ليس هنالك من قطاع اقتصادي يمتلك مناعة ضد القرصنة، حقيقة تجلت بأشد الأشكال إيلاماً في منتصف شهر مايو/أيار من العام 2017، عندما عطل القراصنة السيبرانيون مؤسسات الرعاية الصحية وغيرها من المؤسسات الأخرى حول العالم، وذلك عن طريق الهجوم الإلكتروني بفيروسات واناكراي. ولهذا علينا الانتباه إلى مسألة الأمن السيبراني في مجال الرعاية الصحية.
وقبل تلك الحادثة، جرى في العام 2015 كشف السجلات الصحية لأكثر من 113 مليون أميركي، وفي العام 2016 بلغ ذلك الرقم أكثر من 16 مليون، وذلك بالاعتماد على تقارير صادرة عن مكتب حقوق الإنسان التابع لوزارة الصحة والخدمات الإنسانية في الولايات المتحدة الأميركية. وفي بداية العام 2017، توقعت مؤسسة إكسبيريان أن قطاع الرعاية الصحية سيكون أكثر القطاعات العمودية المستهدفة. ولقد أشار تقرير صادر في مارس/آذار 2017 عن مركز موارد سرقة الهوية إلى أن أكثر من 25% من مجموع الانتهاكات المتعلقة بالبيانات كانت مرتبطة بقطاع الرعاية الصحية، وبأن الخسارة المقدرة للقطاع جراء ذلك بلغت 5.6 مليار دولار سنوياً. ومن المفترض أن تمثل هذه الإحصاءات جرس إنذار لجميع الجهات المعنية في هذا القطاع.
هنالك ثلاثة أسباب تجعل من قطاع الرعاية الصحية مصدراً لذلك الكم الهائل من البيانات المسروقة هذه الأيام. أولاً، يمكن تسييل بيانات الرعاية الصحية، أي تحويلها إلى عملة. فعلى سبيل المثال يمكن للقراصنة السيبرانيين استخدام البيانات الطبية لاختلاق وبيع أشخاص وهميين وتمكين أطراف أخرى من سرقة الهويات الطبية. وإن لم ينجح ذلك، يمكنهم استخدام المعلومات المسروقة لارتكاب جرائم سرقة الهوية التقليدية، حيث إن المعلومات الطبية الخاصة بشخص ما عادة ما تشمل قدراً كافياً من المعلومات يسمح للمجرم بطلب استصدار بطاقة ائتمانية أو فتح حساب مصرفي أو الاقتراض على اسم الضحية. وإذا لم ينجح أي من الاحتمالين السابقين، يمكن للقراصنة استخدام الفيروسات لابتزاز مؤسسات الرعاية الصحية وإجبارهم على دفع المال لاستعادة بياناتها وأنظمتها المتضررة.
ثانياً، لقد كانت مؤسسات الرعاية الصحية بطيئة في تبني الإجراءات والممارسات التي أثبتت جدواها في القطاعات الأخرى. فمثلاً، لا تملك غالبية بوابات الرعاية الصحية البرامج القوية متعددة العوامل للتحقق من الشخصية. وقسم كبير من العاملين في مجال الرعاية الطبية لا يعون المخاطر المحدقة بأمان البيانات (الأمر الذي يبدو مفارقة غريبة إذا ما أخذنا بالحسبان التأكيد القوي لتلك المؤسسات على أهمية صون خصوصية المرضى). وفضلاً عن ذلك تميل مؤسسات الرعاية الصحية إلى تخصيص موازنات وفرق عمل لأغراض أمن المعلومات أصغر بكثير مما تخصصه مؤسسات الخدمات المالية.
وأخيراً، مع بلوغ القطاعات الأخرى درجة متقدمة جداً من التطور في مجال مواجهة وصد الهجمات السيبرانية، كان على القراصنة البحث عن مصادر جديدة للبيانات. وإلى جانب حيازة مؤسسات الرعاية الصحية مجتمعة معلومات خاصة حول غالبية السكان، فإن نظم تكنولوجيا المعلومات لديها موصولة بمؤسسات الخدمات المالية (عبر حسابات الإنفاق المرن التي لها بطاقات ائتمان خاصة أو حسابات التوفير الصحية التي قد تصل حساباتها إلى مبالغ من خمس مراتب بعد عامين أو ثلاثة).
