خلال العام الماضي، وجدت صناعة الرعاية الصحية نفسها معرضة للهجمات المستمرة، إذ استهدف مجرمو الإنترنت الشبكات الطبية الضعيفة ذات الرقابة الرديئة وتمكنوا من الوصول إلى الأجهزة الطبية وقواعد البيانات بصورة شبه يومية. ولك أن تتخيل: لقد تعرضت 24 مؤسسة متخصصة في تقديم الرعاية الصحية لاختراقات بيانات في أول شهرين من العام الحالي، ما أثر على أكثر من 1,000 مريض، أي ارتفعت الاختراقات بنسبة 60 في المئة عن الفترة نفسها من العام الماضي. ومع ذلك، بينما لم يبلّغ سوى 53 في المئة من صنّاع القرارات الأمنية في مجال الرعاية الصحية عن وجود اختراقات العام الماضي، فمن المرجح وجود الكثير من الاختراقات التي لم يتم الإبلاغ عنها هذا العام.
أصبح هذا النوع من التهديدات أكثر شراسة، وارتفع عدد الهجمات المطالبة بالفدية ارتفاعاً حاداً في مجال الرعاية الصحية بحيث أصبح بإمكانه تعطيل شبكة مستشفى بأكملها وإعاقة الخدمات فيها. وما يزيد الأمر تعقيداً أنّ معظم المستشفيات تعتمد شبكات "أفقية" لا شبكات مجزأة، ما يسهل انتشار الهجوم وانتقاله من شبكات تكنولوجيا المعلومات إلى الشبكات الطبية. وتعتبر بيانات الرعاية الصحية ذات قيمة عالية في السوق السوداء نظراً لإمكانية استغلالها بالعديد من الوسائل المربحة بطرق احتيالية، ما يجعلها هدفاً أكثر جذباً من البيانات المالية والبيانات الشخصية الأخرى.
ويعي صناع القرارات الأمنية في مجال الرعاية الصحية هذه التفاصيل ويخشون دائماً أن تؤدي الهجمة التالية إلى تعطيل الخوادم الأساسية الهامة وأجهزة النقاط النهائية أو سرقة بيانات المرضى الحساسة في مؤسساتهم. ولذلك، يستثمرون في الضوابط التقنية لحماية الشبكات، ولكن مع كل ذلك الاهتمام بهذه المشكلة، غالباً ما يغفلون أمراً لا يقل أهمية عن ذلك، وهو دور العنصر البشري في العملية الأمنية.
تتميز بيئات الرعاية الصحية بالتعرض لضغوط شديدة، ولا يكون التدريب على أمن المعلومات غالباً أهم الأولويات فيها، أي أنه يأتي في ترتيب متدني على قائمة الأولويات بشكل أقل من المطلوب. ووفقاً لاستطلاع الرأي الذي أجراه مركز فورستر للأبحاث (Forrester) في العام 2017 فإنّ 30 في المئة فقط من العاملين في مجال المعلومات على مستوى العالم في مؤسسات تقديم الرعاية الصحية أشاروا إلى أنهم خضعوا للتدريب على كيفية حماية بيانات العمل، و38 في المئة فقط يعرفون السياسات الأمنية في شركاتهم.
وتوجد بالفعل لدى معظم مؤسسات الرعاية الصحية سياسات أمنية مطبقة فيها، ولكن ما ينقصها هو الاهتمام بها. ومن دون وجود الوعي والتدريب الأمني المناسب، يمكن أن يتهاون الموظفون في فتح رسائل البريد الإلكتروني الواردة من الغرباء والنقر على الروابط المشبوهة والمجازفة بأفعال تنطوي على مخاطر غير محسوبة.
ولا يقع اللوم في ذلك على الموظفين، إذ لم يتم تعيينهم بناء على مهاراتهم الأمنية. وباعتبارهم يعملون في القطاع الطبي، فهم يفعلون اللازم لضمان تقديم أفضل مستوى من الرعاية، حتى وإن كان ذلك يعني تجاهل السياسات الأمنية أو تخطيها (4 في المئة من الحالات التي ذكرها التقرير) وبالنسبة لهذا المجال تحديداً، من المرجح عدم إمكانية التوفيق بين السياسات الأمنية التي تؤدي إلى تقليل الإنتاجية من جهة، والمؤسسة والمرضى من جهة أخرى. وبدلاً من ذلك، يجب تشجيع الموظفين على التصرف بشكل آمن كجزء من روتين عملهم اليومي، تماماً كما يقوم الجراح بتطهير يديه قبل كل جراحة من دون أن يخبره أحد بذلك. إذ ينبغي ترسيخ الوعي الأمني المناسب ضمن ثقافة العمل لدى الموظفين.
