سيسجل عام 2024 في التاريخ باعتباره عامًا آخر فاصلًا في مجال الأمن السيبراني في مجال الرعاية الصحية. مع الإبلاغ عن 386 هجومًا إلكترونيًا في مجال الرعاية الصحية بحلول بداية شهر أكتوبر، فإن هذا العام هو في الهدف من المتوقع أن يتجاوز هذا الرقم حتى عام 2023، والذي كان في حد ذاته عامًا رهيبًا فيما يتعلق بالهجمات الإلكترونية والاختراقات في مجال الرعاية الصحية.
إنّ تقرير الأمن السيبراني لشركة بونيمون للرعاية الصحية لعام 2024 وتدعم هذه التوقعات. فقد وجد أن 92% من المنظمات تعرضت لهجوم إلكتروني في الأشهر الاثني عشر الماضية - ارتفاعًا من 12% في عام 88. وذكر التقرير أيضًا أن تكلفة خرق بيانات الرعاية الصحية تجاوزت 2023 مليون دولار في عام 4.7، مما يجعل الرعاية الصحية الصناعة الأكثر تكلفة على الإطلاق من حيث تكاليف تنظيف برامج الفدية وغيرها من الهجمات الإلكترونية.
إنّ مكتب التحقيقات الفدراليصرحت شركة أمازون، عبر مركز شكاوى الجرائم على الإنترنت (IC3)، أن الرعاية الصحية أصبحت الآن الهدف الرئيسي للصناعة لعصابات برامج الفدية. مكتب الحقوق المدنية التابع لوزارة الصحة والخدمات الإنسانية الأمريكية كما تعترف (HHS OCR) أيضًا بأن هجمات برامج الفدية ضد الصناعة ارتفعت بنسبة مذهلة بلغت 278% منذ عام 2020.
هجومان إلكترونيان بارزان في قطاع الرعاية الصحية
وسيسجل التاريخ أيضًا عام 2024 باعتباره عام الهجوم السيبراني الأكبر والأكثر تدميرًا والأغلى تكلفة على الرعاية الصحية حتى الآن.
تغيير الهجوم الإلكتروني والاختراق في الرعاية الصحية
في فبراير 2024، هاجمت مجموعة برامج الفدية الروسية ALPHV/BlackCat واخترقت مجموعة الصحة المتحدة (يو اتش جي) تغيير الرعاية الصحيةأثر الهجوم على كل أمريكي تقريبًا، مما أدى إلى كشف المعلومات الصحية المحمية (PHI) لما لا يقل عن 150 مليون فرد.
عندما تغيير هجوم الرعاية الصحية أصبحت شركة Anthem Health حاملة الرقم القياسي الجديد، حيث ضاعفت فعليًا أرقام الاختراق من حاملة اللقب السابقة - Anthem Health - والتي كشفت في عام 2014 عن معلومات صحية شخصية لـ 78.8 مليون فرد في قضية تاريخية.
على الرغم من دفع فدية مذهلة قدرها 22 مليون دولار للمجرمين، لم تتمكن UHG من استرداد بياناتها. ثم، وفقًا للرئيس التنفيذي لشركة UHG، أندرو ويتي أثناء ذلك مؤتمرشهادة عدلية في الأول من مايو, في عام 2024، تعرضت الشركة لمطالبة ثانية من برنامج الفدية بعدم نشر معلومات صحية شخصية مسروقة. وفي جلسات الاستماع، وصف المشرعون الأمريكيون هجوم UHG Change Healthcare بأنه "الهجوم الإلكتروني الأكثر أهمية وتأثيرًا على نظام الرعاية الصحية الأمريكي في التاريخ الأمريكي".