وبما أن غالبية التحويلات المالية في قطاع الرعاية الصحية تتم عبر معدات وبرمجيات غير محصنة، من الضروري بالنسبة للمزودين كما للمشتركين أن يعززوا أمنهم السيبراني. ولا ضير من اتخاذ قطاع الخدمات المالية، الذي تعرض لأكبر الهجمات السيبرانية المعروفة في العقد المنصرم، مثالاً يحتذى به ويتعلم منه. إذ إن تلك الهجمات والفوضى التي حصلت دفعت قطاع الخدمات المالية إلى إجراء تحول كبير في عملياته، حيث جرى التركيز بدرجة غير مسبوقة على تثقيف المستخدمين وتشارك المعلومات ضمن القطاع واعتماد طرق أكثر صرامة للتحقق من هوية المستخدم إلى جانب أمور أخرى.
كيفية حماية الأمن السيبراني في مجال الرعاية الصحية
وفيما يلي بعض النصائح المبنية على أساس خبراتنا المتراكمة في مجالات إيصال خدمات الرعاية، والنظم الصحية، والأنظمة المالية، وإدارة المخاطر.
حدّث قواعد إمكانية نقل التأمين الصحي والمساءلة (إتش آي بي أي أي)
كما أنّ هنالك قواعد ومعايير لأمن البيانات في قطاع بطاقات الدفع، هنالك أيضاً قواعد أمان وقواعد خصوصية لإمكانية نقل التأمين الصحي والمساءلة بوصفها أطراً قانونية لكيفية حفاظ مؤسسات الرعاية الصحية على الأشخاص والنظم والبيانات والمعدات. ولعل ما تحتاجه هذه الطرق المعروفة والسائدة للتعامل مع الأمن والأمان في قطاع الرعاية الصحية، هو تحديث تلك القواعد باستمرار لتشمل الأساليب الحديثة للهجوم السيبراني والتكيتيكات الجديدة التي يطبقها القراصنة.
قيّم التدابير الأساسية للتعامل مع المعلومات في مؤسستك وعزز أمنها
يتعين على مزودي الرعاية الصحية تطبيق إجراءات تشفير صارمة على جميع بيانات المرضى، وتقليص طيف الجهات المسموح لها الدخول إلى قوائمها الطبية. فضلاً عن ذلك يتعين على المؤسسات مراقبة عمليات البحث والتنزيل من نظم تكنولوجيا المعلومات التي تشغلها من خلال تعقب البيانات المسروقة كتنزيل ملفات البيانات الضخمة حول المرضى والأبحاث والتمويل وغيرها من البيانات الحساسة.
قم بشراء بواليص التأمين
لدى العديد من مؤسسات الخدمات المالية بواليص تأمين ضد الأضرار السيبرانية، ويتعين على مؤسسات الرعاية الصحية أن تحذو حذوها. وبما أن هذا النوع من التأمينات حديث نسبياً، فإن جزءاً كبيراً من رؤساء ومدراء وأعضاء مجالس إدارة مؤسسات الرعاية الصحية قد لا يعرفون أنه متوفر. وفضلاً عن ذلك هنالك أسئلة مهمة ولا تزال مفتوحة حول هذا النمط من أنماط التأمينات، مثل "من يجب أن يدفع ثمن تلك البواليص؟"، و"هل الهدف منها حماية المؤسسات أم المرضى أم كليهما معاً؟" في الوقت الراهن تدفع المؤسسات ثمن البواليص، ولا نعتقد بأن ذلك سيتغير في المستقبل المنظور.
احرص على تدريب الموظفين
يعد الخطأ البشري، بما في ذلك الوقوع ضحية هجمات تصيد المعلومات، هو المسبب الأول لنجاح الهجمات السيبرانية الكبرى اليوم. ولذلك يتعين على أنظمة الرعاية الصحية أن تذكر الموظفين دائماً بأهمية تطبيق أفضل الممارسات في مجال أمن المعلومات من خلال الحرص على تدريب الموظفين، وإجراءات التذكير الاستراتيجية، وما إلى ذلك.
