حماية بيانات الرعاية الصحية من السرقة_ دليل إرشادي
يمتاز عصرنا الحالي بأنّه عصر السرعة التقنية والتكنولوجية على شتى الأصعدة بما فيها الصعيد الطبي، لذا فإنّ مؤسسات الرعاية الصحية المُختلفة تواجه تحديات كبيرة في سبيل تقديم خدمات موثوقة وآمنة، ففي الوقت الذي ازدادت به تحديات الأمن السيبراني بشكل كبير على شتى أنواع القطاعات والصناعات ازدادت الهجمات الإلكترونية على صناعة الرعاية الصحية خصوصاً.
تعدّ مثل تلك الهجمات السيبرانية مصدر قلق بالغ لجميع مؤسسات القطاع الصحي سواء كانت مؤسسات صغيرة وناشئة أو حتى مؤسسات ضخمة لأنّ عمليات الاختراق تلك -بالإضافة إلى كونها قد تؤثر على أمن المعلومات- فإنّها يُمكن أن تُشكل خطراً على صحة وسلامة المرضى؛ إذ قد يتم استغلال معلومات الحالة الطبية لمريض مُعين بهدف الاحتيال في مجال التأمين، أو حتى العبث بأنواع أجهزة طبية قد تكون مُتصلة بشبكة الإنترنت، وغيرها العديد من أشكال الهجمات الإلكترونية، فحدوث اختراق أو سرقة لبيانات الرعاية الصحية ليست مشكلة خاصة بتكنولوجيا المعلومات فحسب، إنما هي مشكلة لها تأثيرها على قطاع الصناعة الصحية بشكل كامل.
في ظل ما تم ذكره عن ازدياد خطر الهجمات السيبرانية على قطاعات الرعاية الصحية عامةً، فإنّه يتوجب على مؤسسات هذا القطاع أن تبذل جهوداً حثيثة وإجراءات مُستمرة في اتخاذ أقصى وأفضل مُمارسات وتدابير الأمن السيبراني الذي قد يحدّ من حصول أي هجمات إلكترونية تُعرض بياناتها للسرقة والاختراق. فيما يأتي بعض أهم الطرق والوسائل لكيفية حماية بيانات الرعاية الصحية من السرقة وبشكل وافٍ ومُفصل:
نشر مفهوم الأمن السيبراني في المؤسسة
قد يصعُب على إي إجراءات فنية أن تحدّ من الهجمات التي تتعرض لها المؤسسات الطبية ما لم يكن أفراد هذه المؤسسات وطواقمها العاملة وإداراتها مُدركين لحجم الخطر الذي قد يُحيط ببيانات ومعلومات المؤسسة، وما لم تكن هناك إرادة حقيقية لتنفيذ جميع السياسات الخاصة بمفهوم الدفاع السيبراني،فالأمن السيبراني هو مسؤولية جماعية ومُشتركة وجهد يقوم به جميع أعضاء المنظومة الصحية. لذا فإنّه يتوجب نشر الوعي الكافي بين أفراد المؤسسة وبغض النظر عن مستواهم الفني ومعرفتهم بتكنولوجيا المعلومات بحيث يُصبح كل شخص في قطاع الرعاية الصحية مُشاركاً في رؤية واضحة لأمن البيانات وسلامتها، إذ يُنصح بتقديم دورات فنية من قبل مُتخصصين في الأمن السيبراني لزيادة الوعي بين أفراد طواقم الرعاية الطبية.
حماية الأجهزة
يجب تأمين وحماية سلامة أجهزة الكمبيوتر وأجهزة الخوادم وأقراص التخزين الموجودة في الشركة من الوقوع في أيدي غير أمينة وتعرّضها للسرقة أو التجسس، وتُشكّل الأجهزة المحمولة على وجه الخصوص كأجهزة الكمبيوتر المحمولة والهواتف الذكية الخاصة بالمؤسسة ووسائط التخزين تهديداً كبيراً لسلامة وأمن بيانات قطاع الرعاية الصحية وذلك بسبب القدرة على نقلها وبالتالي فقدانها.
