علمی و بحران امنیتی ایستادهایم. انتخاب با ماست که این فناوری را به ابزاری برای نجات انسانها تبدیل کنیم یا به خطری برای آینده بشر.»
در انتهای این مسیر پرهیاهو، جایی که سرورها خاموش میشوند و نور چراغهای آزمایشگاه یکییکی فرو میافتد، دادههای ژنتیکی هنوز روی خطوط سرد و بیروح کدها نفس میکشند. آنها شاهد سکوتی سنگیناند؛ سکوتی پیش از طوفان احتمالی، پیش از حملهای که میتواند آینده علم را از نجاتبخشی به تهدید بدل کند. اگر امروز تدابیری اندیشیده نشود، فردا شاید در دل همین دادهها داستانی نوشته شود که قهرمانش دیگر پزشک یا دانشمند نیست، بلکه هکری است که در تاریکی از مرز میان علم و امنیت عبور کرده است.
انتهای پیام/
