إدارة مخاطر الطرف الثالث في أجهزة إنترنت الأشياء الطبية

تواجه مؤسستكم الصحية تحديًا غير مسبوق: فقد أدى النمو الهائل في علاقاتها مع الموردين الخارجيين إلى زيادة نقاط الضعف في شبكات الرعاية الصحية. ومع تزايد اعتماد الرعاية الصحية على الموردين الخارجيين لتوفير أجهزة وخدمات إنترنت الأشياء الطبية الحيوية، يستغل المهاجمون بشكل متزايد وصول الجهات الخارجية كوسيلة رئيسية لاختراق شبكات الرعاية الصحية.

تكشف دراسات حديثة في هذا المجال عن ثغرات مُقلقة في الأمن السيبراني للرعاية الصحية فيما يتعلق بإدارة مخاطر الموردين. في دراسة معيارية للأمن السيبراني للرعاية الصحية لعام 2025، صنّف 65% من المشاركين "متطلبات الأمن السيبراني للبائعين/الموردين"كهدف أساسي، في حين صنفت ECRI أهم 10 مخاطر للتكنولوجيا الصحية لعام 2025 "بائعي التكنولوجيا المعرضين للخطر وتهديدات الأمن السيبراني" في المرتبة الثالثة من حيث الأهمية المخاطر التي تواجه قطاع الرعاية الصحية.

يتطلب هذا التهديد المتزايد اهتمامكم العاجل واستراتيجيات متطورة لإدارة المخاطر. دعونا نستكشف بعض الأساليب العملية للتعامل مع هذا التهديد. إدارة مخاطر الطرف الثالث لإنترنت الأشياء الطبية التي تحمي رعاية المرضى دون تعطيل سير العمل السريري الخاص بك.

المخاطر الخفية لأنظمة الموردين الخارجيين

العمل ضمن أنظمة بيئية معقدة تتضمن مئات العلاقات مع جهات خارجية يخلق فرصًا لمخاطر خفية. تتضاعف مخاطر الجهات الخارجية المرتبطة بإنترنت الأشياء الطبية (IoMT) لعدة أسباب، منها:

• تعاني العديد من الأجهزة الطبية من ضعف ضوابط الأمان بسبب البرامج القديمة، والتشفير غير الكافي، ونقص تدابير الأمن السيبراني المضمنة - حيث يعطي المصنعون الأولوية للوظائف على الأمان.
• غالبًا ما يحتفظ البائعون الخارجيون بإمكانية الوصول عن بُعد إلى الشبكات للصيانة والتحديثات وخدمات الدعم، مما يؤدي إلى إنشاء نقاط دخول ثابتة تتجاوز دفاعات محيطك التقليدية.

عندما تفتقر نقاط الوصول هذه إلى ضوابط أمنية مناسبة - مثل المصادقة متعددة العوامل، أو تقسيم الشبكة، أو المراقبة المستمرة - يستهدفها مجرمو الإنترنت لإنشاء موطئ قدم داخل شبكتك.

أجهزة إنترنت الأشياء الطبية (IoMT): أهداف سهلة للمهاجمين السيبرانيين

تُقدّم أجهزة إنترنت الأشياء الطبية (IoMT) مكوناتٍ هشةً ضمن منظومات الطرف الثالث. صُمّمت معظم أجهزة إنترنت الأشياء الطبية (IoMT) مع التركيز بشكلٍ رئيسي على الوظائف والامتثال للوائح التنظيمية، مما قد يُؤثر سلبًا على الأمن السيبراني. غالبًا ما تحتوي هذه الأجهزة على بيانات اعتماد افتراضية، وبرامج ثابتة غير مُرقّعة، وعزل ضعيف. تُؤدي هذه المشكلات إلى ضعف أمان أجهزة إنترنت الأشياء الطبية (IoMT) التابعة لجهات خارجية.