احم سلاسل الإمداد
تمتلك المستشفيات وأنظمة الرعاية الصحية سلاسل إمداد متنوعة وقوائم كبيرة من البائعين الذين تتعامل معهم رقمياً. وتوفر تلك السلاسل فرصة كبيرة وجذابة للقراصنة للدخول إلى نظم تكنولوجيا المعلومات في مؤسسات الرعاية الصحية. ولذلك يتعين على مزودي الرعاية أن يستوعبوا ذلك العدد الكبير من المركبات المنخرطة في تلك النظم، وأن يوفروا لها الحماية في علاقاتها وتبادل المعلومات فيما بينها. وقد يكون بوسع جهات ثالثة أن تساعد في تقييم تلك المخاطر واقتراح الأساليب القادرة على إبقائها في حدودها الدنيا.
تشارك مع الآخرين في القطاع أفضل الممارسات حول الأمن السيبراني
ساهم مركز تشارك المعلومات وتحليلها في مجال الخدمات المالية، في جعل الحياة أسهل وأكثر آماناً لجميع الشركاء في قطاع الخدمات المالية وذلك من خلال تمكين المؤسسات المالية من تشارك المعلومات بشكل سريع ومباشر. ومن شأن جهات مشابهة مثل مركز تشارك المعلومات وتحليلها في مجال الصحة الوطنية، أن تشكل نقطة انطلاق مناسبة لمناقشة هذا الموضوع ووضع الخطط المناسبة للتعامل معه.
طبق إجراءات قوية وصارمة للتحقق من شخصية المستخدم
يتعين على أنظمة الرعاية الصحية تطبيق إجراءات صارمة بعوامل متعددة للتحقق من شخصية المستخدم، وهي إجراءات متوفرة بكثرة في قطاع الخدمات المالية الأميركي. ولعل غالبية المستهلكين في الولايات المتحدة على علم ودراية بهذا النوع من التكنولوجيا وليسوا بحاجة إلى الكثير من التثقيف في هذا المجال (الأمر الذي يشكل تحدياً كبيراً أمام قطاع الخدمات المالية قبل عقد من الزمن).
اتبع نهج "الترميز"
لقد لاقى هذا النهج المتمثل بالاستعاضة عن البيانات الحساسة ببيانات خاصة أخرى لكنها غير حساسة، رواجاً كبيراً في عالم البطاقات الائتمانية خلال السنوات القليلة الماضية. ويمثل هذا النهج أسلوباً مناسباً لحماية البيانات عندما يتعين على الزبون (أي المريض) الانخراط في شكل من أشكال الدفع الإلكتروني عبر البطاقة. وقد يشمل ذلك استخدام بطاقات الإنفاق المرن القابلة للسداد أو دفع الفواتير المرتبطة بالرعاية الصحية عبر شبكة الإنترنت.
انسخ وطبّق نهج البطاقة ذات الشريحة
كانت أول مناسبة تعرف فيها المستهلك الأميركي على البطاقة ذات الشريحة في بدايات العام 2015، عندما بدأت جهات إصدار البطاقات تصدرها على نطاق واسع. وقد جرى الجزء الأكبر من ذلك في سياق الاستعداد للتحول المرتبط بالجهة المسؤولة عن الغش. ولقد بات المستهلك الأميركي اليوم معتاداً بشكل كبير على كيفية استخدام مثل هذه البطاقات (ولقد كانت هذه البطاقات تُستعمل لسنوات عديدة في كل من فرنسا والمملكة المتحدة وكندا وأستراليا وبلدان أخرى). ويدور نقاش واسع بين الجهات الدافعة العامة والخاصة حول مزايا إصدار البطاقات ذات الشرائح للمستفيدين بغرض إرسال هوية المريض والتحقق من أهليته لتلقي الرعاية.
