في خضم الطفرة في الرعاية الصحية الرقمية الناجمة عن جائحة الفيروس التاجي ، يأخذ الأمن المقعد الخلفي لإمكانية استخدامه.
تواجه الخدمات الصحية عن بعد والطب عن بعد العديد من التهديدات السيبرانية. في الوقت الحالي ، يعتمد مقدمو الرعاية الصحية وصانعو الأجهزة الطبية وموفرو منصات الخدمات الصحية عن بُعد على عدد لا يحصى من اللوائح ومصادر التوجيه ، بما في ذلك قانون نقل التأمين الصحي والمسؤولية (HIPAA) ووزارة الصحة والخدمات البشرية ولوائح إدارة الغذاء والدواء وأفضل الممارسات العامة للأمن السيبراني لإدارة هذه الخدمات . ومع ذلك ، لا تتوقع هذه اللوائح المجموعة الكاملة من التهديدات التي يمكن أن تحدث داخل بيئة الشبكة غير الآمنة لمنزل المريض. بالإضافة إلى ذلك ، تم نشر العديد من هذه المنصات بسرعة خلال الوباء وسمح لها بتجاوز اللوائح القائمة ، مما يزيد من تفاقم بيئة المخاطر لهذه الخدمات.
تبذل جهود فيدرالية جديدة لمعالجة هذا النقص. بدأ مركز الامتياز الوطني للأمن السيبراني (NCCoE) والمعهد الوطني للمعايير والتكنولوجيا (NIST) في العمل مؤخرًا مع كبار موردي الصناعة والخبراء المتخصصين لإجراء تحليل شامل لخدمات الطب عن بعد لرسم سطح الهجوم ، وتحديد نقاط الفشل المحتملة الرئيسية ، واستنباط معايير جديدة للأمن السيبراني للتطبيب عن بعد لكي تتبعها الصناعة. لا تزال هذه العملية في المراحل الأولى ، ولكن بمجرد اكتمالها ستكون خارطة طريق فعالة لمقدمي الرعاية الصحية ومطوري التكنولوجيا مع التوسع في استخدام الطب عن بعد.
في هذه الأثناء ، دعنا نفحص المجال الرئيسي للمخاطر المتعلقة بهذه الخدمات الرقمية.
نقاط النهاية البشرية: المرضى والأطباء
تتمتع خدمات الرعاية الصحية الرقمية بسطح هجوم واسع ، بدءًا من المنصات عبر الإنترنت إلى موفري الرعاية الصحية ، وأدوات الجهات الخارجية ، والخدمات مثل التخزين السحابي والشبكات الافتراضية الخاصة ، والأجهزة الطبية التي يمكن الوصول إليها عن بُعد ، والشبكات المنزلية الخاصة بالمرضى. ومع ذلك ، فإن النقطة الأكثر احتمالًا للانهيار الأمني هي نقطتي النهاية البشرية: المرضى والأطباء. في الحالة الأخيرة ، قد لا يتلقى العديد من الأطباء تدريبًا أمنيًا كافيًا لمنصات الخدمات الصحية عن بعد التي يُتوقع منهم استخدامها. يمكن أن تكون إجراءات الأمان الأساسية مثل المصادقة الثنائية ومهلة الجلسة بمثابة عقبة أو إزعاج ، مما قد يدفع بعض الممارسين الطبيين إلى مطالبة قسم تكنولوجيا المعلومات بتعطيلها. بالإضافة إلى ذلك ، بالنظر إلى الانتشار السريع للخدمات الصحية عن بعد خلال هذا الوباء ، هناك احتمال كبير أن يستخدم بعض الأطباء أجهزة الكمبيوتر المحمولة الشخصية أو الهواتف المحمولة الخاصة بهم لإجراء الاستشارات الافتراضية.
من ناحية المريض ، فإن الوضع أكثر تعقيدًا. إن العديد من معايير الأمن السيبراني الحالية التي يعتمد عليها مقدمو الرعاية الصحية هي الأنسب لبيئة الشبكة المحمية ، مثل المستشفى أو المكتب الطبي. منازل المرضى هي العكس. يقوم مقدمو الرعاية الصحية بمشاركة البيانات الحساسة من خلال شبكة غير آمنة مع العديد من المستخدمين ، ومع نقاط النهاية الأخرى المعرضة بشدة للاختراق بواسطة البرامج الضارة ، بما في ذلك أجهزة إنترنت الأشياء العامة والأجهزة المتصلة. على عكس الموظفين البعيدين ، لا يمكن لمقدمي الرعاية الصحية أن يطلبوا من المرضى اتخاذ الاحتياطات الأمنية مثل نفق حركة المرور عبر VPN أو إضافة جدار حماية للجهاز. لذلك ، تواجه خدمات الرعاية الصحية عن بعد والتطبيب عن بعد تحديًا كبيرًا في محاولة الحفاظ على أمان البيانات أثناء انتقالها عبر هذه البيئة عالية المخاطر.