يُوسّع انتشار الأجهزة الطبية المتصلة - من مضخات التسريب وأجهزة مراقبة المرضى إلى أنظمة التصوير وأجهزة التحكم الذكية في المباني - نطاقَ الهجوم بشكل كبير. يشمل إنترنت الأشياء (IoMT) إنترنت الأشياء للرعاية الصحية والأجهزة الطبية المتصلة، مثل مضخات التسريب وأجهزة التصوير وأجهزة مراقبة المرضى. تُشكّل جميع أجهزة إنترنت الأشياء التابعة لجهات خارجية هذه نقاط دخول إضافية يُمكن للمهاجمين استغلالها. يستهدف مجرمو الإنترنت هذه الأجهزة تحديدًا لأنهم يدركون أنك غالبًا ما تواجه صعوبة في الحفاظ على إمكانية الوصول إلى مخزون إنترنت الأشياء (IoMT) الخاص بك، مما يُبقي العديد من الأجهزة دون مراقبة أو حماية.

انتهاكات الجهات الخارجية في مجال الرعاية الصحية: دراسات الحالة

تُظهر الحوادث البارزة الأخيرة التأثير المدمر الذي قد تُحدثه ثغرات الجهات الخارجية على عملياتكم وسلامة مرضاكم. وتُبرز هذه الخروقات كيف يُمكن أن تتفاقم مخاطر الأمن السيبراني للجهات الخارجية في جميع أنحاء منظومة الرعاية الصحية.

تغيير خرق الرعاية الصحية (2024)

في فبراير 2024، هاجمت مجموعة برامج الفدية الروسية ALPHV/BlackCat شركة Change Healthcare التابعة لمجموعة United Health Group (UHG) واخترقتها، مما أثر على جميع الأمريكيين تقريبًا وكشف المعلومات الصحية المحمية (PHI) لما لا يقل عن 150 مليون شخص. تمكن المهاجمون من الوصول عبر بيانات اعتماد مخترقة لبوابة Citrix المستخدمة للوصول عن بُعد، مستغلين غياب المصادقة متعددة العوامل. ورغم دفع فدية باهظة قدرها 22 مليون دولار للمجرمين، لم تتمكن UHG من استعادة بياناتها. أدى هذا الحادث إلى إغلاق أنظمة Change Healthcare بالكامل، مما أدى إلى تعطيل معالجة الوصفات الطبية وتقديم المطالبات والمدفوعات في جميع أنحاء نظام الرعاية الصحية الأمريكي.

خرق كراود سترايك (2024)

تسبب عطل في تحديث برنامج CrowdStrike الذي أصدرته عام ٢٠٢٤ في انقطاعات واسعة النطاق في قطاعات متعددة. في مجال الرعاية الصحية، تسبب فشل تحديث برنامج CrowdStrike في انقطاعات في الوصول إلى السجلات الطبية الإلكترونية (EMRs)، وجدولة مواعيد المرضى، وأنظمة الاتصالات، مما أجبركم على تأخير الإجراءات والاعتماد على العمليات اليدوية. على الرغم من أن هذه الحادثة ليست هجومًا إلكترونيًا، إلا أنها أظهرت كيف يمكن أن يؤدي اعتمادكم على خدمات الجهات الخارجية إلى نقاط فشل فردية ذات عواقب وخيمة على رعاية المرضى.

خرق مؤسسة كايزر (2024)

شهدت خطة كايزر فاونديشن الصحية اختراقًا كبيرًا للبيانات في أبريل 2024، مما أثر على 13.4 مليون فرد. تسببت تقنيات التتبع المُدمجة في مواقع كايزر الإلكترونية وتطبيقاتها المحمولة في هذا الاختراق، حيث شاركت بيانات المستخدمين عن غير قصد مع منصات خارجية مثل مايكروسوفت (بينج) وجوجل وتويتر. يوضح هذا الحادث كيف أن عمليات التكامل مع جهات خارجية، التي تبدو حميدة، قد تُسبب مخاطر غير متوقعة لتعرض البيانات في بيئتك.

