[ad_1]
إن زيادة الهجمات السيبرانية على قطاع الرعاية الصحية تعرض سلامة المرضى للخطر، وتدفع بعض الحكومات إلى نشر معايير جديدة للأمن السيبراني.
أظهرت خروقات الأمن السيبراني العالمية التي تم الكشف عنها علنًا بين يناير وسبتمبر من العام الماضي أن قطاع الرعاية الصحية تعرض لهجمات أكثر (241) من أي قطاع آخر، متقدمًا على الحكومة (147)، وتكنولوجيا المعلومات بما في ذلك البرمجيات والأجهزة وخدمات تكنولوجيا المعلومات (91)، وفقًا للبحث بواسطة Omdia، مزود أبحاث التكنولوجيا.
كان النوع الأكثر شيوعًا من الاختراقات السيبرانية في مجال الرعاية الصحية هو القرصنة، تليها هجمات سلسلة التوريد، و”التصيد الاحتيالي” (حيث يتظاهر مجرمو الإنترنت كمنظمات شرعية لخداع الأشخاص للكشف عن كلمات المرور وتفاصيل الدفع)، و”برامج الفدية”، حيث يستخدم المتسللون برامج ضارة برنامج – “برامج ضارة” – لتشفير البيانات حتى يدفع الضحية فدية لفتحها.
“يعد قطاع الرعاية الصحية هدفًا مغريًا (لمجرمي الأمن السيبراني) لأن . . . يقول جيمس لويس، خبير الأمن السيبراني في مركز الدراسات الاستراتيجية والدولية، وهو مركز أبحاث أمريكي: “يمكن أن تعرض حياة الناس للخطر”.
تعرضت الخدمة الصحية الوطنية في المملكة المتحدة لهجمات كبيرة من برامج الفدية. في عام 2017، تشير التقديرات إلى أن هجوم “WannaCry” كلف هيئة الخدمات الصحية الوطنية 92 مليون جنيه إسترليني وتسبب في إلغاء 19000 موعد للمرضى. وأدى اختراق آخر، في عام 2022، إلى تعطيل خدمة 111 غير الطارئة، وتعطيل أنظمة إدارة خدمات الصحة العقلية والوصفات الطبية الطارئة.
مُستَحسَن
كما أدت الهجمات السيبرانية على المستشفيات في ألمانيا والولايات المتحدة إلى تعطيل أنظمتها – مما أجبرها على إعادة جدولة بعض الإجراءات وتحويل المرضى مؤقتا إلى مرافق أخرى حتى يتم إعادة الأنظمة إلى العمل.
وفي حالة أخرى، في فنلندا، تم اختراق السجلات السرية لآلاف من مرضى العلاج النفسي وتسريبها عبر الإنترنت – مع ابتزاز آخرين للحفاظ على خصوصية البيانات، وفقا لتقارير في وسائل الإعلام الوطنية.
“تقريبًا كل مدير تنفيذي للمستشفى أتحدث إليه. . . يقول جون ريجي، المستشار الوطني للأمن السيبراني والمخاطر في جمعية المستشفيات الأمريكية (AHA)، التي تمثل المستشفيات وشبكات الرعاية الصحية: “الآن (يقول) أن المخاطر السيبرانية هي قضية المخاطر المؤسسية الأولى أو الثانية”. “إنها واحدة من القضايا الرئيسية التي تجعلهم مستيقظين في الليل.”
التكنولوجيا تجعل ارتكاب الجرائم السيبرانية أسهل. تتوفر الأدوات والخدمات على شبكة الإنترنت المظلمة، لذا لا يحتاج مجرمو الإنترنت بالضرورة إلى مهارات تقنية معقدة.
حتى عندما تصبح مؤسسات الرعاية الصحية أفضل في حماية نفسها من نوع واحد من الهجمات، مثل برامج الفدية – من خلال استعادة البيانات المقفلة من النسخ الاحتياطية، على سبيل المثال – يقوم مجرمو الإنترنت بتغيير تكتيكاتهم.
تقريبًا كل مدير تنفيذي للمستشفى أتحدث إليه. . . الآن (يقول) أن المخاطر السيبرانية هي قضية المخاطر المؤسسية الأولى أو الثانية
أفاد متخصصون في الصناعة أن بعض المجرمين يقومون الآن بسرقة بيانات طبية حساسة للغاية بدلاً من تشفيرها ويهددون بنشرها على الويب المظلم، ما لم يدفع مقدم الرعاية الصحية أو المريض فدية باستخدام عملة مشفرة.
يقول إيليا زايتسيف، كبير مسؤولي التكنولوجيا في شركة CrowdStrike للأمن السيبراني: “أصبح مشغلو برامج الفدية أكثر ذكاءً”. “من نواحٍ عديدة، يكون نموذج الابتزاز في الواقع أبسط بالنسبة لهم من منظور تقني.”
تعمل أنظمة تكنولوجيا المعلومات القديمة للرعاية الصحية أيضًا على تسهيل العملية على المجرمين.
في العديد من مؤسسات هيئة الخدمات الصحية الوطنية، يمكن للأنظمة القديمة أن تمثل ما بين 30 إلى 50 في المائة من جميع خدمات تكنولوجيا المعلومات، كما يقول جوش تشاندلر، كبير مسؤولي المعلومات الرقمية في مؤسسة مستشفيات بيدفوردشير التابعة لهيئة الخدمات الصحية الوطنية في شرق إنجلترا.
ويضيف أن بعض هذه الأنظمة القديمة ربما تم تصميمها منذ أكثر من 20 عامًا، وربما لم يتم ترقيتها منذ أكثر من 10 سنوات. “(أنظمة تكنولوجيا المعلومات) لم تواكب التطورات التكنولوجية (بينما زادت التهديدات الأمنية من حولها.”)
يقول الخبراء إن عمليات التدقيق السنوية للأمن السيبراني للمؤسسة ونهج “الثقة المعدومة” (بافتراض أن أي مستخدم أو جهاز قد يشكل خطراً حتى يثبت خلاف ذلك) يمكن أن تخفف من التهديدات التي تتعرض لها أنظمة تكنولوجيا المعلومات القديمة والجديدة للرعاية الصحية.
وكذلك الحال بالنسبة لبرامج مكافحة الفيروسات المستخدمة على نطاق واسع، والتي تحمي أجهزة الكمبيوتر وأجهزة الكمبيوتر المحمولة من البرامج الضارة وبرامج الفدية وغيرها من تهديدات أمن المعلومات، بالإضافة إلى برامج “كشف التسلل”، التي تكتشف الأنشطة المشبوهة المحتملة في شبكات الكمبيوتر بالمستشفيات – على سبيل المثال، محاولات سرقة كلمات المرور الخاصة بالأطباء. أو الموافقة على فواتير وهمية.
بالإضافة إلى ذلك، يمكن لنوع جديد من برامج الأمن السيبراني – “الكشف والاستجابة الموسعة” أو “XDR” – أن يمنح المؤسسات نظرة عامة على التهديدات الأمنية المتعددة. فهو يجمع البيانات من تطبيقات تكنولوجيا المعلومات والشبكات والأجهزة وحركة البريد الإلكتروني، ويستخدم أحيانًا الذكاء الاصطناعي لمراقبة التهديدات في الوقت الفعلي.
هناك أيضًا برامج أمنية متخصصة لحماية أجهزة المستشفى: الأجهزة الطبية، بما في ذلك أجهزة مراقبة القلب، وأجهزة دعم الحياة، ومضخات التسريب. وسوف تلعب دورًا أكثر حيوية مع ارتفاع عدد الأجهزة الطبية المتصلة بالإنترنت من 503 ملايين في عام 2021 إلى 760 مليونًا بحلول عام 2026، بناءً على توقعات شركة الأبحاث IDC.
“إذا كنت تفكر في سرير المستشفى. . . يقول كاتيل ثيلمان، خبير الأمن السيبراني في شركة جارتنر للأبحاث: “إنه في الأساس جهاز كمبيوتر يعمل كسرير”. “لفترة طويلة. . . في ذلك الوقت، كانت سلامة المرضى جزءًا لا يتجزأ من دورة حياة تصنيع الأجهزة الطبية، ولكن الأمن (الإلكتروني) كان بمثابة فكرة لاحقة تقريبًا.
على الرغم من أنه لا يُعتقد أن الأجهزة الطبية يتم اختراقها بشكل شائع، إلا أن مكتب محاسبة الحكومة الأمريكية، وهو هيئة مراقبة الإنفاق، حذر العام الماضي من أن الثغرات الأمنية داخل الأجهزة تشكل خطراً على شبكات المستشفيات والمرضى.
مُستَحسَن
ويبدو أن السياسيين ينتبهون لذلك. في العام الماضي، أعلنت حكومتا الولايات المتحدة والمملكة المتحدة عن استراتيجيات لتعزيز الأمن السيبراني في مجال الرعاية الصحية.
تتضمن خطة المملكة المتحدة – التي تنطبق على إنجلترا، ولكنها تؤكد على الحاجة إلى “العمل بشكل تعاوني” مع الإدارات المفوضة في اسكتلندا وويلز وأيرلندا الشمالية – تحديد أجزاء من نظام الرعاية الصحية حيث يمكن أن يسبب الهجوم السيبراني أكبر قدر من الضرر للمرضى، و “دمج الأمن” في التكنولوجيا الناشئة.
تتضمن استراتيجية وزارة الصحة والخدمات الإنسانية الأمريكية الحد الأدنى من المعايير للأمن السيبراني للمستشفيات – مع غرامات أكبر لعدم الامتثال – والتمويل الحكومي لمساعدة القطاع على تحسين الأمن.
وتقول جمعية القلب الأمريكية إنها حريصة على العمل مع حكومة الولايات المتحدة لرفع المعايير، ولكنها تضيف أن موردي البرامج يجب أن يتخذوا الإجراءات اللازمة أيضًا. يقول ريجي: “نحن بحاجة إلى مزودي التكنولوجيا لدينا لتزويدنا بتقنيات أكثر أمانًا”.
ويقول الخبراء إن ذلك – إلى جانب اعتماد المعايير الدولية للأمن السيبراني للرعاية الصحية، ووضع المزيد من مجرمي الإنترنت في السجن – قد يساعد القطاع على التخفيف من العديد من التهديدات. لكنهم يحذرون من أنها ستظل على الأرجح هدفًا رئيسيًا لمجرمي الإنترنت.
يقول ثيلمان من جارتنر: “سوف تتطور التهديدات مع قيام المهاجمين بنشر تكتيكات جديدة، وسوف تتطور (الدفاعات) مع نضوج أدوات الأمن السيبراني”. “إنه . . . لعبة القط والفأر.”
[ad_2]
المصدر