لقد تسبب هجوم Change Healthcare في تعطيل عمليات الفوترة والدفع في الرعاية الصحية بشكل خطير لعدة أشهر. كما تسبب في تراكم هائل من المطالبات غير المدفوعة. كما تسبب في مشاكل في الموافقات على التأمين وتعويضات الرعاية الطبية. كما تسبب في فوضى مالية وتشغيلية غير مسبوقة لمئات المرافق الطبية والأطباء والصيدليات. لم يتمكن المرضى من الحصول على الموافقة على الإجراءات المجدولة أو استلام أدويتهم. كما وضع مئات من مقدمي الرعاية الصحية الصغيرة والريفية في خطر الإغلاق، مما قد يحرم مجتمعات بأكملها من خدمات الرعاية الصحية الثلاثية.
هجوم إلكتروني واختراق لشركة Synnovis
وفي وقت سابق من هذا العام، وقع هجوم إلكتروني آخر شديد التدمير في المملكة المتحدة. ففي شهر يوليو/تموز، سينوفيستعرضت شركة SYNLAB، وهي شراكة مشتركة في مجال علم الأمراض بين شركة Guy's and St Thomas' NHS Foundation Trust وKing's College Hospitals NHS Trust، لهجوم برامج الفدية. أثر الهجوم على معظم مقدمي خدمات هيئة الخدمات الصحية الوطنية في جنوب لندن، حيث تم إلغاء 800 عملية جراحية منقذة للحياة وإعادة جدولة أكثر من ألف موعد آخر قسراً. كما أدى ذلك إلى تحويل المستشفيات وإعادة توجيه سيارات الإسعاف الطارئة إلى الجانب الآخر من لندن أو إلى المقاطعات الرئيسية.
وقد نسب الهجوم الإلكتروني لشركة Synnovis إلى عصابة Qilin، وهي عصابة إجرامية روسية تستخدم برامج الفدية كخدمة (RaaS). وقد طالبت Qilin بدفع 50 مليون دولار كدفعة ابتزاز، لكن شركة Synnovic لم تدفعها بسبب سياسة الحكومة البريطانية التي تحظر دفع مبالغ ابتزاز للإرهابيين. وقد أدى هذا الهجوم إلى شل الخدمات في مستشفيات لندن لعدة أسابيع.
وفقا لتقرير صدر مؤخرا من قبل بلومبرغفي رده على أسئلة حول الاختراق من خلال حساب مراسلة مرتبط منذ فترة طويلة بالعصابة، قال ممثل القراصنة إنهم يشعرون بالأسف الشديد للأشخاص الذين عانوا لكنهم رفضوا تحمل المسؤولية عن التكلفة البشرية. وأشاروا إلى أن "الهجوم كان مبررًا لأنه كان انتقامًا لتورط الحكومة البريطانية في حروب غير محددة".
في النصف الأول من عام 2024، دفع ضحايا برامج الفدية مبالغ مذهلة 459.8 مليون دولار إن هذه الهجمات الإلكترونية تشكل تهديدًا كبيرًا لمجرمي الإنترنت، مما يمهد الطريق لعام قد يحطم الأرقام القياسية. كما تعمل مدفوعات الابتزاز هذه على تغذية نمو صناعة برامج الفدية. ومن المرجح أن تزداد الهجمات سوءًا في المستقبل طالما استمرت مؤسسات الرعاية الصحية في دفع الفدية.
خيط مشترك: مخاطر الطرف الثالث السيبرانية
تشير الهجمات الإلكترونية التي شنتها Change Healthcare وSynovis إلى اتجاه أوسع في مجال الرعاية الصحية، حيث تستهدف الهجمات مقدمي الرعاية الصحية من جهات خارجية أو شركاء الأعمال. وفقًا لـ جون ريجي، المستشار الوطني للأمن السيبراني والمخاطر جمعية المستشفيات الأمريكية (آها) 58% من بين 77.3 مليون فرد تأثروا بانتهاكات البيانات في عام 2023 كان سببها هجوم على أحد شركاء الأعمال في مجال الرعاية الصحية - بزيادة قدرها 287٪ مقارنة بعام 2022. بناءً على الحجم الهائل وتأثير كل من Change Healthcare و Synnovis، فمن المرجح أن تكون هذه النسبة أعلى بمجرد توفر البيانات النهائية لعام 2024. بعبارة أخرى، لا يتعرض دافعو ومقدمو الرعاية الصحية للهجوم فحسب. بل يتعرض شركاؤهم التجاريون الآن أيضًا لاستهداف نشط.
