«سوفوس»: الرعاية الصحية القطاع الأكثر عرضة عالمياً للخروقات وسرقة البيانات
أكد هاريش تشيب، نائب الرئيس للشرق الأوسط وأفريقيا بشركة سوفوس أن قطاع الرعاية الصحية حول العالم يعد الأكثر عرضة للحوادث الأمنية والخرق التنظيمي وسرقة البيانات.
وتعاني مؤسسات الرعاية الصحية من انخفاض مستويات ترميز البيانات، كما تستثمر بشكل بسيط في التوعية بأفضل الممارسات الأمنية، الأمر الذي يؤدي إلى ضعف إدارة وحماية بيانات المرضى. كذلك فإن تكلفة إعادة بيع السجلات الصحية المعرّضة للقرصنة تبقى جذابة، مما يعزز مستويات الاهتمام بها في أوساط المجرمين عالمياً وإقليمياً ويدفعهم لمحاولات قرصنة تلك المؤسسات.
وأشار إلى أن الأبحاث التي أجرتها بضع المؤسسات مؤخراً تقدم أدلة جلية على هذا الانتشار الواسع للتهديدات في القطاع، فالممارسات الأمنية الضعيفة، وهي غير مدمجة أصلاً في الوصف الوظيفي للعاملين في المجال، تفتقر إلى فهم أهمية خصوصية البيانات فيما تبقى الأنشطة الداخلية الخبيثة أكبر محرك للحوادث الأمنية رفيعة المستوى في قطاع الرعاية الصحية.
وأظهرت دراسات مماثلة على قطاع الرعاية الصحية أن الجهات الداخلية كانت مسؤولة عن الهجمات التي تعرضت لها الشبكة.
حيث تستخدم تلك الأطراف الخوادم ذات الإعدادات غير الدقيقة فيما يقع الموظفون ضحية عمليات سرقة الهوية التي تبيّن أنها مسؤولة عن ثلثي الحوادث. ويواصل المسؤولون في القطاع التأكيد على أن عدداً كبيراً جداً من حالات الخرق الأمني جاءت نتيجة التصرفات التي قام بها المستخدمون النهائيون إما بشكل عرضي وإما نتيجة عن الإهمال.
ولأن العمل من أجل التغيير ليس بالأمر البسيط، حيث يستغرق إعداد وتطبيق الدفاعات المتينة لحماية المؤسسة الكثير من الوقت والجهد، فلا بد من عدد من الإجراءات الضرورية:
إعداد وصف واضح للمخاطر المحتملة: تحتاج مؤسسات الرعاية الصحية إلى عمل تقييم شامل لنقاط الضعف فيها، بما في ذلك دراسة سيناريوهات الهجمات، كما يساعد إعداد تدقيق شامل للمخاطر في تحديد السياسات والأطر المطلوبة للأمن الإلكتروني، وبالتالي إعداد وصف واضح للمخاطر.
تحديد أفضل الممارسات: بعد تطبيق حلول ملائمة للأمن الإلكتروني في مؤسسات الرعاية الصحية التي تتعامل مع المستخدمين النهائيين، يكون من الضروري تطوير توجيهات لأفضل الممارسات وتعريف مختلف المستخدمين بتلك الممارسات لضمان أعلى مستويات الفعالية الممكنة للحلول والإجراءات الجديدة.
إجراء محاكاة للهجمات والاستجابة: تواجه كافة المؤسسات تهديداً مستمراً بالهجمات أو الخرق المحتمل في أي وقت، ويسمح إجراء المحاكاة لاختيار قدرة كل مؤسسة في تلك الحالات بتحسين قدرتها على حماية أعمالها من الخرق الفعلي، فيما يضمن قدرة الموظفين على العمل واستمرارية تقديم الخدمة في نفس الوقت.
ومن خلال الاستجابة لتلك الهجمات، يمكن لمؤسسات المستخدمين النهائيين في قطاع الرعاية الصحية تحسين قدرتها على حماية الأعمال واستمرارية العمليات.
تحديد أكثر البيانات أهمية وخصوصية: تحتاج مؤسسات الرعاية الصحية إلى تصنيف البيانات وفقاً لمستويات الخصوصية والأهمية المرتبطة بها. وبناء على مستويات أهمية تلك البيانات، يصبح بالإمكان تحديد مستويات الحماية الأمنية والاستثمارات المطلوبة لحماية تلك البيانات.
تثقيف الموظفين حول الأمن الإلكتروني: التثقيف عنصر أساسي، ولا بد من الحرص على أن يفهم الموظفون أهمية اتباع أفضل الممارسات الأساسية للأمن الإلكتروني مما سيساعد في تقليل تعرض الأنظمة للاختراق والهجوم. وتظهر الأبحاث العالمية باستمرار أن تدني مستوى الوعي لدى الموظفين كان سبباً في أكثر من نصف الهجمات التي تعرض لها قطاع الرعاية الصحية.
