هل يترك المتعاقدون والموردون لديك بابك الخلفي مفتوحًا للهجوم؟
لا تقتصر المخاطر السيبرانية في مجال الرعاية الصحية على مراكز البيانات، أو محطات التمريض، أو بيانات الصحة الشخصية التي تتدفق ذهابًا وإيابًا بين شركات التأمين الصحي، ومنظمات تبادل المعلومات الصحية، والهيئات الحكومية، والمرضى. إن شبكة المخاطر أكبر من ذلك بكثير.
وتشمل هذه الشبكة آلاف الموردين والبائعين والشركاء الذين يمتدون عبر العالم. وكل شيء بدءًا من عمليات الأعمال ومصادر تكنولوجيا المعلومات الخارجية في الهند، إلى سلاسل توريد التصنيع المعقدة للمعدات الطبية في الصين والبرازيل وألمانيا والمملكة المتحدة وأستراليا، يمكن أن يقع تحت مظلة نقاط الوصول المعرضة للمخاطر الإلكترونية.
ومن المثير للقلق أن شبكة المخاطر هذه في مجال الرعاية الصحية تشمل أيضاً الشركة التي تقدم الوجبات الساخنة للمرضى، والطعام والقهوة لمقاصف المستشفيات، فضلاً عن شركات الأدوية التي تجري التجارب السريرية، وشركات الهندسة الطبية الحيوية التي توفر الأطراف الاصطناعية، أو الأجهزة الطبية القابلة للزرع التي تغادر المستشفى مع مريض على قيد الحياة. وأي شخص لديه إمكانية الوصول الفعلي إلى مواقعك، أو الوصول إلى شبكة تكنولوجيا المعلومات الخاصة بك، أو الذي يعالج بياناتك، بغض النظر عما إذا كان قد رأى أحد مرضاك أم لا، يمكن أن يعرض عملك للخطر.
أرقام مخيفة في البيانات
تم إصدار تقرير بحثي حول مؤشر ضعف البائعين بواسطة بومغار أظهرت دراسة أن الخروقات التي تحدث من أطراف ثالثة تمثل ثلثي العدد الإجمالي للخروقات السيبرانية المبلغ عنها. ووجدت الدراسة أن 46% فقط من الشركات الأمريكية قالت إنها تعرف عدد عمليات تسجيل الدخول التي يمكن أن تُعزى إلى البائعين، وأن أقل من 51% تطبق سياسات حول وصول الأطراف الثالثة. وعلاوة على ذلك، قال 69% من المستجيبين إنهم قطعا or ربما تعرضت لخرق أمني تم من خلال وصول البائع في العام الماضي.
دعونا لا ننسى أن خرق الهدف كان سبب هذه الحادثة ضعف أمن أحد موردي أنظمة التدفئة والتهوية وتكييف الهواء لدى شركة تارجت، حيث كلف الأمر شركة تارجت أكثر من 40 مليون دولار وفقد وظائف كل من في فريق القيادة، فضلاً عن الأضرار الدائمة التي لحقت بسمعة المتجر. بالإضافة إلى ذلك، أدى ذلك إلى رفع دعويين قضائيتين مكلفتين، واحدة من قبل العملاء والأخرى من قبل المستثمرين الغاضبين من خسارة سعر سهم تارجت في أعقاب الحادث.
يتفق خبراء الأمن على أن الخطر الذي تشكله الأطراف الثالثة ليس كبيرا فحسب، بل إنه يتزايد كل عام. غارتنر ذكرت شركة مايكروسوفت في تقريرها السحري الصادر في يونيو 2017 حول إدارة مخاطر البائعين في مجال تكنولوجيا المعلومات أنه بحلول عام 2020، سوف تعامل 75% من شركات فورتشن جلوبال 500 إدارة مخاطر البائعين كمبادرة على مستوى مجلس الإدارة للتخفيف من مخاطر العلامة التجارية والسمعة.
إذن لماذا يركز الرؤساء التنفيذيون لأنظمة الرعاية الصحية على أمور أخرى؟ ربما يرجع ذلك إلى أن صناعة الرعاية الصحية كثيرة جدا إن التحديات التي تواجهها الشركات، وإدارة مخاطر الموردين من جهات خارجية تأتي في مرتبة متأخرة في القائمة. وقد يكون السبب أيضًا هو أن عددًا قليلًا جدًا من مؤسسات تقديم الرعاية الصحية تظهر في قائمة فورتشن 500 المرموقة، أو قد يكون السبب ببساطة أن مديري الاتصالات ومديري العلاقات المؤسسية ومديري أمن المعلومات في مجال الرعاية الصحية لم ينقلوا الرسالة إلى الرئيس التنفيذي للشركة بعد. وفي كلتا الحالتين، يجب عليهم إعطاء الأولوية لاستراتيجيات إدارة المخاطر الخاصة بهم أو قد يتعرضون لأضرار لا يمكن إصلاحها.