صياغة استراتيجية لتغيير السلوك
إذا كان أول إجراء يخطر في بالك بخصوص الحملات الأمنية هو استخدام ملصقات تحمل تعليمات افعل ولا تفعل، فعليك تغيير ذلك! فليس عليك التفكير في إقامة "حملة توعية"، بل بناء برنامج سلوكي مستمر. وللبدء في ذلك، عليك طرح الأسئلة التالية:
ما المشكلات التي نسعى إلى حلها؟ قم بإجراء تقييم مخاطر عالي المستوى لتحديد المشكلات الأساسية التي تواجه مؤسستك، وقيّم كيفية إسهام سلوك الموظفين في تفاقم تلك المخاطر أو الحد منها. يتوجب عليك أن تأخذ بعين الاعتبار المخاطر مثل انقطاعات النظام وأعطال الأجهزة وحالات سرقة البيانات وحالات التلاعب بالبيانات.
ما السلوكيات التي نسعى إلى ترسيخها؟ سجل كيفية تأثير تفاعل الموظفين أو عدم تفاعلهم على المخاطر الموضحة سابقاً، ثم ضع قائمة بالسلوكيات التي ترغب في ترسيخها والتوجيهات المرتبطة بها لتسهيل تأقلم الموظفين معها قدر الإمكان. على سبيل المثال، هل من السهل على الموظفين التواصل مع فريق الأمن حول بريد إلكتروني مشكوك فيه؟ وهل توجد أداة آمنة وبسيطة لإرسال المعلومات الحساسة للمرضى؟
من نستهدف من الموظفين؟ بينما يعتبر من الضروري في بعض الحالات استهداف الجميع، إلا أنّ بعض الرسائل تفقد أهميتها ما لم يتم توجيهها إلى مجموعة بعينها. على سبيل المثال، يُعتبر من غير المجدي توجيه جميع الموظفين إلى التركيز أثناء تعبئة أوراق المرضى إذا كانت هذه المهمة مقتصرة على نسبة بسيطة فقط منهم. وإذا تلقى الموظفون الكثير من الرسائل الخاصة بالمسائل الأمنية غير المتعلقة بهم، فسوف يبدؤون في تجاهل كافة الرسائل الأمنية.
ما هو الأسلوب الأمثل مع الموظفين؟ لا توجد مؤسسة مثل أخرى، ولا تتشابه الثقافات والسياقات التي يعتمد عليها عمل كل منها. لذلك، عليك استغلال قنوات التواصل والاتجاه الثقافي في مؤسستك. هل تفضل مؤسستك الإعلان عن الاجتماعات بشكل أسبوعي، أم إعداد نشرات تقدم أمثلة لدراسات الحالات، أم تقديم جوائز ربع سنوية لمكافأة السلوكيات النموذجية، أم تقديم حوافز مالية؟ يتوجب عليك الاستعانة بكل ذلك في استراتيجية تغيير السلوك التي ستضعها.
إعداد محتوى مثير للاهتمام
من أكثر الأخطاء شيوعاً في البرامج الأمنية لتغيير السلوك هي وضع محتوى ممل. ولضمان عدم تجاهل الموظفين لك عندما تكون في أشد الحاجة إلى اهتمامهم، عليك القيام بما يلي:
اجعل رسالتك شخصية. ساعد الموظفين على فهم أهمية الجانب الأمني بالنسبة لهم ولأسرهم، وسوف يعترفون بدورهم في حماية بيانات الشركة. على سبيل المثال، اشرح لهم كيف يستخدم مجرمو الإنترنت التصيّد الاحتيالي ووسائل الهجوم الإلكتروني الجديدة من خلال وسائل التواصل الاجتماعي لسرقة البيانات الشخصية. واشرح لهم كذلك حيل الهندسة الاجتماعية الشائعة المستخدمة لسرقة بيانات تسجيل الدخول (مثل انتحال شخصية زميل يحتاج المساعدة).
