كيف يمكن لأنظمة تكنولوجيا المعلومات الصحية المخترقة أن تؤدي إلى عواقب تهدد الحياة؟
يعرف المديرون التنفيذيون للرعاية الصحية كل شيء عن سلامة المرضى ــ أو على الأقل هذا ما سيخبرونك به. ولقد تناولت اللجنة المشتركة وغيرها من الهيئات هذا الموضوع لسنوات. وإذا سألتهم عن المعنى الحقيقي لـ "سلامة المرضى"، فسوف يبدأ أغلبهم على الأرجح في الحديث عن الكيفية التي تحمي بها مؤسسات الرعاية الصحية مرضاها من الأخطاء والإصابات والحوادث والعدوى. إنها قضية كبيرة.
وبحسب مجلة سلامة المرضى، يموت ما يصل إلى 440,000 ألف شخص كل عام بسبب أخطاء يمكن الوقاية منها في المستشفيات وحدها. ومع ذلك، لن يدرج سوى عدد قليل من الرؤساء التنفيذيين في مجال الرعاية الصحية الأمن السيبراني في قائمة المخاطر الرئيسية الخاصة بهم - ولكن هذا بدأ يتغير بسرعة.
يتعرض دافعو الرعاية الصحية ومقدموها وشركات الأدوية في الولايات المتحدة اليوم للهجوم. وتتراوح هذه الهجمات من السرقة برعاية الدولة من الملكية الفكرية للرعاية الصحية، والصيغ السريرية، والإجراءات، وأنظمة العلاج، إلى معلومات التعريف الشخصية للمرضى، بما في ذلك 78.8 مليون عميل النشيد الصحي، فضلاً عن السرقة التجارية وبيع المعلومات الصحية الشخصية والمعلومات الشخصية القابلة للتعريف من قبل عصابات الجريمة الإلكترونية التي تهدف إلى تحقيق الدخل من البيانات المسروقة.
المخاطر التشغيلية والسمعية
ما لا يدركه الكثيرون هو أن المخاطر السيبرانية في بيئة الرعاية الصحية لا تتعلق فقط بالهجمات على سرية المعلومات، بل تتعلق أيضًا بتوافر وسلامة أنظمة وبيانات تكنولوجيا المعلومات الصحية. تعد الرعاية الصحية هدفًا رئيسيًا للابتزاز وقد تأثرت بشكل غير متناسب بنوبات برامج الفدية التي تستهدف أنظمة تكنولوجيا المعلومات الصحية وبالتالي قدرتها على تسهيل الرعاية للمرضى.
مجرد إلقاء نظرة على NHS في المملكة المتحدة في عام 2017، تأثرت حوالي ثلثي مستشفيات هيئة الخدمات الصحية الوطنية بالهجوم الإلكتروني العالمي WannaCry ransomware، واضطرت إلى إلغاء المواعيد وتحويل جميع المرضى باستثناء الحالات الحرجة إلى أماكن أخرى. ولو كانت هيئة الخدمات الصحية الوطنية تدرك الحجم الحقيقي لمخاطر الأمن السيبراني التي تواجهها، وتصرفت وفقًا لذلك لإصلاح واستبدال الأنظمة القديمة، لكان من الممكن تجنب التأثير السلبي على حياة العديد من مرضاها.
أنا آسف، الطبيب لا يستطيع رؤيتك في الوقت الحالي - أنظمة تكنولوجيا المعلومات لدينا معطلة!
ولكن ماذا يحدث لرعاية المرضى عندما لا تتوافر أنظمة تكنولوجيا المعلومات الصحية الأساسية لتشخيص أو علاج المرضى؟ فيتم إلغاء العمليات الجراحية للمرضى، أو يتم نقلهم في سيارة إسعاف إلى مستشفى غير متأثر على بعد 40 أو 50 ميلاً. وهنا يأتي السؤال المتعلق بسلامة المرضى.
ما هو التأثير الذي قد يلحق بالمريض المريض عندما يتعين عليه نقله لمسافة كبيرة إلى مستشفى يعمل بشكل جيد؟ ماذا لو احتاج هذا المريض إلى رحلة جوية إلى أقرب منشأة غير متأثرة ومتاحة وتوفي في الطريق؟ يقع على عاتق مقدمي الرعاية الصحية واجب رعاية سلامة المرضى، ويمتد هذا الواجب إلى توافر أنظمة تكنولوجيا المعلومات الصحية اللازمة لعلاج المرضى.
ما هو مستوى المسؤولية التي يتحملها مقدمو الرعاية الصحية عندما يفشلون في تقييم المخاطر التي تهدد توافر أنظمة تكنولوجيا المعلومات الخاصة بهم وحمايتها منها بشكل صحيح؟ هل يجب محاسبة المستشفيات بنفس الطريقة التي نحاسب بها تجار التجزئة عندما يفشلون في حماية أنظمة الدفع ببطاقات الائتمان الخاصة بهم؟
تعتمد الرعاية الصحية الحديثة بشكل كبير على أنظمة تكنولوجيا المعلومات السريرية التي تستخدمها لتشخيص وعلاج المرضى. ماذا يحدث عندما لا تفتح خزانة Pyxis لتوزيع الأدوية الحرجة؟ ماذا يحدث عندما يوزع روبوت صيدلاني الأدوية الخاطئة للمريض ولا يلاحظ الموظفون المرهقون هذا الخطأ؟ ربما يكون اعتمادنا على أنظمة تكنولوجيا المعلومات وإنترنت الأشياء في الرعاية الصحية أكبر مما يعترف به معظم الأطباء عن طيب خاطر.
"أولا لا يوجد ألم" (أولا، لا ضرر)
إن جعل المخاطر السيبرانية جزءًا أساسيًا من تقييم مخاطر المؤسسة في جميع أنحاء صناعة الرعاية الصحية يجب أن يكون ضرورة غير قابلة للتفاوض. ونظراً للمخاطر المحتملة التي تهدد سلامة المرضى، فيجب أن تكون إدارة المخاطر السيبرانية إلزامية إلى جانب تقييم وتقدير جميع الأصول في الأعمال السريرية. وكلما استيقظت مجالس المستشفيات على هذا الواقع في وقت أقرب، كان ذلك أفضل - وكان من الممكن تقليل المخاطر التشغيلية والسمعة التي تؤثر بشكل مباشر على سلامة المرضى.
شاهد الخبراء يناقشون مخاطر الأمن السيبراني وسلامة المرضى أكثر عمقا.
