ضرب هجوم إلكتروني كبير أنظمةَ البرمجيات الصحية حول العالم يوم الجمعة. وفي بريطانيا أصاب الهجوم أنظمة تقنية المعلومات في إحدى المستشفيات، ما تسبب بعدم قدرة الأطباء على الوصول لسجلات المرضى، كما تسبب بتحويل حالات الإسعاف وتأجيل حالات الرعاية في قسم الطوارئ.
وللأسف فإن الهجوم على أنظمة تقنية المعلومات يعتبر مجرد غيض من فيض إذا ناقشنا نقاط الضعف السيبرانية في قطاع الرعاية الصحية. إن اختراق أجهزة طبية مزروعة أو أجهزة يتم ارتداؤها هو تهديد واقعي أكثر خطورة.
أظهر باحثون في بلجيكا والمملكة المتحدة أنه يمكن تحويل إشارات مهددة للحياة – إن لم تكن قاتلة - إلى أجهزة طبية مزروعة مثل أجهزة تنظيم ضربات القلب وأجهزة إزالة الرجفان ومضخات الأنسولين. وقد أُغلق مختبر قسطرة في منشأة في فيرجينيا مؤقتاً عندما اُكتشفت برمجيات ضارة في أجهزة الكمبيوتر الداعمة لعمليات جراحة القلب. في ثلاث حالات أخرى مماثلة، وُجدت برمجيات ضارة تمكنت من خلال ما يسمى فيروس الباب الخلفي (backdoor) من الولوج إلى شبكة تقنية المعلومات في البرامج الموجودة على أجهزة الأشعة السينية ومحلل غازات الدم وأجهزة الاتصال.
قدم مؤخراً الباحثون الذين يحققون في شأن الأمن السيبراني الخاص بالأجهزة الطبية قائمة إلى مركز الأجهزة والصحة الإشعاعية في إدارة الغذاء والدواء (FDA) بنقاط الضعف التي حددوها في الأجهزة الطبية خلال عملهم المستمر، وفي العام 2016 فقط كشف اثنان من التجار عن مواطن الضعف في مضخات الأنسولين ونظام إمداد مخزون التمريض التي يمكنها أن تشكل تهديداً على الرعاية الصحية وقد تؤمن وصولاً إلى الشبكات المخفية.
لقد أصبحت أجهزة كهذه مألوفة جداً في مجال الرعاية الصحية، وبسبب زيادة أعداد المسنين في المجتمع وتزايد الأمراض المزمنة ووجود التطور التكنولوجي، كان من المتوقع أن تصل مبيعات سوق الأجهزة الإلكترونية الطبية إلى 398 مليار دولار في العام 2017 (ملاحظة: كتبت المقالة الأصلية عام 2017). وفي حين أن السوق تتوسع بنسبة 3% سنوياً كما هو متوقع حتى العام 2022 على الأقل، فإن شبكات تقنية المعلومات في المستشفيات لا تزال بطيئة في مواجهة تحديات الأمن السيبراني التي طال أمدها، ما يستدعي القلق حول أمور تتعلق بالخصوصية أو يثير مخاوف صحية قاتلة. وقد كشفت استطلاعات رأي لقادة تقنية المعلومات الصحية أن جزءاً كبيراً من ميزانياتهم الخاصة بالأمن السيبراني سوف تبقى تركز على تأمين شبكات المؤسسة من خلال البنية التحتية ومركز المعلومات والأمن السحابي، في ذات الوقت نجد أن الأطر التنظيمية الحكومية والصناعية الناشئة تقدم مجرد توجيهات، دون فرض عقوبات ذات مغزى، ما يجعل الأمر هيناً على قادة تقنية معلومات الأنظمة الصحية أن يقللوا من أولوية المخاطر الناجمة عن اختراق الأجهزة الطبية. علاوة على ذلك، فإن التحدي الكبير يتمثل في استمرار وجود أجهزة في السوق مصنّعة قبل العام 2014، وهو العام الذي أُصدر فيه دليل إدارة الغذاء والدواء. (على سبيل المثال، في عام 2013 كان متوسط عمر جهاز الأشعة بالرنين المغناطيسي (MRI) في الولايات المتحدة يبلغ 11,4 سنة).
على الرغم من ذلك، هناك بعض الخطوات الأساسية التي يمكن أن يتخذها مدراء المستشفيات بهدف تقليل المخاطر فيها وحماية المرضى والأجهزة والشبكات والبيانات:
تقييم الأمن السيبراني للأجهزة إبّان شرائها. قيّم مخاطر هذه الأجهزة على قدم المساواة مع تقييمك لفعاليتها السريرية. تحدث بصراحة مع التجار حول المخاوف والتوقعات المحتملة في حال عُرفت نقاط ضعف الأجهزة مستقبلاً. في العام 2014 طوّرت المنظمة الدولية للمعايير (ISO) دليلاً إرشادياً يكشف عن نقاط الضعف المحتملة في المنتجات. من الضروري التعرف على الجوانب المناسبة في هذا الدليل ودمجها ضمن السياسات والإجراءات الخاصة بك، وأن تبقى على اطلاع على أي معايير منقحة في العام 2019 والمعايير التي تستجد بعد ذلك.