عزز رسالتك في اللحظات المناسبة للتعلم. تسعى المؤسسات الأكثر تقدماً باستمرار إلى الاستناد على الجهود التعليمية الأولية من خلال تحديد اللحظات المناسبة للتعلم. إذ يعتبر نشر "الجرائم الوشيكة" أو الهجمات التي تعرضت لها المؤسسات النظيرة من الوسائل السريعة المؤثرة، وتصطنع بعض الشركات كذلك لحظات للتعلم من خلال اختبار موظفيها، مثلاً من خلال استخدام اختبارات التصيّد الاحتيالي. وتضع أكثر المؤسسات تقدماً مجموعة رسائل تذكر بسياساتها في الأماكن التي يُرجح وقوع أخطاء فيها، مثلاً: وضع ملصق بجانب المصعد يذكر الموظفين بأنّ عليهم تسجيل الخروج من أجهزتهم قبل مغادرة الشركة أو استخدام تنبيهات منبثقة عندما يحاول أحدهم تصفح مواقع مشبوهة.
جرب أساليب التعليم من خلال المنافسة. إذا كان ذلك مناسباً لثقافة شركتك، فعليك أن تفكر في تشجيع المنافسة الودية بين الموظفين ووضع تصورات للمنافسة في ما بينهم أو المنافسة لتحقيق أفضل نتيجة فردية. ويمكن أن يتضمن ذلك منح الجوائز للفريق الذي تمكّن من وضع أقوى "كلمة سر" كل ثلاثة أشهر أو حقق عدداً أقل من تنبيهات فقدان البيانات أو حصل على أعلى الدرجات في نتائج الاستقصاءات الخاصة بالتدريب.
ينبغي، أولاً وقبل كل شيء، أن يكون الهدف من البرنامج السلوكي الأمني هو أن يلائم زملاءك ويحدد طريقة يمكن من خلالها دمج العملية الأمنية ضمن مسؤولياتهم اليومية، وعليك أن تربط الأهداف الأمنية بأهدافهم. ويتعيّن على مؤسسات تقديم الرعاية الصحية التركيز باستمرار على رعاية المرضى والخدمات التي تقدمها لهم والحرص على رضاهم، ولا يمكن تحقيق أي من ذلك بالمستوى المطلوب من دون الاهتمام بالسلوك الأمني الجيد في المؤسسة.
أصبح هذا النوع من التهديدات أكثر شراسة، وارتفع عدد الهجمات المطالبة بالفدية ارتفاعاً حاداً في مجال الرعاية الصحية بحيث أصبح بإمكانه تعطيل شبكة مستشفى بأكملها وإعاقة الخدمات فيها. وما يزيد الأمر تعقيداً أنّ معظم المستشفيات تعتمد شبكات "أفقية" لا شبكات مجزأة، ما يسهل انتشار الهجوم وانتقاله من شبكات تكنولوجيا المعلومات إلى الشبكات الطبية. وتعتبر بيانات الرعاية الصحية ذات قيمة عالية في السوق السوداء نظراً لإمكانية استغلالها بالعديد من الوسائل المربحة بطرق احتيالية، ما يجعلها هدفاً أكثر جذباً من البيانات المالية والبيانات الشخصية الأخرى.
ويعي صناع القرارات الأمنية في مجال الرعاية الصحية هذه التفاصيل ويخشون دائماً أن تؤدي الهجمة التالية إلى تعطيل الخوادم الأساسية الهامة وأجهزة النقاط النهائية أو سرقة بيانات المرضى الحساسة في مؤسساتهم. ولذلك، يستثمرون في الضوابط التقنية لحماية الشبكات، ولكن مع كل ذلك الاهتمام بهذه المشكلة، غالباً ما يغفلون أمراً لا يقل أهمية عن ذلك، وهو دور العنصر البشري في العملية الأمنية.
