لا تزال صناعة الرعاية الصحية تعاني من هجوم الفدية على نظام الدفع والمطالبات تغيير الرعاية الصحية في فبراير، ولكن هجمة الهجمات لا تزال مستمرة. يعد Ascension، وهو نظام صحي يضم 140 مستشفىً وله مواقع في 19 ولاية، أحدث ضحية للهجوم الإلكتروني البارز في مجال الرعاية الصحية.
أدت الهجمات على Change Healthcare وAscension إلى تعطيل رعاية المرضى وتزايد التدقيق في الأمن السيبراني في قطاع البنية التحتية الحيوي هذا. لماذا تعتبر الرعاية الصحية ضعيفة للغاية، وما الذي يجب فعله حيال ذلك؟
الهجوم السيبراني على الصعود
في 8 مايو، اكتشفت شركة Ascension “نشاطًا غير عادي على أنظمة شبكات تكنولوجية مختارة، والذي نعتقد الآن أنه يرجع إلى حدث يتعلق بالأمن السيبراني”، وفقًا لما ذكرته شركة Ascension. صفحة تحديث حدث الأمن السيبراني. اعتبارًا من 15 مايو، يواصل النظام الصحي تحقيقاته ويعمل على إعادة تشغيل أنظمته.
تبين أن حدث الأمن السيبراني هذا كان بمثابة هجوم آخر من برامج الفدية التخريبية. تتأثر العديد من خدمات Ascension، بما في ذلك أنظمة السجلات الصحية الإلكترونية وبوابات المرضى والهواتف والأنظمة المستخدمة في الإجراءات وطلب الأدوية، وفقًا لصفحة تحديثات النظام الصحي. نتيجة للهجوموتم تحويل سيارات الإسعاف ويواجه المرضى مشكلات في الوصول إلى السجلات وملء الوصفات الطبية الخاصة بهم، وفقًا لما ذكرته AP News.
تعمل Ascension مع العديد من موفري خدمات الأمن السيبراني الخارجيين، بما في ذلك Mandiant وPalo Alto Networks Unit 42 وCYPFER. وليس لديها حتى الآن جدول زمني لاستعادة عملياتها والعودة إلى العمليات الطبيعية.
يُنسب هجوم برنامج الفدية إلى Black Basta، سي إن إن التقارير. لقد أطلقت المجموعة أجراس الإنذار في مجتمعات الأمن السيبراني والرعاية الصحية تكثف استهدافها للرعاية الصحية المنظمات. العديد من الوكالات الفيدرالية والمنظمات الصناعية – مكتب التحقيقات الفيدرالي (FBI)، ووكالة الأمن السيبراني وأمن البنية التحتية (CISA)، ووزارة الصحة والخدمات الإنسانية (HHS)، ومركز تبادل المعلومات وتحليلها متعدد الولايات (MS-ISAC) – تعاونت لإطلاق سراح أ استشارات الأمن السيبراني بشأن Black Basta.
وقد أصابت Black Basta أكثر من 500 مؤسسة في 12 على الأقل من 16 قطاعًا حيويًا للبنية التحتية حول العالم، وفقًا للتقرير الاستشاري.
الرعاية الصحية كهدف
بلاك باستا ليست المجموعة الوحيدة التي تستهدف قطاع الرعاية الصحية. كانت ALPHV/Blackcat وراء الهجوم على شركة Change Healthcare، المملوكة لشركة UnitedHealth Group (UHG). إن صناعة الرعاية الصحية معرضة للخطر، والجهات الفاعلة في العديد من المجموعات مستعدة للاستفادة منها.
وسواء كان هدف الجهات التهديدية ماليًا بحتًا أم لا، فإن حصيلة هذه الهجمات الإلكترونية المستمرة ستكون بشرية. يقول إيرول فايس، كبير مسؤولي المنظمات في الشركة: “من المحتم أن يحدث ذلك يومًا ما، حيث لن يتمكن شخص ما من تلقي الرعاية المنقذة للحياة بسبب أحد أحداث برامج الفدية هذه”. مركز تبادل وتحليل المعلومات الصحية (Health-ISAC).