استخدام برامج المُصادقة وتحديد الهوية
يتوجب على مؤسسات الرعاية الطبية ضبط وتحديد إمكانية الوصول لبياناتها ومعلوماتها بشكل مؤسسي ووفقاً للصلاحيات المُناسبة لكل فرد من أفراد المؤسسة أو حتى لمُتلقي الخدمة، لذا فإنه يتوجب أن تُستخدم برامج مُتخصصة تُعرف بتقنيات تحديد الهوية والمُصادقة بحيث يتم من خلالها التمييز بين من يحق له الدخول إلى النظام الطبي الخاص بالمؤسسة وبين من يحاول الوصول بهدف سرقة البيانات والتجسس عليها.ولبرامج المصادقة وتحديد الهوية مستويات مُتعددة من الأمان؛ أقلها أن يتم الدخول إلى النظام من خلال اسم مُستخدِم (User name) وكلمة مرور (Password) فقط، أما المستوى المُتوسط فيكون من خلال ما يُعرف برمز المُصادقة الثنائي والذي يتطلب إدخال المُستخِدِم لرمز معين بالإضافة إلى كلمة المرور التي تم إدخالها، ومن المستويات عالية الأمان في هذه البرامج أن يتم مُطالبة المُستخدِم بإدخال ما لا يقل عن ثلاثة أدلة ورموز أمان أو أكثر كبصمة الوجه أو الأصبع بالإضافة إلى البطاقة الذكية الخاصة فضلاً عن كلمة المرور.
حماية الشبكات
من الأمور الهامة في سبيل تحقيق مفهوم الأمن السيبراني لقطاعات الرعاية الصحية تطوير شبكات تكنولوجيا المعلومات بحيث تكون خالية من أي نقاط ضعف يُمكن أن يتم استغلالها من قِبل المُخترقين والمُتسللين عبر الإنترنت، لذا فإنه يُنصح بتزويد موظفي تكنولوجيا المعلومات بكل الموارد والدعم اللازم لتأمين الشبكة وحمايتها من الهجمات الإلكترونية بالإضافة إلى بناء ما يُعرف بجدار دفاع إلكتروني (Firewall) حول الشبكات الطبية،كما يتوجب على مديري الشبكة إجراء تدابير تقنية تضمن تقييد الوصول إلى المعلومات الحساسة والأكثر قيمة وذلك من خلال تقسيم الشبكة إلى أجزاء والتحكم في الاتصال الذي يتم خلالها.
تحديث الأنظمة والتطبيقات
تقوم الجهات المُنفذة للهجمات السيبرانية وبشكل دوري بالبحث عن وجود أية ثغرات في الأنظمة والتطبيقات التي تستخدمها مؤسسات الرعاية الصحية لاستغلالها للوصول إلى المعلومات والبيانات لسرقتها أو الاطلاع عليها، لذا فإنّه يتوجب أن تقوم تلك المؤسسات وبشكل دوري ومُستمر بتحديث الأنظمة والتطبيقات التي يعمل بها النظام الصحي، ومن الأمور الهامة التي يجب إجراؤها أخذ نسخة احتياطية وبشكل مُنتظم لجميع قواعد البيانات والأنظمة الموجودة والعاملة مع الأخذ بعين الاعتبار عدم الاتصال بشبكة الإنترنت أثناء إجراء عملية النسخ الاحتياطي وذلك لتقليل مخاطر تسرُب البيانات والاستيلاء عليها.
تعطيل مُشاركة الملفات
من الأمور الهامة في تحقيق الأمن السيبراني في مؤسسات الرعاية الصحية تعطيل مشاركة الملفات مع أي مُستخدِم آخر عبر الشبكة وذلك لضمان خصوصية البيانات، كما يُوصى بتعطيل خاصية الطباعة عن بعد عبر الشبكة، إذ قد يؤدي هذا الأمر إلى طباعتها عن طريق الخطأ في مواقع حيث يُسمح للأفراد غير المُخولين لهم بالحصول والاطلاع عليها.
إجراء الصيانة الدورية
يتوجب على مؤسسات الرعاية الطبية إجراء الصيانة الدورية لمعداتها الطبية مثل الأجهزة التقنية والتكنولوجية والتخلُص مما هو قديم منها، إذ يتوجب تعطيل حسابات المُستخدِمين للموظفين السابقين، والتخلُص بشكل صحيح من الأقراص الصلبة التالفة بحيث تُصبح غير قابلة لاسترجاع أي بيانات من خلالها، كما يتوجب إلغاء تثبيت أية برامج وأنظمة قديمة لا يتم استخدامها.
منع الوصول عن بعد
لا يتوجب أن يتم السماح لموظفي وطواقم مؤسسات الرعاية الطبية إمكانية الوصول إلى أجهزتهم الموجودة في المؤسسة عن بعد، إذ يجب أن يكون هناك بروتوكول مُحدد للوصول إلى موارد المؤسسة، كأن يكون الوصول مُراقباً ومُعتمداً مُسبقاً وأن يكون لغايات الصيانة فقط ولا يُمكن من خلاله نقل أية بيانات أو معلومات، كما يتوجب على مسؤولي أنظمة الأمن السيبراني في المؤسسات الصحية ضبط أجهزة التوجيه وأجهزة الاتصال في مؤسساتهم بما يتوافق مع البروتوكول الأمني المُعتمد لغايات الاتصال بالأجهزة عن بعد.