الأجهزة الطبية المحمولة
تطرح الأجهزة الطبية البعيدة أيضًا تحديات فريدة. بالإضافة إلى العمل داخل شبكة منزلية للمرضى غير المحمية ، تكون الأجهزة نفسها أكثر عرضة للهجوم لأنها محدودة الموارد وللمرضى وصول مادي غير مراقب وغير مقيد إليهم. على عكس الأجهزة الكبيرة مثل أجهزة التصوير بالرنين المغناطيسي ، فإن الأجهزة الطبية المحمولة الصغيرة التي تنتهي داخل منازل المرضى - مثل مضخات الأنسولين أو أنظمة مراقبة القلب - لديها قوة معالجة محدودة وتخزين البيانات وعمر البطارية. ونتيجة لذلك ، قد لا تكون حلول الأمن السيبراني التي نلجأ إليها بخلاف ذلك ، مثل المصادقة والتشفير القويين ، خيارات مناسبة لتلك الأجهزة. قد يفتقرون أيضًا إلى عامل الشكل المطلوب لخطوات الأمان الأساسية الأخرى - مثل الحماية بكلمة مرور - لأنهم غالبًا ما يفتقرون إلى شاشة عرض ولوحة مفاتيح.
مخاطر الخصوصية مقابل الهجمات التخريبية
كانت الهجمات الإلكترونية على صناعة الرعاية الصحية مشكلة لسنوات ، لكن تفشي COVID-19 أدى إلى تفاقم العديد من هذه المخاطر ، خاصة عندما يتعلق الأمر ببرامج الفدية. ومع ذلك ، على الرغم من تزايد هذه الهجمات التخريبية ، ظلت صناعة الرعاية الصحية تركز بشكل كبير على مسألة خصوصية المريض من أجل منع سرقة المعلومات أو التعرض العرضي. وينطبق الشيء نفسه على الصحة البُعادية والطب عن بُعد. في المجال الناشئ للرعاية الصحية الرقمية ، يهتم مقدمو الخدمات في الغالب بمخاطر الخصوصية بينما لا يأخذون في الحسبان بشكل كامل أنواعًا أخرى من الهجمات مثل برامج الفدية للأجهزة والقطع المتعمد أو تخريب الخدمات. توفر الأجهزة الطبية المتصلة بالإنترنت ناقلًا فريدًا للهجوم ، يمكن استغلاله لإحداث ضرر كبير للمرضى.
على الرغم من أن الهجمات المستهدفة على المرضى ممكنة بالتأكيد ، إلا أنها غير محتملة. ما هو أكثر واقعية هو أن المجرمين سوف يستهدفون البنية التحتية الخلفية والأنظمة البيئية التكنولوجية الخارجية التي تدعم خدمات الصحة عن بعد والتطبيب عن بعد من أجل الحصول على نطاق واسع والوصول إلى مجموعات بيانات كبيرة من المعلومات التي يمكن تحقيق الدخل منها بشكل كبير. يمكن أن تشمل هذه الأهداف خوادم تطبيقات الويب عن بعد وخدمات دعم الطرف الثالث والخوادم الخلفية للأجهزة الطبية البعيدة وشبكات المستشفيات. يمكن أيضًا استخدام العدد المتزايد من الهجمات على أجهزة توجيه Wi-Fi من فئة المستهلكين للتنازل عن الخدمات الصحية ، سواء عن قصد أو عن غير قصد ، من قبل الجهات الإجرامية.
الخطوات المقبلة
على عجل لنشر خدمات الرعاية الصحية عن بعد ، تم تخطي أو تبسيط بعض عمليات الأمن التقليدية من أجل تقليل الوقت اللازم للتسويق. وقد أدى ذلك إلى رفع مستوى المخاطر لهذه الخدمات. من المهم أن يقوم مقدمو الخدمة بمعالجة هذه المشكلات من خلال العودة وتطبيق تشديد الأمان وتشغيل ميزات الأمان الرئيسية. إن حماية الأمن السيبراني مثل التشفير من طرف إلى طرف ، والمصادقة القوية على الوصول ، والمصادقة متعددة العوامل ، والمراقبة النشطة كلها أمور لا بد منها. ومع ذلك ، هذه ليست واقعية دائمًا في بعض مجالات التطبيب عن بُعد ، خاصةً عندما يتعلق الأمر باستخدام أجهزة طبية أصغر متصلة بالإنترنت لمراقبة المرضى عن بُعد. بالنسبة لهذه الأجهزة ، يجب التحقق من إجراءات الأمان الأخرى ، بما في ذلك الدفاعات المستندة إلى البرامج الثابتة وضوابط السلامة على مستوى الأجهزة ، والتي يمكن أن تمنع الأجهزة من إجبار المهاجم على التصرف بطريقة غير آمنة.
يعد برنامج NCCoE خطوة أولى حاسمة في تحديد النطاق الكامل للمخاطر والتهديدات المتعلقة بخدمات الصحة عن بعد. كما سيلعب دورًا مهمًا في تحسين صحة المريض وأمنه.
محتوى ذات صلة:
جوستين بون هي الرئيس التنفيذي لشركة MedSec ، وهي شركة للأمن السيبراني تركز حصريًا على صناعة الرعاية الصحية ، بما في ذلك المستشفيات والشركات المصنعة للأجهزة الطبية. يعمل MedSec كخبير متخصص في مراقبة المرضى عن بعد NCCoE / NIST ... عرض السيرة الذاتية الكاملة
اقتراحات للقراءة:
مزيد من الإحصاءات
