ما أهمية تعزيز المرونة الرقمية للمؤسسات؟ كيف يُمكن حثّ القادة على الانتقال من "الأمن السيبراني فقط" إلى "المرونة الرقمية"؟
كيف تكون أكثر مرونةً مع توفر الموارد؟ كيف تكون أكثر مرونةً بأقل قدرٍ من المال؟
كيف تجعل من نفسك هدفًا أصغر؟
تُعتبر التدابير الصغيرة المستهدفة جزءًا مما يُطلق عليه البعض "الأساسيات". لكن النظافة "الأساسية" في الواقع صعبة للغاية على الكثيرين. ما هي أهم ثلاث نصائح صحية لديك لتحقيق ذلك؟
نحن نتحدث عن المنظمات ذات الموارد المحدودة، ولكن بعضها يعاني من نقص الموارد بشكل أكبر، ما هي نصيحتك لأولئك الذين يعانون من نقص شديد في موارد الأمن؟
تقييم أمن الموردين - ما هو أهم ما يجب مراعاته اليوم في عام ٢٠٢٥؟ كيف تتجنب الاختراق من قِبل موردك؟
يمكنك الوصول إلى Google Cloud Security Podcast والموارد المذكورة هنا. اضغط هنا
في عام 2024، كان الأمن السيبراني يشكل تحديًا كبيرًا لقطاع الرعاية الصحية، مع العديد من الهجمات البارزة. كان أحد الهجمات، الذي كشف عن بيانات من 100 مليون أمريكي وهو رقم قياسي، "حدثًا بارزًا" سلط الضوء على مدى ترابط صناعة الرعاية الصحية، وفقًا لإيرول فايس، كبير مسؤولي الأمن في مركز تبادل وتحليل المعلومات الصحية.
اقرأ عن الاتجاهات الثلاثة الأخرى في مقالة المجلس الاستشاري هذه. اضغط هنا
ويقول الخبراء إن شكل تنظيم الذكاء الاصطناعي سيكون غير مؤكد في ظل إدارة ترامب هذا العام، في حين ستواصل شركات الرعاية الصحية تعزيز دفاعاتها السيبرانية لمقاومة الهجمات المتزايدة.
مجرمو الإنترنت يواصلون استهداف الرعاية الصحية
لقد ثبت أن الأمن السيبراني يشكل تحديًا كبيرًا لقطاع الرعاية الصحية في عام 2024، ويقول الخبراء إن المنظمات تنتبه إلى هذا الأمر. لكن رفع مستوى الحماية السيبرانية للصناعة إلى المستوى المطلوب سيستغرق وقتًا - ومن غير المرجح أن يتوقف المتسللون عن استهداف شركات الرعاية الصحية.
لقد خرجت الصناعة من عام شهد العديد من الهجمات البارزة. في أوائل عام 2024، واجهت منظومة الرعاية الصحية بأكملها صعوبة في إدارة تداعيات الهجوم الإلكتروني ضد Change Healthcare، وهي شركة تكنولوجيا ومعالجة مطالبات مملوكة لشركة UnitedHealth العملاقة في الصناعة.
الهجوم - الذي كشف عن بيانات من 100 مليون أمريكي رقم قياسي - كان "حدثًا تاريخيًا" سلط الضوء على الطبيعة المترابطة للقطاع، كما قال إيرول فايس، كبير مسؤولي الأمن في مركز تبادل وتحليل المعلومات الصحية، أو Health-ISAC.
وقال فايس "أعتقد أن لحظة الاستيقاظ كانت حول كيفية تأثير نقطة فشل واحدة على تقديم الرعاية الصحية".
قال مركز نيويورك للدم إنه تعرض لهجوم فدية أدى إلى تعطيل العمليات وإجباره على إعادة جدولة بعض العمليات.
أدت الهجمات الإلكترونية على مراكز التبرع بالدم إلى مركز تبادل وتحليل المعلومات الصحية (Health-ISAC)) والجمعية الأمريكية للمستشفيات (AHA) لإصدار نشرة التهديد المشترك تحذير من احتمال حدوث اضطرابات في سلسلة التوريد.