هجوم إلكتا لعلم الأورام (2021)

وقع اختراق بيانات شركة Elekta لعلم الأورام في أبريل 2021، عندما استهدف مجرمو الإنترنت منصة Elekta السحابية، التي تخزن وتنقل بيانات الرعاية الصحية لمقدمي خدمات الأورام. أدى الهجوم إلى نشر برامج فدية، مما أدى إلى تعريض معلومات حساسة للمرضى للخطر في العديد من مؤسسات الرعاية الصحية. أظهر هذا الاختراق كيف يمكن للهجمات على موردي التقنيات الطبية المتخصصة أن تؤثر على العديد من مقدمي الرعاية الصحية، مثل مؤسستك، في وقت واحد.

لماذا تفشل تقييمات مخاطر إنترنت الأشياء التقليدية في مجال الرعاية الصحية؟

تعتمد تقييمات المخاطر التقليدية على تقييمات دورية للموردين، قائمة على استبيانات، لا توفر سوى لمحات آنية عن مخاطر الجهات الخارجية. تعجز هذه الأساليب التقليدية عن استيعاب الطبيعة الديناميكية للرعاية الصحية الحديثة، حيث تتطور باستمرار تكوينات الأجهزة، واتصالات الشبكات، وبيئة التهديدات.

في كثير من الأحيان، تتعامل مؤسسات الرعاية الصحية مع الأمن السيبراني باعتباره "مسألةً تتعلق بقانون HIPAA" وتتعامل معه كمسألة امتثال. ومع ذلك، تؤثر المخاطر السيبرانية على جميع جوانب تقديم الرعاية، ويجب اعتبارها بالغة الأهمية.

تتجلى محدودية تقييمات المخاطر التقليدية بشكل خاص عند التعامل مع أجهزة إنترنت الأشياء الطبية (IoMT). فبدون رؤية آنية لعدد الأجهزة المتصلة بشبكاتك، والبيانات التي يمكن لهذه الأجهزة الوصول إليها، وكيفية تفاعل الموردين معها عن بُعد، يكاد يكون من المستحيل تقييم مخاطر إنترنت الأشياء الطبية (IoMT) آنيًا. فبدون تقييم مناسب، تصبح المخاطر خفية وغير متوقعة.

لقد حان الوقت لجميع مؤسسات تقديم الرعاية الصحية لتجاوز التقييمات الثابتة. يمكن لندوتنا الإلكترونية حول مخاطر الطرف الثالث أن توضح لك كيفية القيام بذلك، حيث توفر أطر عملية لمراقبة المخاطر المستمرة من قبل جهات خارجية التي تطبقها أفضل أنظمة الرعاية الصحية اليوم.

إدارة مخاطر الطرف الثالث بشكل أكثر ذكاءً لأجهزة إنترنت الأشياء الطبية

تتطلب الإدارة الفعالة لمخاطر الطرف الثالث لإنترنت الأشياء الطبية تحولاً أساسياً من فحوصات الامتثال الدورية إلى المراقبة المستمرة القائمة على المخاطر والتقييم. فيما يلي استراتيجيات شاملة تتناول دورة حياة علاقات الموردين وإدارة الأجهزة بالكامل:

المخزون والرؤية

أساس استراتيجيتك القوية لإدارة مخاطر الجهات الخارجية هو اكتشاف الأصول وإدارتها بشكل شامل. يجب عليك تحديد جميع الأجهزة الطبية المتصلة بالإنترنت والمتاحة عبر الشبكة، بما في ذلك تلك التي يديرها موردو الجهات الخارجية.

تتطلب إدارة الأصول، التي ترتبط ارتباطًا وثيقًا بإدارة الجهات الخارجية وسلسلة التوريد، الاحتفاظ بجرد مفصل وفهم شامل لجميع الأصول، بما في ذلك الأجهزة والبرامج والبيانات وأنظمة التخزين التابعة لجهات خارجية. وتتجاوز هذه الرؤية مجرد معرفة الأجهزة الموجودة، إذ تحتاج إلى رؤى آنية حول اتصالات الأجهزة وأنماط وصول الموردين وتدفقات البيانات لفهم مدى تعرضك للمخاطر الحقيقية.

