هل يترك المتعاقدون والموردون لديك بابك الخلفي مفتوحًا للهجوم؟
لا تقتصر المخاطر السيبرانية في مجال الرعاية الصحية على مراكز البيانات، أو محطات التمريض، أو بيانات الصحة الشخصية التي تتدفق ذهابًا وإيابًا بين شركات التأمين الصحي، ومنظمات تبادل المعلومات الصحية، والهيئات الحكومية، والمرضى. إن شبكة المخاطر أكبر من ذلك بكثير.
وتشمل هذه الشبكة آلاف الموردين والبائعين والشركاء الذين يمتدون عبر العالم. وكل شيء بدءًا من عمليات الأعمال ومصادر تكنولوجيا المعلومات الخارجية في الهند، إلى سلاسل توريد التصنيع المعقدة للمعدات الطبية في الصين والبرازيل وألمانيا والمملكة المتحدة وأستراليا، يمكن أن يقع تحت مظلة نقاط الوصول المعرضة للمخاطر الإلكترونية.
ومن المثير للقلق أن شبكة المخاطر هذه في مجال الرعاية الصحية تشمل أيضاً الشركة التي تقدم الوجبات الساخنة للمرضى، والطعام والقهوة لمقاصف المستشفيات، فضلاً عن شركات الأدوية التي تجري التجارب السريرية، وشركات الهندسة الطبية الحيوية التي توفر الأطراف الاصطناعية، أو الأجهزة الطبية القابلة للزرع التي تغادر المستشفى مع مريض على قيد الحياة. وأي شخص لديه إمكانية الوصول الفعلي إلى مواقعك، أو الوصول إلى شبكة تكنولوجيا المعلومات الخاصة بك، أو الذي يعالج بياناتك، بغض النظر عما إذا كان قد رأى أحد مرضاك أم لا، يمكن أن يعرض عملك للخطر.
أرقام مخيفة في البيانات
تم إصدار تقرير بحثي حول مؤشر ضعف البائعين بواسطة بومغار أظهرت دراسة أن الاختراقات التي تحدث من جهات خارجية تُمثل ثلثي إجمالي عدد الاختراقات الإلكترونية المُبلغ عنها. ووجدت الدراسة أن 46% فقط من الشركات الأمريكية أفادت بمعرفتها بعدد عمليات تسجيل الدخول التي يُمكن نسبها إلى الموردين، وأن أقل من 51% منها تُطبق سياسات تتعلق بوصول الجهات الخارجية. علاوة على ذلك، أفاد 69% من المُستجيبين بأنهم تعرضوا، بشكل مؤكد أو مُحتمل، لاختراق أمني حدث من خلال وصول الموردين خلال العام الماضي.
دعونا لا ننسى أن خرق الهدف كان سبب هذه الحادثة ضعف أمن أحد موردي أنظمة التدفئة والتهوية وتكييف الهواء لدى شركة تارجت، حيث كلف الأمر شركة تارجت أكثر من 40 مليون دولار وفقد وظائف كل من في فريق القيادة، فضلاً عن الأضرار الدائمة التي لحقت بسمعة المتجر. بالإضافة إلى ذلك، أدى ذلك إلى رفع دعويين قضائيتين مكلفتين، واحدة من قبل العملاء والأخرى من قبل المستثمرين الغاضبين من خسارة سعر سهم تارجت في أعقاب الحادث.
يتفق خبراء الأمن على أن الخطر الذي تشكله الأطراف الثالثة ليس كبيرا فحسب، بل إنه يتزايد كل عام. غارتنر ذكرت شركة مايكروسوفت في تقريرها السحري الصادر في يونيو 2017 حول إدارة مخاطر البائعين في مجال تكنولوجيا المعلومات أنه بحلول عام 2020، سوف تعامل 75% من شركات فورتشن جلوبال 500 إدارة مخاطر البائعين كمبادرة على مستوى مجلس الإدارة للتخفيف من مخاطر العلامة التجارية والسمعة.
فلماذا إذًا يركز الرؤساء التنفيذيون لأنظمة الرعاية الصحية على أمور أخرى؟ ربما يعود ذلك إلى كثرة التحديات التي يواجهها قطاع الرعاية الصحية، وأن إدارة مخاطر الموردين الخارجيين (TPVRM) تأتي في مرتبة متأخرة. أو ربما يعود ذلك إلى قلة عدد مؤسسات تقديم الرعاية الصحية المدرجة في قائمة فورتشن 500 المرموقة، أو ربما ببساطة إلى أن رؤساء الاتصالات التسويقية، ومسؤولي المخاطر التعاقدية، ومسؤولي أمن المعلومات في قطاع الرعاية الصحية لم يُوصلوا الرسالة إلى رؤساءهم التنفيذيين بعد. في كلتا الحالتين، يجب عليهم إعطاء الأولوية لاستراتيجيات إدارة المخاطر، وإلا فقد يتعرضون لضرر لا يمكن إصلاحه.