قال روي شيرمان، كبير مسؤولي التكنولوجيا الميدانيين في شركة "إنسايت": "إن هجوم برامج الفدية الأخير على مركز نيويورك للدم (NYBC) بمثابة جرس إنذار للمؤسسات في مختلف القطاعات، وخاصة تلك العاملة في الخدمات الحيوية مثل الرعاية الصحية". Mitiga في"وباعتبارها واحدة من أكبر منظمات جمع وتوزيع الدم المستقلة في العالم، فإن هذا الحادث لا يقوض قدرتها التشغيلية فحسب، بل ويعرض الصحة العامة للخطر."
تهدف المبادرة إلى تعزيز أمن المستشفيات ومقدمي الرعاية الصحية في الدول الأعضاء بالاتحاد الأوروبي
إيرول فايس، كبير مسؤولي الأمن في الصحة ISAC وفي الولايات المتحدة، قال مسؤولون إن خطة عمل مفوضية الاتحاد الأوروبي تأتي في وقت لا تزال فيه منظمات الرعاية الصحية تكافح من أجل الحصول على تمويل كاف للدفاع عن شبكاتها بشكل صحيح.
وقال "تظهر هذه المشكلة في الاتحاد الأوروبي والولايات المتحدة والعالم. تحتاج مؤسسات الرعاية الصحية إلى الموارد - ليس فقط التكنولوجيا اللازمة لحماية هذه الشبكات ولكن أيضًا محترفي أمن المعلومات ذوي الخبرة لتشغيل هذه الأنظمة". وأضاف "أنا سعيد لأن المفوضية تدرك القيمة التي تضيفها مراكز أمن المعلومات والاتصالات لحماية المؤسسات وتحسين الأمن من خلال تبادل المعلومات والتعاون".
وأضاف فايس أن المسؤولين عن حماية البنية التحتية الرقمية يدركون أنه من خلال تبادل المعلومات فإنهم لا يحمون أنفسهم فحسب، بل يعززون أيضا أمن النظام البيئي الرقمي بأكمله.
وفي عام 2023، دخلت Health-ISAC في شراكة مع Health ISAC الأوروبية للاستفادة من "القوة العالمية" لعضوية Health-ISAC من خلال رؤية التهديدات في أكثر من 140 دولة مع قوة Health ISAC الأوروبية من حيث وجهات النظر المجتمعية والمحلية، على حد قوله.
وقال "نحن بحاجة إلى التوحد والبقاء يقظين ضد التهديدات السيبرانية". "مع عمل Health-ISAC و European Health ISAC معًا في الاتحاد الأوروبي، يمكننا إنشاء مجتمع أكثر أمانًا حيث تستفيد مؤسسات الرعاية الصحية من تحسين رؤية التهديدات والثغرات، بالإضافة إلى الاستفادة من تبادل أفضل الممارسات والرؤى الرئيسية الأخرى التي تعمل في النهاية على تحسين سلامة المرضى".
قال فيل إنجليرت، نائب رئيس أمن الأجهزة الطبية في مركز تبادل وتحليل المعلومات الصحية، إن إرشادات "الأمن السيبراني في قطاع الرعاية الصحية - إدارة أمن التكنولوجيا القديمة" - أو HIC-MaLTS - التي يقدمها مركز تبادل وتحليل المعلومات الصحية تقدم للمؤسسات أفضل الممارسات التي يمكن استخدامها لإدارة المخاطر السيبرانية للتكنولوجيات الطبية القديمة.
ويتناول HIC-MaLTS تحديات الأمن السيبراني الشائعة في مجال الرعاية الصحية. على سبيل المثال، "تتمتع العديد من أنواع الأجهزة الطبية المختلفة والمواقع المتنوعة التي تُستخدم فيها بملامح مخاطر فريدة وتشمل ميزات التشخيص والعلاج والقابلة للارتداء والقابلة للزرع والبرمجيات كجهاز طبي، من بين أمور أخرى، والتي يمكن استخدامها في المستشفيات والعيادات وغيرها من الأماكن غير السريرية والرعاية الصحية المنزلية"، كما قال.