تتميز بيئات الرعاية الصحية بالتعرض لضغوط شديدة، ولا يكون التدريب على أمن المعلومات غالباً أهم الأولويات فيها، أي أنه يأتي في ترتيب متدني على قائمة الأولويات بشكل أقل من المطلوب. ووفقاً لاستطلاع الرأي الذي أجراه مركز فورستر للأبحاث (Forrester) في العام 2017 فإنّ 30 في المئة فقط من العاملين في مجال المعلومات على مستوى العالم في مؤسسات تقديم الرعاية الصحية أشاروا إلى أنهم خضعوا للتدريب على كيفية حماية بيانات العمل، و38 في المئة فقط يعرفون السياسات الأمنية في شركاتهم.
وتوجد بالفعل لدى معظم مؤسسات الرعاية الصحية سياسات أمنية مطبقة فيها، ولكن ما ينقصها هو الاهتمام بها. ومن دون وجود الوعي والتدريب الأمني المناسب، يمكن أن يتهاون الموظفون في فتح رسائل البريد الإلكتروني الواردة من الغرباء والنقر على الروابط المشبوهة والمجازفة بأفعال تنطوي على مخاطر غير محسوبة.
ولا يقع اللوم في ذلك على الموظفين، إذ لم يتم تعيينهم بناء على مهاراتهم الأمنية. وباعتبارهم يعملون في القطاع الطبي، فهم يفعلون اللازم لضمان تقديم أفضل مستوى من الرعاية، حتى وإن كان ذلك يعني تجاهل السياسات الأمنية أو تخطيها (4 في المئة من الحالات التي ذكرها التقرير) وبالنسبة لهذا المجال تحديداً، من المرجح عدم إمكانية التوفيق بين السياسات الأمنية التي تؤدي إلى تقليل الإنتاجية من جهة، والمؤسسة والمرضى من جهة أخرى. وبدلاً من ذلك، يجب تشجيع الموظفين على التصرف بشكل آمن كجزء من روتين عملهم اليومي، تماماً كما يقوم الجراح بتطهير يديه قبل كل جراحة من دون أن يخبره أحد بذلك. إذ ينبغي ترسيخ الوعي الأمني المناسب ضمن ثقافة العمل لدى الموظفين.
صياغة استراتيجية لتغيير السلوك
إذا كان أول إجراء يخطر في بالك بخصوص الحملات الأمنية هو استخدام ملصقات تحمل تعليمات افعل ولا تفعل، فعليك تغيير ذلك! فليس عليك التفكير في إقامة "حملة توعية"، بل بناء برنامج سلوكي مستمر. وللبدء في ذلك، عليك طرح الأسئلة التالية:
ما المشكلات التي نسعى إلى حلها؟ قم بإجراء تقييم مخاطر عالي المستوى لتحديد المشكلات الأساسية التي تواجه مؤسستك، وقيّم كيفية إسهام سلوك الموظفين في تفاقم تلك المخاطر أو الحد منها. يتوجب عليك أن تأخذ بعين الاعتبار المخاطر مثل انقطاعات النظام وأعطال الأجهزة وحالات سرقة البيانات وحالات التلاعب بالبيانات.
ما السلوكيات التي نسعى إلى ترسيخها؟ سجل كيفية تأثير تفاعل الموظفين أو عدم تفاعلهم على المخاطر الموضحة سابقاً، ثم ضع قائمة بالسلوكيات التي ترغب في ترسيخها والتوجيهات المرتبطة بها لتسهيل تأقلم الموظفين معها قدر الإمكان. على سبيل المثال، هل من السهل على الموظفين التواصل مع فريق الأمن حول بريد إلكتروني مشكوك فيه؟ وهل توجد أداة آمنة وبسيطة لإرسال المعلومات الحساسة للمرضى؟
من نستهدف من الموظفين؟ بينما يعتبر من الضروري في بعض الحالات استهداف الجميع، إلا أنّ بعض الرسائل تفقد أهميتها ما لم يتم توجيهها إلى مجموعة بعينها. على سبيل المثال، يُعتبر من غير المجدي توجيه جميع الموظفين إلى التركيز أثناء تعبئة أوراق المرضى إذا كانت هذه المهمة مقتصرة على نسبة بسيطة فقط منهم. وإذا تلقى الموظفون الكثير من الرسائل الخاصة بالمسائل الأمنية غير المتعلقة بهم، فسوف يبدؤون في تجاهل كافة الرسائل الأمنية.