على مدى السنوات الأخيرة، نجحت المستشفيات ومقدمو الخدمات الآخرون في تحسين وضعهم الأمني بشكل كبير من خلال تحليل المخاطر بشكل أفضل، ومعالجة المخاطر، وتنفيذ ضوابط الأمن. ومع ذلك، بشكل عام، تستمر الهجمات الإلكترونية على الرعاية الصحية في التزايد. ويرجع هذا إلى حد كبير إلى أن مجرمي الإنترنت والدول القومية المنبوذة يركزون على الحلقة الأضعف - العدد الهائل من الأطراف الثالثة المشاركة الآن في تقديم الرعاية الصحية الحديثة.
وبحسب ريجي، "ببساطة، قام "الأشرار" - مجموعات برامج الفدية الأجنبية، الناطقة بالروسية في المقام الأول - برسم خريطة لقطاع الرعاية الصحية وتحديد العقد الاستراتيجية الرئيسية للهجوم والتي من شأنها أن توفر التأثير الأكثر إرباكًا والوصول عبر قطاع الرعاية الصحية. تترجم هذه "العقد الاستراتيجية" إلى مقدمي خدمات وتكنولوجيا تابعين لجهات خارجية في كل مكان. وكلما كان التأثير أكثر انتشارًا وخطورة، كلما زاد طلب دفع الفدية وزادت احتمالية استسلام الضحية لدفع الفدية".
لماذا نخترق أو نهاجم 1,000 مستشفى عندما يستطيع أحد الجهات الفاعلة في التهديد الإلكتروني استهداف شريك تجاري واحد مشترك والحصول على جميع البيانات أو تعطيل جميع المستشفيات التي تعتمد على هذا المزود الخارجي المهم للمهمة؟
الهدف: تعظيم الاضطراب
إن الهجمات الإلكترونية على الرعاية الصحية تهدف إلى تعظيم الاضطراب، ليس فقط لتعظيم الضغط على المدفوعات، بل وأيضاً لإحداث الضرر والفوضى في البنية الأساسية الوطنية الحيوية في البلدان المعارضة لموقف روسيا التوسعي في السياسة الخارجية، أو في حالة الصين أو إيران، لتحقيق ميزة سياسية. وفي مجموعها، تقف هذه الدول الثلاث المعادية للديمقراطيات الليبرالية الغربية إما وراء أو تدعم وتحمي الجهات الإجرامية المتورطة في غالبية الهجمات الإلكترونية على الرعاية الصحية في جميع أنحاء العالم.
الحلقة الضعيفة: نظام بيئي معقد ذو رؤية محدودة وإدارة مجزأة
ولكن كيف أصبح الطرف الثالث الآن الحلقة الأضعف في أمن الرعاية الصحية؟ الحقيقة هي أن الرعاية الصحية الحديثة تعتمد على آلاف البائعين والموردين ومقدمي الخدمات ومقدمي خدمات تكنولوجيا المعلومات والمعالجة التجارية. وكل شيء من السجلات الطبية الإلكترونية الأساسية وأنظمة تخطيط موارد المؤسسات مثل Epic وCerner-Oracle إلى مئات الشركات المصنعة للأجهزة الطبية المختلفة وشركات الإدارة التابعة لجهات خارجية أصبحت الآن لاعباً في النظام البيئي الحديث للرعاية الصحية الرقمية.
إن قائمة البائعين - شركات التأمين، والفواتير والتحصيلات، وموردي المعدات الطبية - الذين لديهم إمكانية الوصول عن بعد إلى شبكات المستشفيات لا تنتهي تقريبًا. لا تمتلك معظم مؤسسات تقديم الرعاية الصحية فهمًا جيدًا أو جردًا دقيقًا لمن أو ما لديه إمكانية الوصول إلى شبكات المستشفيات الخاصة بهم، ناهيك عن المخاطر التي قد يفرضها كل مجموعة أو نظام أو جهاز. إن إنترنت الأشياء مشكلة خاصة، حيث يمكن للمجرمين اختراق العديد من أجهزة إنترنت الأشياء غير المرقعة وغير الآمنة للرعاية الصحية بسهولة.