ستظل مجموعات برامج الفدية وبرامج الفدية كخدمة تمثل تهديدًا كبيرًا. “لقد أدرك مستخدمو برامج الفدية كخدمة… أنه قد يكون من الأسهل الحصول على فدية من [a] “منظمة رعاية صحية أكثر مما قد تكون عليه من مؤسسة صناعية لأن مشكلات التوقف التي قد تعاني منها بسبب برامج الفدية ستكون أكثر كارثية على جانب الرعاية الصحية،” ويس رايت، كبير مسؤولي الرعاية الصحية في طلب، شركة أمن الأجهزة المتصلة، تقول InformationWeek.
تشكل مخاطر سلسلة التوريد أيضًا تهديدًا خطيرًا، كما يتضح من الهجوم على منظمة Change Healthcare. في ظل وجود نظام رعاية صحية شديد الترابط، يمكن أن يكون لنقطة الضعف الواحدة التي يستغلها ممثل التهديد عواقب كارثية.
“كيف ستتأثر بأنظمتك وتبعياتك المترابطة إذا تم اختراق شخص آخر؟” يقول أنتوني كامارانو، نائب الرئيس العالمي للأمن والخصوصية والاستراتيجية في منصة حماية البيانات حماية. يجب أن تكون منظمات الرعاية الصحية قادرة على الإجابة على هذا السؤال.
تصاعد الضغط
مع تراكم الهجمات الإلكترونية على الرعاية الصحية، تواجه الصناعة ضغوطًا متزايدة للإجابة على أسئلة حول كيفية حدوث هذه الهجمات وما الذي يتم فعله لوقفها. بعد الهجوم على منظمة Change Healthcare، اضطر أندرو ويتي، الرئيس التنفيذي لشركة UHG، إلى القيام بذلك للإدلاء بشهادته في جلستين استماع في الكونجرس، ولم يعجب المشرعون بردوده، وفقًا لموقع Healthcare Dive. الجهات الفاعلة التهديد استخدام بيانات الاعتماد المخترقة للوصول إلى بوابة لا تحتوي على مصادقة متعددة العوامل.
من غير الواضح ما هو نوع التدقيق الذي ستواجهه شركة Ascension من المشرعين والمنظمين، لكن هجوم برامج الفدية الأخير هو جزء صغير من نمط أوسع في صناعة الرعاية الصحية.
“إنها تحظى باهتمام أكبر في مجلس الإدارة، المزيد من الاهتمام [from] يقول فايس: “القيادة العليا في المنظمات”. “الآن، هناك ضغط حقيقي لمعرفة ما يمكنهم فعله فيما يتعلق بمحاولة تحديد موارد إضافية… من خلال توفير المزيد من الأموال، والمزيد من الإنفاق على التكنولوجيا للمساعدة في حماية… المؤسسات.”
ويمكن أن يأتي هذا الضغط في شكل المزيد من المتطلبات التنظيمية. “لسوء الحظ، سيكون لديك [to] يقول كيرت أوزبورن، مدير إدارة المخاطر والحوكمة في شركة “إنتربرايز”: “يجبر قطاع الرعاية الصحية على البدء في القيام بالأشياء التي ينبغي القيام بها مثل تشغيل كشف التسلل الداخلي، وإجراء عمليات الفحص، والتركيز على أمن الشبكات”. مجموعة إن سي سي، شركة للأمن السيبراني والخدمات المدارة.
قد يؤدي الفشل في اعتماد الحد الأدنى من معايير الأمن السيبراني إلى عواقب تنظيمية بشكل متزايد. “أعتقد أنك ستشهد المزيد من الغرامات. يقول أوزبورن: “سوف ترى الكثير من التحقيقات”.
الأمن السيبراني وقيود الموارد
في حين تواجه مؤسسات الرعاية الصحية المزيد من الضغوط لتحسين الأمن السيبراني، هل هي مجهزة للقيام بذلك؟ يقول فايس: “يبدو أننا نخوض هذه المعركة الأبدية المتمثلة في محاولة تحديد الموارد”.