في هذه المقالة أيضًا:
المراحل الأربع لدورة حياة الأجهزة الطبية
جرد "عرض النظام" جنبًا إلى جنب مع التجزئة وضوابط الوصول إلى الشبكة
نموذج لغة العقد الخاص بـ HSCC للأمن السيبراني في مجال التكنولوجيا الطبية
اقرأ المقال في مجال أمن المعلومات الصحية هنا. اضغط هنا
اقرأ المقال كاملا في Information Security Buzz. اضغط هنا
منذ عام 1996، قانون نقل التأمين الصحي والمساءلة ((HIPAA)) كان حجر الأساس لخصوصية المرضى. وقد وضع القانون معايير لكيفية تعامل مؤسسات الرعاية الصحية مع بيانات المرضى ومشاركتها، مما أدى إلى إنشاء إطار لضمان السرية.
ولكن المشهد الصحي قد تغير بشكل كبير، ومعه تضاعفت المخاطر. فقد كشفت التهديدات السيبرانية الناشئة والثغرات المعقدة عن ثغرات حرجة في الحماية التي يوفرها قانون التأمين الصحي المحمول والمساءلة. وفي استجابة لذلك، يعمل المشرعون على طرح تشريعات جديدة تهدف إلى تحصين مؤسسات الرعاية الصحية ضد المد المتصاعد للهجمات السيبرانية.
في العام الماضي، قدم المشرعون مشروعي قانونين - قانون الأمن السيبراني للرعاية الصحية لعام 2024 وقانون أمن البنية التحتية الصحية والمساءلة لعام 2024 (HISAA) - بهدف تحديث الحماية للبيانات الصحية الحساسة. وفي حين تمثل هذه التدابير خطوة مهمة إلى الأمام، إلا أنها لا تزال متوقفة في العملية التشريعية ولم تصبح قانونًا بعد.
وحتى لو تم سن هذه القوانين، فإن نطاقها المحدود وآليات التنفيذ الموضحة فيها قد لا تكون كافية لمعالجة التهديدات السيبرانية المتصاعدة التي تعصف بنظام الرعاية الصحية الرقمي المتزايد. وفي غياب نهج أكثر شمولاً وعدوانية، فإن هذه المبادرات قد تُرى باعتبارها إيماءات رمزية في معركة تتطلب اتخاذ إجراءات عاجلة وحاسمة.
اقرأ المزيد للحصول على فهم كامل لكلا المشروعين، بما في ذلك
كان فيل إنجليرت ومضيفنا كريس بلاسك يرأسان مجموعة عمل CISA المعنية بمشاركة قائمة المواد البرمجية (SBOM). وقد طورت مجموعة العمل عملية لمساعدة مراكز تبادل المعلومات والتحليلات والمنظمات المماثلة في تحديد بنية التحكم اللازمة لإدارة توزيع قائمة المواد البرمجية (SBOM) بين أعضائها.
استمع إلى الحلقة 14 من بودكاست منحنى الحتمية هنا. اضغط هنا
ستخضع مؤسسات الرعاية الصحية بجميع أشكالها وأحجامها لمعايير أكثر صرامة للأمن السيبراني بدءًا من عام 2025 مع القواعد المقترحة الجديدة، ولكن ليس كلها لديها الميزانية اللازمة لذلك.
منذ البداية، كان قانون HIPAA دائمًا هو الأفضل، رغم أنه غير كافٍ، في تحديد الأمن السيبراني لصناعة الرعاية الصحية.
"يوجد تاريخ من التركيز في المكان الخطأ بسبب الطريقة التي تم بها وضع قانون HIPAA في منتصف التسعينيات"، كما يقول إيرول فايس"في ذلك الوقت، كان هناك هذا الدفع الكبير لنقل السجلات الطبية والصحية إلى الوسائط الإلكترونية. ومع ظهور لوائح HIPAA، كان الأمر كله يتعلق بحماية خصوصية المرضى ولكن ليس بالضرورة تأمين هذه السجلات."
لقد أدى تركيز قانون HIPAA على الخصوصية إلى الحد من قدرته على معالجة تهديدات الأمن السيبراني الأكثر تنوعًا في العقد الأول من القرن الحادي والعشرين، وخاصة برامج الفدية. وفي الوقت نفسه، بدلاً من استخدامه كأساس لتطوير موقف أمني قوي، كانت المنظمات تميل إلى التعامل مع قانون HIPAA باعتباره مجموعة من المربعات التي يجب التحقق منها. "لقد انتهى الأمر توجيه الميزانيات نحو الامتثال وليس بالضرورة الأمنويقول فايس: "في السنوات الخمس أو الست الماضية، رأينا ما يحدث في بيئة غير مؤمنة بشكل صحيح، وغير مقيدة بشكل صحيح، وغير مدعومة بشكل صحيح، عندما تتعرض لهجمات برامج الفدية".
