الأمن الإلكتروني في قطاع الرعاية الصحية – ثلاثة توجهات يجب التنبّه إليها في عام 2024
Thursday 4 April 2024 11:11 - الخميس ٢٦ رمضان ١٤٤٥
بقلم : حيدر باشا
رئيس أمن المعلومات لمنطقة أوروبا والشرق الأوسط وأفريقيا وأمريكا اللاتينية لدى بالو ألتو نتوركس
شهدت مؤسسات الرعاية الصحية ارتفاعاً حاداً في الهجمات الإلكترونية التي تعرضت لها خلال الأعوام القليلة الماضية. وتشير أرقام مكتب الحقوق المدنية (OCR) في وزارة الصحة والخدمات الإنسانية الأمريكية (HHS) إلى أن الخروقات واسعة النطاق قد ازدادت بنسبة 93% خلال الفترة ما بين عامي 2018 و2022، كما أن الخروقات واسعة النطاق المرتبطة بالبرمجيات الخبيثة قد زادت بنسبة 278%. وكان قطاع الرعاية الصحية بصورة خاصة من الأهداف الرئيسية للهجمات، إذ تعتبر معلومات المرضى هدفاً أساسياً لمحاولات السرقة والابتزاز خاصة وأن العديد من أنظمة الرعاية الصحية لا تزال تستخدم تقنيات قديمة.
ويشهد قطاع الرعاية الصحية في الوقت الحالي تحديثات متسارعة، ويمكن للتقنيات الجديدة في القطاع أن تحسن النتائج في حين يمكن لنماذج الرعاية الجديدة أن تجعل تجربة الحصول على الرعاية الصحية أكثر سهولة ورضا بالنسبة للمرضى. إلا أن هذا الأمر ينطوي على مستوى جديد من المخاطر التي يجب معالجتها يتمثل في تزايد الأسطح المعرضة للهجمات الإلكترونية في قطاع الرعاية الصحية.
ويعتبر فهم المحركات الأكبر للرعاية الصحية عنصراً أساسياً في ضمان أمن التحول الرقمي وتوفير الرعاية الصحية النوعية التي يستحقها المرضى. ونسلط الضوء في ما يلي على عدد من التوجهات التي تمت الإشارة إليها في الدليل.
1. تزايد الرعاية الصحية المقدمة عن بعد
تسهم الرعاية الصحية ومراقبة المرضى عن بعد في إحداث ثورة في تجربة تقديم الرعاية الصحية، إذ يحصل المرضى على وصول أفضل إلى الرعاية وخاصة أولئك الذين يعانون من إعاقات أو الذين يعيشون في مجتمعات غير مخدّمة بشكل كافٍ. وبحسب مراكز السيطرة على الأمراض والوقاية منها (CDC) فإن 37% من الأمريكيين استخدموا الرعاية الصحية عن بعد لبعض الخدمات على الأقل خلال عام 2021.
وعلى الرغم من أن الابتكارات مثل الرعاية الصحية عن بعد تحسن الرعاية الصحية المتمحورة حول المريض، إلا أنها تنطوي كذلك على تحديات أمن إلكتروني جديدة. فالرعاية الصحية عن بعد تتطلب الوصول إلى السجلات الطبية الإلكترونية (EMR) والمعلومات الصحية المحمية (PHI) وزيارات افتراضية، وأجهزة مراقبة المرضى عن بعد (RPM) والتي يتم تقديمها عن طريق قنوات متعددة تشمل: مراكز البيانات، ومزودي الخدمات السحابية، ومزودي البرمجيات المقدمة كخدمة. ولذلك، يتوجب على فرق الأمن الإلكتروني كذلك إدارة البنى التحتية لتكنولوجيا المعلومات وقنوات الاتصالات بين المستشفيات والمرضى. وفي نهاية المطاف، فإن هذا التحول قد يؤدي إلى تقديم رعاية صحية غير مركزية وتوسيع الأسطح المعرضة للهجمات الإلكترونية ما يجعل ضمان أمن كامل الشبكة أمراً أكثر صعوبة.
2. انتشار الأجهزة المتصلة
تشكل الأجهزة الطبية وغير الطبية المتصلة الآن جزءاً كبيراً من شبكة المستشفيات وتشمل أجهزة التصوير بالرنين المغناطيسي، ومضخات العلاج عبر الحقن، وأجهزة مراقبة ضغط الدم، والكمبيوترات المحمولة، وكاميرات المراقبة، وحتى أنظمة التدفئة والتهوية وتكييف الهواء وغيرها من الأجهزة. وتتطلب الحماية من تهديدات البيانات والمخاطر المتعلقة بسلامة المرضى تأمين هذه الأجهزة المتصلة بشكل متكامل.
ويمكن أن يشكل الاطلاع الكامل على جميع الجوانب مع وجود هذا التنوع الكبير في الأجهزة تحدياً كبيراً، وخاصة بالنسبة لمزودي الرعاية الصحية الذين يتبنون نماذج الرعاية الصحية الموزعة. وغالباً ما تكون الأجهزة متصلة بأنظمة تكنولوجيا معلومات طبية معقدة وذلك أثناء وجودها في المراكز الطبية والعيادات البعيدة ومنازل المرضى، ما يؤدي إلى توسيع نطاق نقاط النهاية وجعل كل جهاز هدفاً محتملاً للجهات التخريبية. وما يزيد من تعقيد هذه المشكلة هو أن العديد من أجهزة إنترنت الأشياء (IoT) وإنترنت الأشياء الطبية (IoMT) هي ضرورية لعمليات مزودي الخدمة كما أنها غير آمنة إلى حد كبير.
3. التعقيد المتزايد لأنظمة تكنولوجيا المعلومات الطبية
يتم حالياً استضافة التطبيقات والخدمات في مراكز البيانات وعلى السحابة، أو يتم توفيرها من قبل مزودي البرمجيات المقدمة كخدمة، فيما يقدم الأطباء الرعاية الصحية من أي مكان باستخدام مجموعة من الأجهزة الطبية المتصلة التي يعمل الكثير منها بأنظمة تشغيل قديمة والتي غالباً لا يمكن تصحيحها أو ضمان أمنها بشكل فعال. وغالباً ما توكل إلى فرق الأمن الإلكتروني مهمة إدارة أنظمة تكنولوجيا المعلومات ذات مستويات تعقيد متزايدة وتتطلب مصادر تقنية كبيرة.
وغالباً ما تحاول مؤسسات الرعاية الصحية ضمان أمن هذه البيئات الرقمية من خلال حلول منتجات تؤدي كل منها وظيفة أمن إلكتروني واحدة، وعادة ما تفتقر هذه المنتجات إلى التكامل والتماسك ما يزيد من تعقيدات هذا التحدي.
ضمان أمن التحول الرقمي في قطاع الرعاية الصحية
لا يمكن للأمن الإلكتروني في قطاع الرعاية الصحية العمل انطلاقاً من عدد من المنتجات المنفصلة، ويتطلب تقديم الرعاية الصحية المستمرة نهجاً موحداً ومصمماً لتحديد التهديدات المعروفة وغير المعروفة ومنعها بشكل آني. ويتبادر لنا هنا السؤال التالي الذي مفاده: كيف يمكن تحقيق ذلك مع حماية البيئة الخاصة بكم في مشهد التهديدات الإلكتروني دائم التطور؟ ويكمن الجواب بالبدء بإعطاء الأولوية لثلاثة مجالات تركيز أساسية هي: