صحة

قطاع الرعاية الصحية يتحول إلى هدف رئيس للهجمات الإلكترونية

2015-06-30
5 منذ دقيقة

يحتفظ مجال الرعاية الصحية بكنز ثمين من البيانات حول المرضى وسجلاتهم الطبية والتأمينية، وتاريخهم المرضي، حتى إن قيمتها تفوق المعلومات المالية. ويُحذر خبراء الأمن الإلكتروني من تحول القطاع إلى أكبر أهداف القراصنة وعصابات الإنترنت، ومما يُسهِم في زيادة الخطر، تزايد أعداد الأجهزة الطبية المتصلة بالإنترنت داخل المستشفيات.

وشكّل الهجوم على بيانات شركة «أنثيم» الأميركية للتأمين الصحي، التنبيه الأكبر على الخطر المحيط بالسجلات الطبية، إذ أوصل الهجوم بيانات 37.5 مليون شخص إلى أيدي القراصنة. ومثّل الحادث صدمةً لقطاع الرعاية الصحية، بما يُعادل أهمية اختراق بيانات متاجر «تارغت» العام الماضي، وهي واقعة جعلت من قضية الأمن الإلكتروني واحدة من أهم أولويات قطاع تجارة التجزئة، كما تضمن تقرير لصحيفة «فاينانشال تايمز» البريطانية.

 

قيمة مالية

ومنذ الكشف عن اختراق «أنثيم» في فبراير 2015، أعلنت شركتا «بريميرا بلو كروس» و«كير فيرست» للتأمين الصحي عن تحقيقهما في تعرضهما لاختراقات كبيرة للبيانات. ويُبرر خبراء الأمن الإلكتروني استهداف القراصنة لبيانات قطاع الرعاية الصحية، التي تتضمن أرقام الضمان الاجتماعي، ومعلومات الدفع والتاريخ الطبي للأشخاص الذين لا يُمكن تغييره، بارتفاع قيمتها في السوق السوداء، بما يتجاوز المعلومات المالية.

وقالت مديرة الأمن الإلكتروني في شركة «كيه بي إم جي» للمراجعات والاستشارات، كارولين ريفيت، إن بمقدور السجلات الطبية تقديم القصة الكاملة لحياة الأشخاص، مثل المكان الذي يعيشون فيه، وحالتهم، وأعمارهم، ومختلف أوضاعهم الصحية، والأمراض التي يُعالجون منها، كما يُمكن استغلالها لتزييف الهويات على الإنترنت.

بدوره، قال المُدير الإداري في شركة «ستورز فريدبرج» التي تُقدم استشارات للشركات حول استراتيجية الأمن الإلكتروني، جيه بي رامبود، إن سعر البيانات الصحية المسروقة قد يصل إلى خمسة أضعاف سعر أرقام البطاقات الائتمانية، مشيراً إلى تأثير اختراق بيانات شركة «أنثيم» في إيضاح قيمة معلومات الرعاية الصحية. وأضاف أنه في حال تعرضت بطاقته الائتمانية للسرقة مثلاً، فستقع عليه تبعة مالية محدودة، وقد تُكلفه 15 دولاراً لاستخراج بطاقة جديدة، وهو ما يختلف تماماً في حال تعرض سجلات الرعاية الصحية الخاصة به لأمرٍ مُماثل.

واعتبر «رامبود» أن الأمر الأكثر إثارة للقلق هو إمكانية استخدام بيانات الرعاية الصحية لسرقة هويات الأطفال الذين يتميزون بخلو سجلاتهم الائتمانية، وتقل احتمالات اكتشافهم للاحتيال، وكذلك استغلال هذه البيانات لابتزاز المشاهير أو الساسة الذين قد يُخفون إصابتهم بأمراضٍ مُعينة.

ولفت إلى ما تشتمل عليه البرمجيات الخبيثة المُستخدمة في مثل هذه الحوادث من تعليمات مُحددة ومُفصلة، وفي حين تضمنت حادثة شركة «أنثيم» الاستيلاء على الكثير من المعلومات دفعة واحدة، فإنه يُمكن تطوير برمجيات خبيثة لتُركز على مصطلحات مُعينة يُحددها القراصنة، وفي بعض الأحيان تستهدف أسماءً بعينها.

 

خطر قريب

وبدأت مُنظمات الرعاية الصحية سواءً كانت من المستشفيات أو شركات التأمين أو الأنظمة الحكومية مثل «هيئة الخدمات الصحية الوطنية» في المملكة المتحدة بالانتباه حديثاً إلى الخطر المحدق بها.

وأجرت شركة «فورمتريك» للأمن الإلكتروني دراسة شملت استطلاع آراء مسؤولين عن تكنولوجيا المعلومات في مُؤسسات للرعاية الصحية في كلٍ من الولايات المتحدة، وألمانيا، والمملكة المتحدة، اليابان، ودول جنوب شرق آسيا، وخلصت إلى أن نحو نصف هذه المؤسسات تعتبر نفسها عُرضة للخطر، في وقت أخفقت نسبة 48% في اجتياز فحص، أو تعرضت لاختراق بياناتها خلال العام الماضي.

ويرى الرئيس التنفيذي لشركة «فورمتريك»، آلان كيسلر، أن قطاع الرعاية الصحية قد يكون أكثر اهتماماً بالتوافق مع مُتطلبات الجهات التنظيمية، عوضاً عن اهتمامه بتقييم الحجم الحقيقي للتهديد الذي يُواجهه. وأضاف أنه في حين يعمل المنظمون والمدققون بمعدلٍ سنوي، فإن الخصوم في الجانب المُظلم من الإنترنت، يعملون على مدار الساعة والدقيقة.

وتُعد حماية معلومات المرضى، التي يُمكن من خلالها الكشف عن شخصياتهم، مهمة واحدة فقط للمسؤولين عن أنظمة الرعاية الصحية في مواجهة الجرائم الإلكترونية، وتتضمن المهام الأخرى تأمين الشبكات، لاسيما مع تزايد عدد الأجهزة الطبية المُتصلة بالإنترنت في المستشفيات والعيادات، وتُمثل جميعها منافذ مُحتملة للدخول إلى الشبكات التي تحتاج إلى قدر أكبر من التأمين.

تشفير «واي فاي»

ويتنامى اهتمام شركات الأدوية بما يُطلق عليه «التهديدات المُستمرة المُتقدمة»، التي يعمد فيها قراصنة بدعم من حكومات وشركات إلى سرقة أسرار تجارية من شركات أجنبية، ما يُثير مخاوف بشأن مساعٍ للتجسس الصناعي تقودها جهات تسعى لجمع معلومات تتعلق بتطوير الأدوية.

وقال مُدير حلول الرعاية الصحية في شركة «إكستريم نتووركس»، بوب زيميك، إن الشركات المُصنعة للأجهزة الطبية أدركت على مدار الأعوام الثلاثة الماضية، أهمية تأمين الاتصالات اللاسلكية بالإنترنت (واي فاي) والبيانات. ويُركز عمل «إكستريم نتووركس» على أقسام تكنولوجيا المعلومات في المستشفيات.

وفي الوقت نفسه، لا تهتم بعض الشركات الأصغر بتشفير شبكات «واي فاي»، كما لا تنتبه لإمكانية انتقال القراصنة من جهازٍ مُعين إلى أجزاء أخرى من الشبكة.

وطالب «زيميك» المستشفيات، بدمج أقسام تكنولوجيا المعلومات فيها مع عمل مُهندسيها المتخصصين في الطب الحيوي والمسؤولين عن الأجهزة، مشدداً على أهمية تحويل إضافة الأجهزة إلى شبكة المستشفى إلى عملية آلية؛ بهدف تحقيق قدر أكبر من السلامة.

وتوقع زيميك زيادة كبيرة في عدد الأجهزة التي تستخدم «واي فاي» أو تتصل بالشبكات الشخصية لمُستخدمي الهواتف، ما يُمثل تحدياً أكبر لاعتماد سُبل أكثر أماناً من الاتصال بالخوادم. وفي حين أن العمليات الآلية لا تكفل تأميناً تاماً، إلا أنها تُتيح تهيئة جميع الأجهزة وفق «البروتوكولات» نفسها، والسماح لكل منها بالوصول للبيانات التي يحتاج إليها فقط.

وأشارت كارولين ريفيت، من شركة «كيه بي إم جي» إلى أهمية ألا ينظر قطاع الرعاية الصحية إلى التكنولوجيا بوصفها الحل الوحيد؛ إذ تحتاج فرق العمل إلى مستوى أفضل من التدريب لفهم التهديدات، كما أن المؤسسات بحاجة إلى التساؤل عن مدى حاجتها إلى جميع البيانات التي تحتفظ بها، وقالت: «لماذا نحتاج إلى امتلاك جميع هذه المعلومات؟ قد تعرض نفسك للخطر نتيجةً لاحتفاظك بمعلومات قيمة».