ويقدر بينجري من شركة ديسبيرسيف أن "تطبيق قواعد أمن HIPAA الجديدة، حتى لو كانوا يتبعون بالفعل جميع ضوابط المعهد الوطني للمعايير والتكنولوجيا، قد يكلف ما يصل إلى 100,000 ألف دولار لمكتب طبيب صغير، أو قد يصل إلى ملايين الدولارات إذا كنت مجموعة طبية كبيرة".
ووفقاً لفايس، فإن إحدى الطرق المحتملة التي قد تتمكن بها مؤسسات الرعاية الصحية من التعامل مع كل هذه القواعد الجديدة والتكاليف المرتبطة بها هي الاستعانة بمسؤول أمن معلومات افتراضي خارجي (vCISO). ويقول: "الأمر لا يتعلق فقط بشراء التكنولوجيا. بل يتعلق أيضاً بتجنيد واحتفاظ بخبرة الأمن السيبراني التي تحتاجها لإدارة العمل".
"لا تعرف هذه المنظمات من أين تبدأ"، يواصل. "سوق الأمن السيبراني مربك للغاية. هناك الكثير من اللاعبين. وهناك الكثير من الحلول. لذا إذا كان لديك 100 دولار لإنفاقها على الأمن السيبراني، أين تنفق هذا المبلغ؟ إنهم بحاجة إلى المساعدة حتى يتمكنوا من معرفة كل ذلك. وأعتقد أن شيئًا مثل مسؤول أمن المعلومات الافتراضي يمكن أن يساعد في تنفيذ استراتيجية، ثم يكون موجودًا على أساس افتراضي - للتحقق، ليكون موردًا لتلك المنظمة عندما يكون لديهم أسئلة ويحتاجون إلى بعض المساعدة. يبدو وكأنه نموذج لائق لهذه المستشفيات الريفية الصغيرة التي لا يمكنها بالضرورة تبرير أو توظيف مسؤول أمن المعلومات بدوام كامل ".
خبراء: التفويضات الجديدة قد تكون صعبة ومكلفة لكثير من الجهات
قال خبراء إن الإصلاح المقترح للوائح الأمن السيبراني الفيدرالية لصناعة الرعاية الصحية قد يعني مهمة شاقة ومكلفة بالنسبة للعديد من المنظمات.
وقال "إن تكاليف الوفاء بهذه الأحكام ستكون هائلة". إيرول فايسوقال كبير مسؤولي الأمن في مركز تبادل وتحليل المعلومات الصحية: "من أين تأتي الأموال اللازمة لدفع ثمن كل هذا؟ لا يمكن أن تأتي من المدخرات المستقبلية الناتجة عن تجنب عقوبات الاختراق. إن مقدمي الرعاية الصحية الذين يعانون من ضائقة مالية، وخاصة المستشفيات الريفية الصغيرة، لا يملكون الموارد اللازمة لدعم هذه المقترحات الجديدة".
وقال فايس إن أي متطلبات تنظيمية مثل هذه سوف تحتاج إلى أن تأتي مع مساعدة تمويلية حتى يتمكن مقدمو الرعاية الصحية من الحصول على التكنولوجيا المناسبة، والأهم من ذلك، توظيف واحتفاظ متخصصي الأمن السيبراني ذوي الخبرة لحماية شبكاتهم بشكل مناسب.
تتعاون Google مع Health-ISAC لتقديم برامج تدريبية مبتكرة وبرامج استخبارات الأمن السيبراني وغيرها من الموارد لأنظمة الصحة الريفية.
إن الهجمات الإلكترونية على مؤسسات الرعاية الصحية تعطل قدرتها على العمل وتهدد رعاية المرضى. تخدم أنظمة الرعاية الصحية الريفية في الولايات المتحدة 60 مليون شخص وهي في قلب مجتمعات لا حصر لها. تتعرض سلامة الجميع في المجتمع للخطر عندما تصبح أنظمة المعلومات الصحية الحرجة غير متاحة بسبب الحوادث الإلكترونية.