تغيير متجه الهجوم على الرعاية الصحية
كان هجوم Change Healthcare نتيجة لفشل البائع، Optum (جزء من UHG)، في استخدام المصادقة متعددة العوامل (MFA) أو إدارة الوصول المتميز (PAM) على خادم انتقالي قديم يستخدمه مسؤولي النظام لإدارة بيئة Change. يُعتقد أن Optum لم تكن تمتلك ترخيصًا للبرامج لخادم الانتقال الذي يعمل بنظام تشغيل قديم ورثته كجزء من عملية الاستحواذ على Change Healthcare. ونظرًا لأن بيئة Change Healthcare بأكملها كانت في طور الاستبدال بتطبيقات جديدة مبنية وفقًا لمعايير Optum، فقد اعتُبرت المخاطر قصيرة المدى مقبولة، بدلاً من إنفاق الوقت والمال لبناء خادم انتقالي مؤقت جديد لا يمكن الوصول إليه إلا من قبل عدد صغير من الموظفين الداخليين الموثوق بهم. بالإضافة إلى ذلك، أعاد أحد المستخدمين المعتمدين لهذا النظام استخدام كلمة مرور على حساب آخر تم اختراقه سابقًا. وبقليل من البحث، يمكن للمتسللين الجمع بين الاثنين والحصول على حق الوصول إلى بيئة Change Healthcare بالكامل.
ناقل هجوم سينوفيس
وعلى النقيض من ذلك، يبدو أن هجوم Synnovis استغل بيانات اعتماد من أحد هجومين سابقين شنتهما مجموعة روسية مختلفة، Black Basta، ضد الشركة الأم Synlab. ومن الواضح أن بيانات الاعتماد - بما في ذلك كلمات مرور VPN وMFA - لم تتم إعادة تعيينها. كما لم تكن بيئة Synlab آمنة حقًا ضد البرامج الضارة الشائعة والهجمات الأخرى.
كان الأمر الأكثر إثارة للقلق هو أن شركة Synlab-Synnovis كانت لديها خطط سيئة للغاية لاستمرارية الأعمال والتعافي من الكوارث والاستجابة للحوادث الأمنية (BCP/DR/SIR). وقد أدى هذا إلى فقدان أسابيع لاستعادة الأنظمة. وهذا أمر غير مقبول على الإطلاق في صناعة "حاسمة للعمليات" مثل الرعاية الصحية، حيث يمكن أن تؤدي حتى الانقطاعات القصيرة إلى زيادات هائلة في معدلات الإصابة بالأمراض والوفيات بين المرضى.
الدروس المستفادة واللوائح الأكثر صرامة
ومن الواضح أن الدرس المستفاد هنا هو أن مقدمي خدمات الرعاية الصحية يجب أن يبذلوا المزيد من الجهد.
NIS2 وCAF وDSPT المتوافق مع CAF في المملكة المتحدة
في أوروبا، الامتثال لـ توجيه NIS2 يعد هذا أمرًا بالغ الأهمية. في المملكة المتحدة، يترجم هذا إلى اعتماد المركز الوطني للأمن السيبراني (المركز الوطني للأمن السيبراني) إطار عمل تقييم الأمن السيبراني (CAF)، والتي تقدم خدمات الصحة الوطنية في إنجلترا مجموعة أدوات حماية وأمن البيانات (DSPT) يتماشى الآن مع. ( منصة سيليرا يدعم أيضًا CAF وDSPT الامتثال للمملكة المتحدة (معايير إعداد التقارير ويتم استخدامها على نطاق واسع مع مؤسسات NHS في المملكة المتحدة.)
HIPAA و HISAA في الولايات المتحدة
في الولايات المتحدة، قانون التأمين الصحي وقابلية التأمين تحتاج الكيانات الخاضعة لقانون التأمين الصحي المحمول والمساءلة (HIPAA) إلى إلزام مئات الأطراف الثالثة بالالتزام بنفس ممارسات وضوابط الأمن السيبراني التي يتعين على المستشفيات نفسها الالتزام بها. وهذا يعني إجراء عمليات تدقيق أمنية أكثر انتظامًا وشمولاً لجميع الأطراف الثالثة، وخاصة بالنسبة للبائعين الأصغر حجمًا الذين قد لا يكون لديهم شهادة ISO 27001 أو شهادة SOC2 التي يمكن استخدامها لإثبات قدرتهم على تلبية أهداف التحكم الرئيسية للكيان الخاضع للرقابة المعنية.
اللوائح الجديدة للرعاية الصحية في الولايات المتحدة، مثل قانون أمن البنية التحتية الصحية والمساءلة ومن المرجح أيضًا أن يتم تقديم قانون HISAA في عام 2025. ويركز هذا التشريع على تحويل الأمن السيبراني في مجال الرعاية الصحية من خلال وضع معايير دنيا وتوفير الدعم المالي الذي تشتد الحاجة إليه لمقدمي الخدمة الذين يحتاجون إلى المساعدة في تعزيز وتحسين قدراتهم في مجال الأمن السيبراني.
لا يزال قانون HISSA في مرحلة الصياغة في الوقت الحاضر ولكن من المرجح أن يفرض معايير أكثر صرامة للأمن السيبراني، ويتطلب عمليات التدقيق واختبارات الإجهاد، ويؤدي إلى عواقب وخيمة لعدم الامتثال مع توفير الدعم المالي لمنظمات الرعاية الصحية.
لا شك أن HISSA سوف تساعد في مواصلة تحريك الإبرة في الولايات المتحدة، تماماً كما بدأ NIS2 وCAF بالفعل في القيام بذلك في المملكة المتحدة. ومع ذلك، فمن غير المرجح أن تتضاءل التهديدات من الجهات الفاعلة الإجرامية والمنبوذة في الدولة، على الأقل في الأمد القريب.
تهديدات إنترنت الأشياء في مجال الرعاية الصحية المتنامية باستمرار
لا يزال مشهد التهديدات السيبرانية في مجال الرعاية الصحية يتوسع بسرعة. ومع تبني ونشر تقنيات الرعاية الصحية الجديدة، بما في ذلك الذكاء الاصطناعي، والصحة المتنقلة، والأجهزة القابلة للارتداء، وعدد متزايد من الأجهزة الطبية المتصلة، فإن تأمين الرعاية الصحية من التهديدات السيبرانية السريعة يبدو وكأنه لعبة مستمرة من القط والفأر أو ضرب الخلد.
تكافح فرق تكنولوجيا المعلومات في مجال الرعاية الصحية وأمن المعلومات والفرق الطبية الحيوية في إدارة دورات التعرف والحماية والكشف والاستجابة والتعافي التي لا تنتهي على ما يبدو مع اكتشاف مخاطر وثغرات أمنية جديدة. ويجب بعد ذلك معالجة هذه الثغرات والمخاطر إما من خلال الإصلاح أو تنفيذ ضوابط أمنية تعويضية. وفي حين تساعد الامتثال في تركيز الاهتمام والموارد المطلوبة للأمن، فإن المحرك الرئيسي سيكون دائمًا المخاطر والحاجة إلى تحسين الرؤية.
هل تبحث عن أفكار جديدة أو مساعدة في تحسين أمن الإنترنت للرعاية الصحية والأجهزة الطبية المتصلة في عام 2025؟ إذا كان الأمر كذلك، فإن خبراء Cylera هنا لمساعدتك.
اتصل بنا اليوم، اكتشف كيف يمكن لمنصة Cylera تحسين نضج الأمن السيبراني لديك بشكل ملحوظ، وتقليل المخاطر، والمساعدة في ضمان تقديم رعاية آمنة وموثوقة. فلنعمل معًا في عام 2025 لخلق مستقبل أكثر أمانًا للرعاية الصحية.