تحديد الأولويات على أساس المخاطر

لا تنطوي جميع علاقات الجهات الخارجية على نفس القدر من المخاطر بالنسبة لمؤسستك. يجب عليك تطوير أساليب متطورة لتحديد وتقييم وتحديد أولويات أجهزة وأنظمة الموردين عالية المخاطر بناءً على عوامل مثل حساسية البيانات، وتأثيرها على سلامة المرضى، واحتمالية وقوع هجمات. يُعدّ ضعف تغطية إدارة مخاطر سلسلة التوريد أمرًا مثيرًا للقلق بشكل خاص، حيث يستهدف المهاجمون بشكل متزايد خروقات الجهات الخارجية في قطاع الرعاية الصحية عامًا بعد عام. يُمكّن تحديد الأولويات الفعال فرق الأمن لديك من تركيز الموارد المحدودة على أكثر نقاط الضعف أهمية، مع ضمان حصول الأجهزة منخفضة المخاطر على الحماية الأساسية المناسبة.

المراقبة المستمرة واستخبارات التهديدات

لا تستطيع تقييمات المخاطر الثابتة مواكبة التهديدات المتطورة وظروف الشبكة المتغيرة في بيئتك. أنت بحاجة إلى إمكانيات مراقبة مستمرة وفورية تُمكّنك من اكتشاف السلوكيات الشاذة، ومحاولات الوصول غير المصرح بها، والثغرات الأمنية الناشئة في منظومة أجهزة الطرف الثالث لديك. يجب أن يتضمن هذا النهج موجزات معلومات التهديدات التي تُوفر تحذيرًا مبكرًا من الهجمات التي تستهدف موردين أو أنواعًا محددة من الأجهزة، مما يُمكّنك من اتخاذ تدابير أمنية استباقية بدلًا من رد الفعل.

وفي الختام

أدى اعتماد قطاع الرعاية الصحية المتزايد على الموردين الخارجيين وأجهزة إنترنت الأشياء الطبية (IoMT) إلى خلق تحديات أمنية معقدة تتطلب مناهج متطورة لإدارة المخاطر. ولا تكفي التقييمات التقليدية التي تركز على الامتثال لمعالجة الطبيعة الديناميكية والمترابطة لبيئة تكنولوجيا المعلومات الصحية الحديثة. ولتغطية بيئة الرعاية الصحية الخاصة بك بشكل صحيح، يجب عليك اعتماد استراتيجيات شاملة توفر رؤية مستمرة، وتُمكّن من تحديد الأولويات بناءً على المخاطر، وتدعم الكشف الاستباقي عن التهديدات عبر منظومة الجهات الخارجية بأكملها.

انضم إلى Cylera للحصول على نهج أكثر ذكاءً لإدارة مخاطر الطرف الثالث

هل أنت مستعد لتغيير نهج مؤسستك في إدارة مخاطر الجهات الخارجية؟ ندوة سيليرا الشاملة عبر الإنترنت بعنوان "متصل ومتوافق وآمن: إدارة عملية للمخاطر من قِبل جهات خارجية لإنترنت الأشياء الطبييقدم هذا الكتاب تغطية متعمقة لاستراتيجيات إدارة المخاطر الحديثة المصممة خصيصًا لبيئات الرعاية الصحية مثل بيئتك. تعرّف على كيفية تطبيق مؤسسات الرعاية الصحية الرائدة لحلول عملية تعزز الأمن دون إرهاق فرق تكنولوجيا المعلومات، متجاوزةً الامتثال الأساسي لبناء مرونة حقيقية عبر الأنظمة السريرية. اكتشف الأدوات والأطر المُجرّبة التي تستخدمها أفضل أنظمة الرعاية الصحية لتأمين أجهزة إنترنت الأشياء الطبية (IoMT) وحماية رعاية المرضى من التهديدات الناشئة.

شاهد الندوة الكاملة الآن للحصول على رؤى فورية وقابلة للتنفيذ يمكنك تنفيذها على الفور في مؤسستك.