منع الوصول عن بعد
لا يتوجب أن يتم السماح لموظفي وطواقم مؤسسات الرعاية الطبية إمكانية الوصول إلى أجهزتهم الموجودة في المؤسسة عن بعد، إذ يجب أن يكون هناك بروتوكول مُحدد للوصول إلى موارد المؤسسة، كأن يكون الوصول مُراقباً ومُعتمداً مُسبقاً وأن يكون لغايات الصيانة فقط ولا يُمكن من خلاله نقل أية بيانات أو معلومات، كما يتوجب على مسؤولي أنظمة الأمن السيبراني في المؤسسات الصحية ضبط أجهزة التوجيه وأجهزة الاتصال في مؤسساتهم بما يتوافق مع البروتوكول الأمني المُعتمد لغايات الاتصال بالأجهزة عن بعد.
التحقق من وصول البيانات للشخص الصحيح
من الثغرات الكبيرة التي تحدث في مجال الأمن السيبراني الخاص بالقطاع الصحي هو وصول البيانات والمعلومات الخاصة بمؤسسات الرعاية الطبية إلى أشخاص غير مُصرّح لهم الاطلاع عليها وعن طريق الخطأ، وذلك من خلال إرسال رسائل بريد إلكتروني إلى أولئك الأشخاص بدلاً من إرسالها إلى المعنيين، لذا فإنه يتوجب الانتباه وبشكل دقيق إلى جهات الاتصال التي يتم تضمينها في قائمة مُستلمي أية رسالة بريد إلكتروني تتضمن أياً من المعلومات الخاصة بمؤسسات الرعاية الطبية وذلك تجنُباً لتعرُضها للسرقة والاختراق.
تحضير إجراءات الاستجابة لهجوم محتمل
يتوجب على مؤسسات الرعاية الصحية أن تكون جاهزة وبشكل دائم للتعامُل مع أي حالات هجمات سيبرانية يُمكن أن تحصل على أي من أجهزتها المُتضمنة لبياناتها ومعلوماتها، إذ يجب وضع بروتوكول يتضمن إجراءات إصلاح واستجابة عند حدوث أي تهديد أمن سيبراني كعزل الجهاز الذي تعرض للاختراق وفصله عن الشبكة وغيرها من الإجراءات التي تضمن سلامة المؤسسة ككل.
إجراءات أخرى لحماية بيانات الرعاية الصحية من السرقة
فيما يأتي بعض من الإجراءات الأخرى التي من شأنها الحفاظ على أمن وسلامة بيانات مؤسسات الرعاية الصحية وحمايتها من السرقة:
.png)
شراء معدات وأجهزة آمنة سيبرانياً، إذ يتوجب على مؤسسات قطاع الرعاية الصحية شراء المعدات والأجهزة التي تكون موافقة لمعايير الأمن السيبراني، إذ تُوفر بعض الشركات المُصنعة لهذه الأجهزة دليلاً شاملاً بذلك.
تشفير المعلومات والبيانات، إذ يُوصى باستخدام برامج التشفير المختلفة أثناء إرسال أية معلومات خاصة بمؤسسات الرعاية الطبية، إذ تقوم هذه البرامج بتحويل البيانات إلى كود غير مفهوم قبل إرسالها ثم يعمل البرنامج نفسه على إعادتها إلى صيغتها الصحيحة عند وصولها لدى الطرف المُستقبِل.
الانتباه للسجلات الورقية، إذ لا يُشترط أن يتم الوصول إلى بيانات الرعاية الصحية وسرقتها من خلال هجمات الأمن السيبراني فقط، حيث يُمكن أن يتم اختراق هذه البيانات من خلال السجلات والملفات الورقية، لذا يتوجب أن يتم وبعناية حفظ هذه السجلات في مأمن.
تطبيق أنظمة الأذونات بطريقة صحيحة بحيث يُعطى لكل مُستخدِم إمكانية الوصول إلى ما يتناسب مع موقعه في المؤسسة.
تنظيم تخزين وحفظ المعلومات وعدم حفظها جميعها في مكان أو على جهاز واحد.
التحقق من تراخيص البرمجيات والأنظمة، إذ يتوجب على المؤسسات الصحية التحقُق من أنّ جميع الأنظمة والتطبيقات العاملة هي تطبيقات مرخصة أو حتى إذا كانت تحتاج لتجديد الترخيص، حيث أنّ هذه التراخيص تجعل التطبيقات تعمل بشكل قانوني ويمنحها مميزات أمان إضافية.
استخدام البرامج الأمنية التقنية والفنية كبرامج مكافحة الفيروسات وبرامج إدارة الثغرات الأمنية وأجهزة مكافحة السرقة وغيرها ممّا من شأنه الحفاظ على أمن البيانات ومنع تعرضها للسرقة أو الاختراق.