تلتزم Google بمساعدة أنظمة الرعاية الصحية الضعيفة على تعزيز قدرتها على الصمود في مواجهة الهجمات الإلكترونية. ونحن نتعاون مع الحكومة والصناعة لتقديم خدماتنا ودعمنا وتقنياتنا، مما يتيح للأنظمة التركيز على رعاية المرضى.
مبادرة مصممة خصيصًا لتحسين الأمن
مصممة للمستشفيات الريفية
تعكس أنظمة الصحة والمستشفيات الريفية تفرد المجتمعات التي تخدمها، وينطبق نفس الشيء على عرضنا. فهو يوفر مجموعة متنامية من تكنولوجيا Google الآمنة من حيث التصميم للوصول والتعاون، وخدمات الاستشارة والدعم، وموارد التدريب الأمني بخصم أو بدون تكلفة. يتم تكييف الحل مع احتياجات كل كيان صحي ريفي. يجب أن يقع المرفق الصحي في مقاطعة أو منطقة تم تحديدها على أنها ريفية من قبل إدارة الموارد والخدمات الصحية (الإدارة العامة للموارد البشرية والخدمات الصحية).
يعد التعاون الفعال للدفاع ضد الهجمات الإلكترونية والاستجابة لها أمرًا حيويًا لتأمين الرعاية الصحية. تعد Google السفير الشريك إلى مركز تبادل وتحليل المعلومات الصحية (Health-ISAC). تتمثل مهمة Health-ISAC في تمكين العلاقات الموثوقة في صناعة الرعاية الصحية العالمية للمساعدة في منع واكتشاف والاستجابة لأحداث الأمن السيبراني والأمن المادي حتى يتمكن الأعضاء من التركيز على تحسين الصحة وإنقاذ الأرواح. تتعاون Google مع Health-ISAC لتقديم برامج تدريبية مبتكرة وبرامج استخبارات الأمن السيبراني وموارد أخرى لأنظمة الصحة الريفية.
عروض البرنامج
سيتم تقديم معظم هذه الخدمات مجانًا أو بخصومات كبيرة، مع مراعاة القيود المالية التي تواجهها العديد من أنظمة الرعاية الصحية الريفية. بالإضافة إلى ذلك، سنقدم خدمات التنفيذ والدعم للمنظمات المؤهلة. هذه العروض متاحة فقط في الولايات المتحدة في هذا الوقت.
من الخدمات المصرفية إلى الرعاية الصحية الأمن السيبراني
جلسنا مع إيرول فايس، كبير مسؤولي الأمن في Health-ISAC، لمناقشة مسيرته المهنية التي استمرت 25 عامًا في القطاع المصرفي والحكومة والرعاية الصحية وتحديد أكبر التهديدات والاتجاهات المتعلقة بالأمن السيبراني التي تؤثر على صناعة الرعاية الصحية في عام 2025 وما بعده.
تحديات فريدة في مجال الأمن السيبراني في مجال الرعاية الصحية
ووصف فايس التحديات الفريدة التي تواجهها مؤسسات الرعاية الصحية مقارنة بالخدمات المالية. فغالبًا ما تدير أنظمة الرعاية الصحية بنى تحتية معقدة، بما في ذلك الأنظمة السحابية الحديثة، والأجهزة القديمة (مثل أجهزة التصوير بالرنين المغناطيسي ذات أنظمة التشغيل القديمة)، ونظم بيئية متنوعة للأجهزة الطبية. ويتفاقم هذا التعقيد بسبب نقص الاستثمار في الأمن السيبراني منذ فترة طويلة، مع تخصيص الموارد تاريخيًا للخصوصية والامتثال (على سبيل المثال، لوائح HIPAA) بدلاً من تدابير الأمن القوية.
وأكد أن نقص التمويل ونقص مسؤولي أمن المعلومات المتفانين في الرعاية الصحية يجعل من الصعب حماية هذه البيئات بشكل فعال. ومع ذلك، أدت الحوادث مثل هجمات برامج الفدية إلى زيادة الوعي والاستثمار في أمن المعلومات في مجال الرعاية الصحية على مدى العقد الماضي.