طلب إجراءات مكافحة جرائم الفضاء السيبراني الأساسية. يمكن للمستخدم النهائي ومجموعات تقنية المعلومات التي تعمل في الظل أن يقوّضوا حتى أفضل تصميمات الهيكلية الأمنية وسياساته. وكإجراء استباقي، يجب إشراك المستخدم النهائي بهذه الممارسات لضمان التزامه بالسياسات الأمنية. أكد للمستخدم على فكرة أن وضع السياسات الخاصة بجهازك وإجراءاته وأنظمته لها نفس درجة الحماية المتعلقة بالأجهزة المتصلة بالشبكة. أظهر استطلاع الرأي المذكور سابقا والذي أجرته جمعية نظم معلومات وإدارة الرعاية الصحية (HIMSS) أن نسبة 56.3% فقط من مسؤولي أقسام العناية المركزة ونسبة 35.5% من مسؤولي أقسام الرعاية الاعتيادية كانوا قد نشروا بفعالية البروتوكولات المهمة لإدارة الأجهزة الجوالة.
أخيراً، اطلب استخدام برامج مضادات الفيروسات الحاسوبية ومضادات البرمجيات الضارة. أظهر استطلاع رأي لجمعية هيمس (HIMSS) عام 2016 أن 84% فقط من مقدمي خدمة العناية المركزة ونسبة 90% من مقدمي خدمة الرعاية الاعتيادية يستخدمون خطوط الدفاع الأولى هذه. يجب أن يفكر مدراء تقنية المعلومات بعقلية مقدمي الرعاية الصحية التي تُؤمن بأن درهم وقاية خير من قنطار علاج.
الوصول الاستباقي للمخاطر وتصحيح نقاط الضعف. ركّز على الأجهزة القديمة واعمل مباشرة مع المصنّع والمورِّد لتحديث كل الأجهزة بأقصى سرعة ممكنة. في أواخر 2016، أصدرت إدارة الغذاء والدواء دليلاً إرشادياً مساعداً لكنه غير ملزم عن الأجهزة المعتمدة والمتوافرة في هذا المجال. يقدم الدليل إطاراً معقولاً لتقييم مخاطر الأمن السيبراني عبر دورة حياة المنتج، وكذلك يقدم توجيهات محددة حول كيفية مواجهة خطر أمن سيبراني ما في بيئة العمل الخاصة بتقنية المعلومات الصحية، وذلك دون إنذار المرضى ومقدمي الخدمة، كما يقدم الدليل توجيهات حول كيفية كشف القراصنة (hackers) المحتملين وغيرهم ممن يهمهم استغلال أي ثغرات معروفة في الأجهزة. المبدأ التوجيهي الأهم في الدليل السابق الصادر عن إدارة الغذاء والدواء (FDA) ينص على أنه يمكن للمصنع إصلاح الخلل الأمني في الجهاز دون الحاجة لإعادة التصديق عليه. قبل إصدار هذا الدليل الإرشادي الواضح، كان العديد من المصنعين يترددون بإحداث تغييرات على الأجهزة يمكن أن تعتبر تبديلات أساسية تستدعي الحاجة لإصدار شهادة جديدة للمنتج.
البقاء في حالة تأهب وأخذ العلم. في العام 2013، أنشأ الأمر التنفيذي رقم 13961 سلسلة من المراكز والمنظمات لتبادل المعلومات وتحليلها بهدف تشجيع تشكيل مجتمعات تطوعية يمكنها أن تتبادل المعلومات بأمان عبر إقليم أو صناعة ما، استجابة لتهديدات ناشئة. تشمل العضوية الحصول على إخطارات آمنة عن التهديدات الناشئة، وأيضاً إمكانية وصول القادة في العديد من الشركات الكبرى لتصنيع الأجهزة وكذلك البائعين الموثوق بهم التي تلبي منتجاتهم وعمليات التصنيع لديهم وطرق استجابتهم بعد مرحلة التسويق معاييرَ محددة. إن كلفة الاشتراك تعتبر في الحدود الدنيا إذا ما قارناها بالكلفة المالية وكلفة العلاقات العامة التي نتكبدها للتخلص من خرق أمني يمكن تجنبه.
يعلم مدراء المستشفيات يقيناً أن الأجهزة الطبية المرتبطة بالشبكة والأجهزة التي يتم ارتداؤها تشكل نقاطاً أمنية ناعمة، ومع ذلك، فإن المصادر المحدودة ووجود مجموعة جديدة من التحديات العملية والتنظيمية التي تحتل الصدارة على سلم الأولويات يقلل من شأن التهديدات الناجمة عن اختراق الأجهزة الطبية التي يبدو أنها ستبقى في أسفل القائمة. لا يزال الأمن السيبراني أمراً ثانوياً في الأهداف الطبية، حتى إن كان يؤدي إلى أضرار شديدة أو يتسبب بالموت. وفي ظل غياب عقوبات حقيقية لحالات عدم الامتثال للقواعد يبقى من غير الواضح ما إذا كانت مخاطر الأجهزة ستسبق في الأولوية أموراً أخرى تتعلق بتقنيات المعلومات الصحية. لا شك أن المرضى يستحقون الأفضل دائماً.