ما هو الأسلوب الأمثل مع الموظفين؟ لا توجد مؤسسة مثل أخرى، ولا تتشابه الثقافات والسياقات التي يعتمد عليها عمل كل منها. لذلك، عليك استغلال قنوات التواصل والاتجاه الثقافي في مؤسستك. هل تفضل مؤسستك الإعلان عن الاجتماعات بشكل أسبوعي، أم إعداد نشرات تقدم أمثلة لدراسات الحالات، أم تقديم جوائز ربع سنوية لمكافأة السلوكيات النموذجية، أم تقديم حوافز مالية؟ يتوجب عليك الاستعانة بكل ذلك في استراتيجية تغيير السلوك التي ستضعها.
إعداد محتوى مثير للاهتمام
من أكثر الأخطاء شيوعاً في البرامج الأمنية لتغيير السلوك هي وضع محتوى ممل. ولضمان عدم تجاهل الموظفين لك عندما تكون في أشد الحاجة إلى اهتمامهم، عليك القيام بما يلي:
اجعل رسالتك شخصية. ساعد الموظفين على فهم أهمية الجانب الأمني بالنسبة لهم ولأسرهم، وسوف يعترفون بدورهم في حماية بيانات الشركة. على سبيل المثال، اشرح لهم كيف يستخدم مجرمو الإنترنت التصيّد الاحتيالي ووسائل الهجوم الإلكتروني الجديدة من خلال وسائل التواصل الاجتماعي لسرقة البيانات الشخصية. واشرح لهم كذلك حيل الهندسة الاجتماعية الشائعة المستخدمة لسرقة بيانات تسجيل الدخول (مثل انتحال شخصية زميل يحتاج المساعدة).
عزز رسالتك في اللحظات المناسبة للتعلم. تسعى المؤسسات الأكثر تقدماً باستمرار إلى الاستناد على الجهود التعليمية الأولية من خلال تحديد اللحظات المناسبة للتعلم. إذ يعتبر نشر "الجرائم الوشيكة" أو الهجمات التي تعرضت لها المؤسسات النظيرة من الوسائل السريعة المؤثرة، وتصطنع بعض الشركات كذلك لحظات للتعلم من خلال اختبار موظفيها، مثلاً من خلال استخدام اختبارات التصيّد الاحتيالي. وتضع أكثر المؤسسات تقدماً مجموعة رسائل تذكر بسياساتها في الأماكن التي يُرجح وقوع أخطاء فيها، مثلاً: وضع ملصق بجانب المصعد يذكر الموظفين بأنّ عليهم تسجيل الخروج من أجهزتهم قبل مغادرة الشركة أو استخدام تنبيهات منبثقة عندما يحاول أحدهم تصفح مواقع مشبوهة.
جرب أساليب التعليم من خلال المنافسة. إذا كان ذلك مناسباً لثقافة شركتك، فعليك أن تفكر في تشجيع المنافسة الودية بين الموظفين ووضع تصورات للمنافسة في ما بينهم أو المنافسة لتحقيق أفضل نتيجة فردية. ويمكن أن يتضمن ذلك منح الجوائز للفريق الذي تمكّن من وضع أقوى "كلمة سر" كل ثلاثة أشهر أو حقق عدداً أقل من تنبيهات فقدان البيانات أو حصل على أعلى الدرجات في نتائج الاستقصاءات الخاصة بالتدريب.
ينبغي، أولاً وقبل كل شيء، أن يكون الهدف من البرنامج السلوكي الأمني هو أن يلائم زملاءك ويحدد طريقة يمكن من خلالها دمج العملية الأمنية ضمن مسؤولياتهم اليومية، وعليك أن تربط الأهداف الأمنية بأهدافهم. ويتعيّن على مؤسسات تقديم الرعاية الصحية التركيز باستمرار على رعاية المرضى والخدمات التي تقدمها لهم والحرص على رضاهم، ولا يمكن تحقيق أي من ذلك بالمستوى المطلوب من دون الاهتمام بالسلوك الأمني الجيد في المؤسسة.
شاركنا رأيك وتجربتك
كن أول من يعلق!
يجب أن تقوم بـ تسجيل الدخول من أجل التعليق على هذا المقال.
يجب أن تقوم بـ تسجيل الدخول من أجل التعليق على هذا المقال.