جرّب تكنولوجيا البلوك تشين
فبإمكان هذه التكنولوجيا أن تسجل جميع التعاملات المالية بين أي طرفَين بشكل فعال ودائم وقابل للتحقق منه. وهي مستخدمة في قطاع الخدمات المالية وغيرها من القطاعات. فبعد أن تعرضت أستونيا على سبيل المثال لهجوم سيبراني كبير في العام 2007، أصبحت أكثر حزماً وصرامة في حماية مجتمعها من مثل تلك الهجمات، وباتت اليوم تستخدم تكنولوجيا بلوك تشين لحماية البيانات الطبية لمواطنيها. ويتوفر طيف متنوع من أنظمة التحقق من الهوية القائمة على أساس هذه التكنولوجيا، بما فيها نظام "غاردتايم"، ونظام "تروكريد"، ونظام "سيفيك"، ونظام "ون نيم".
فكر في تطبيق إجراءات الأمن البيومترية
يُنظر إلى السمات البيولوجية أو البيومترية بشكل متزايد بوصفها أفضل أشكال تحديد الهوية وأكثرها موثوقية. وتعمل شركات ناشئة كشركة "سيمبرينتس" (Simprints) وشركة "رايت بيشنت" (RightPatient) على اختبار قيمتها بوصفها أداة تحقق لضمان أمن السجلات الطبية الإلكترونية. ولعل الجهة الأكثر طموحاً في تطبيق إجراءات الأمان البيومترية هي مشروع "أدهار" التابع للحكومة الهندية والذي أنتج أرقام هويات مكونة من 12 منزلة بناء على معلومات بيومترية وديموغرافية (كمسح قزحية العين، وبصمات الأصابع الرقمية، وصورة رقمية للوجه) لجميع مواطنيها تقريباً البالغ عددهم 1.2 مليار نسمة. لكن وتأكيداً على الحقيقة المحزنة بأن ليس هنالك من نظام آمن تماماً، فقد تعرض النظام الجديد للمشاكل؛ حيث نشر "مركز الإنترنت والمجتمع" الشهر المنصرم تقريراً مفاده أن 130 مليون رقم في برنامج أدهار وحوالي 100 مليون حساب مصرفي للمستفيدين قد جرى تسريبها إلى شبكة الإنترنت.
لقد كانت النعمة الكبرى التي جلبها لنا العصر الرقمي هي أن البيانات الطبية للمرضى باتت متحركة بنحو متزايد، ما يعد بتسهيل جمع البيانات وتشاركها فيما بين جميع الفاعلين في قطاع الرعاية الصحية على مدار السنوات القادمة. لكن ولسوء الحظ، فإن ذلك التطور ينطوي على مخاطر كبرى في مجال الأمن السيبراني.
ولذلك فإن حماية المعلومات الصحية للمرضى في هذا العالم الجديد تتطلب، الانسجام مع قواعد إمكانية نقل التأمين الصحي والمساءلة، وتنسيقاً عالياً للجهود فيما بين مؤسسات الرعاية الصحية ومقدميها وشركات التأمين إلى جانب الاستثمار بشكل ملحوظ في تطبيق الأدوات والممارسات الجديدة. كما تتطلب تلك الحماية من مؤسسات الرعاية الصحية أن تنظر إلى المخاطر السيبرانية نظرة شاملة، غير محصورة في مجال واحد (كالوصول إلى سجلات المرضى على سبيل المثال). وهذا ما يطلق عليه في عالم إدارة المخاطر مصطلح اتباع نهج شامل.
يتعين على قطاع الرعاية الصحية أن يستوعب الدروس المستخلصة من القطاعات الأخرى الأكثر تطوراً من حيث قدرتها على إحباط الهجمات السيبرانية كقطاع الخدمات المالية. وفي ضوء التخلف الكبير لمؤسسات الرعاية الصحية بالمقارنة مع المؤسسات الأخرى، لا بد لها من وضع هدف تعزيز الأمن السيبراني على رأس أولوياتها من أجل حماية الأمن السيبراني في مجال الرعاية الصحية.
اقرأ أيضاً: