10 بالمئة من المستشفيات المتخصصة بتقديم الرعاية الطبية وقعت ضحية للهجمات الإلكترونية
تم النشر في الأربعاء 2020-03-18
يواصل قطاع الرعاية الصحية اعتماده على الحلول الرقمية بشكل متزايد، بداية من نتائج الفحوص الطبية ومعدات المختبرات وحتى أجهزة المراقبة وسجلات المرضى.
ورغم ذلك، أسفرت قلة المهارات التقنية وانعدام الموارد المالية لتنفيذ الإجراءات الأمنية الصائبة إلى نشوب معركة لا هوادة فيها، تكابد فيها المؤسسات الصحية للحفاظ على موقع متقدم في مواجهة مسرح تهديدات أمنية متحولة بوتيرة متسارعة.
على خلفية ذلك، نرى أن مؤسسات الرعاية الصحية حول العالم تلتزم بتشريعات صارمة تركز في صميمها على خصوصية بيانات المريض. حيث تتاح بموجبها بيانات المرضى فقط لأجل الغرض المطلوب، بالتلازم مع وجوب امتلاك المريض لسيطرة كاملة على كيفية استخدام بياناته وماهية البيانات المحفوظة في ملفه.
وحيث أن لا غبار على سلامة وأهمية تلك التشريعات وتطبيقها، إلا أنها بالكاد تمثل رادعا في مواجهة المجرمين الإلكترونيين وإصرارهم.
وكشفت دراسة حديثة أجرتها كلية الإدارة في جامعة فاندربيلت الأمريكية أن مرافق الرعاية الصحية التي تعاني من اختراق البيانات أو برمجيات طلب الفدية، تستغرق 2.7 دقيقة إضافية حتى تستجيب إلى حالات المرضى الذين يحتمل إصابتهم بنوبات قلبية. وهذا التأخير قد يسفر عن وقوع 36 وفاة إضافية لكل 10,000 من حالات مرضى نوبات القلب الحاصلة كل عام. كما وجدت الدراسة وقوع ما لا يقل عن 10 بالمئة من المستشفيات المتخصصة بتقديم الرعاية الطبية ضحية لواحدة من الهجمات الإلكترونية.
وتشير الدراسات الحديثة إلى أن الخطأ البشري هو الحلقة الأضعف في الأمن الإلكتروني، إذ لا تستطيع طواقم تكنولوجيا المعلومات بمفردها مجاراة ما يحصل، ولذلك يلزم كل موظف وموظفة انتهاج ثقافة الأمن أولاً.
أما هجمات التصيد الاحتيالي فلازالت تتمتع بمكانتها المفضلة عند المجرمين الإلكترونيين بغية الإيقاع بالناس، وفي مقدمتهم قطاع الرعاية الصحية الذي بات قريبا جدا من دائرة الخطر. إذ تشهد هجمات التصيد الاحتيالي التقليدي والموجه تطورات وأصبحت عصية عن الرصد بسهولة، سيما بعد ظهور أن 71% من مواقع التصيد الاحتيالي تتعمد استخدام بروتكول نقل البيانات الآمن حتى تتحلى بصفة شرعية أكبر. بينما كشفت مختبرات «إف 5 نتوركس» أن 85% من مواقع التصيد التي جرى تحليلها، قامت باستخدام شهادات رقمية صادرة عن هيئات موثوقة.
وتبذل جماعات الجريمة الإلكترونية والدول التي تشن الهجمات جهودًا كبيرة لفهم ضحاياها، وتعمل على استغلال تكتيكات الهندسة الاجتماعية، مثل تعمد استهداف الضحايا في ذروة انشغالهم وانهماكهم.
وهذا بالتحديد هو السبب الذي يجعل مؤسسات الرعاية الصحية بحاجة ماسة إلى التأكد من قيام جميع موظفيها بفهم أهمية تأمين البنية الأساسية لتكنولوجيا المعلومات في بيئة العمل.
وتشمل الآليات الأمنية التي ينصح بتطبيقها، استيثاق الدخول بعوامل متعددة، ونشر حلول فلترة محتوى الويب لمنع محاولة المستخدمين من زيارة مواقع التصيد الاحتيالي بشكل غير مقصود. كما أنه من الضرورة بمكان إجراء سبر لحركة مرور البيانات المشفرة بحثًا عن البرمجيات الضارة. كما يساعد في هذا السياق تنظيم جلسات إلزامية للامتثال بالسياسات الأمنية وعلى أساس دوري، تُقدَّم فيها مساقات تدريبية عن أفضل الممارسات المعمول بها، على أن تتضمن أساليب ميسرة تضع بين يدي المستخدمين أدوات للإشارة إلى الهجمات الإلكترونية التي يشتبهون بها. وينبغي على طواقم تقنية المعلومات في سائر قطاع الرعاية الصحية العمل جنبًا إلى جنب وعن قرب لإيجاد إجراءات تضمن تطبيق التصحيحات البرمجية بانتظام وفعالية.
وبهذه المناسبة، قال تبريز سيرف، المدير الإقليمي لشركة «إف 5 نتوركس» لمنطقة الخليج وشرق المتوسط وتركيا: “مع الأسف، لا يزال كثير من مجالس إدارة الشركات يتجاهل أهمية الأمن الإلكتروني. فالواجب أن يتم الإصغاء إلى خبراء الأمن الإلكتروني عند طاولة الإدارة العليا، وذلك ربما بإعلاء أهمية رئيس أمن المعلومات ضمن الشركة، حيث تنظر مجالس الإدارة في كثير من الأحيان إلى الأمن الإلكتروني كأنه بوليصة تأمين تُشترى وتوضع على الرف، عوضًا عن اعتباره عنصر أساس في استراتيجية تكنولوجيا المعلومات والأعمال. ويجب ألا يستمر هذا الحال إن أرادت مؤسسات الرعاية الصحية تقديم الحماية للموظفين والمرضى على نحو كاف ومتواصل”.