غالبًا ما تعمل المستشفيات والأنظمة الصحية بهوامش ضئيلة، وليس من غير المعتاد أن يقع الأمن في أسفل قائمة الأولويات. “ما لم يفتحوا الصنبور ويبدأوا في وضع الأموال في حالة امتثال وأمان كما يحتاجون إلى القيام بذلك، [we’ve] ليس لديها مكان تذهب إليه سوى من وجهة نظر الاختراق. يقول أوزبورن: “هذا مجرد غيض من فيض”.
ولكن من أين ستأتي تلك الأموال؟ هناك حجة مفادها أن الحكومة ستحتاج إلى توفير الموارد، مثل المنح أو الحوافز المالية، لمساعدة صناعة الرعاية الصحية على تحقيق أمن سيبراني أكثر نضجًا.
لعبت الحكومة الفيدرالية دورًا محوريًا في تعزيز رقمنة الرعاية الصحية من خلال استخدام هادفوهو برنامج يحفز استخدام السجلات الصحية الإلكترونية.
“[We] يقول رايت: “لم أحصل على الكثير من المال لبناء الأمن حول تلك الأنظمة”. “أعتقد أنه يتعين على الحكومة… إجبار الناس على بناء هذه الأسطح الهجومية الكبيرة ومنحهم المال مقابل ذلك [to say]”دعونا نرجع خطوة إلى الوراء، ونضع بعض المعايير الدنيا لما يبدو عليه المظهر الجيد، ودعنا نمول الناس للوصول إلى ذلك”.”
ويبقى أن نرى ما إذا كان المزيد من الموارد الحكومية لتمويل الأمن السيبراني في مجال الرعاية الصحية سيصبح متاحًا أم لا، ولكن لا شك أن الهجمات ستستمر في هذه الأثناء. ما الذي يمكن أن تفعله مؤسسات الرعاية الصحية التي تعاني من ضائقة الموارد؟
يمكن لمؤسسات الرعاية الصحية أن تبدأ باختيار أحد أطر الأمن السيبراني المتاحة، مثل إطار الأمن السيبراني NIST. لدى HHS أيضًا تطوع أهداف أداء الأمن السيبراني (CPGs) التي يمكن أن تساعد مؤسسات الرعاية الصحية أثناء تطبيقها لأفضل ممارسات الأمن السيبراني.
يقول كامارانو: “اختر الإطار الذي تعتقد أنه يمكنك تنفيذه ضده”. “هذا سوف يضع خط الأساس بالنسبة لك. انها سوف تفعل الاكتشاف بالنسبة لك. سيسمح لك بالبدء في قياس كيفية انتقالك من مكانك اليوم إلى المكان الذي ستذهب إليه.
يمكن أن يساعد فهم سطح الهجوم وتنفيذ النظافة السيبرانية الأساسية في حماية كيانات الرعاية الصحية، لكن هذا ليس كافيًا. إن شعار “إن لم يكن متى” في مجال الأمن السيبراني يتطلب من المؤسسات معرفة كيفية الرد عندما يحدث الهجوم حتماً.
يؤكد رايت على أهمية تقليل نطاق الانفجار المحتمل للهجوم السيبراني من خلال تجزئة الشبكة. “هل جميع أجهزة الأشعة المقطعية في المستشفى متصلة بنفس شبكة العمل مثل جميع أجهزة الكمبيوتر الشخصية؟ إذا كان الأمر كذلك، فإن نصف قطر الانفجار الخاص بك سيكون أكبر بكثير. “دعونا نضعها على شبكات افتراضية مختلفة ونحتوي منطقة الانفجار تلك.”
وبما أن مؤسسات الرعاية الصحية تنظر إلى نطاق الانفجار المحتمل، فإنها تحتاج إلى التفكير في المرونة السيبرانية. كيف سيكون رد فعلهم إذا تعرضوا لهجوم مباشر أو وقعوا في دائرة التأثير المضاعف لهجوم على سلسلة التوريد من طرف ثالث؟
“أنا أشجع المؤسسات على استخدام مخيلتها ودمج هذه الأنواع من الأحداث في تمارين الطاولة وغيرها من خطط الطوارئ التي يقومون بها للمضي قدمًا،” يحث فايس.
يتمثل جزء من التحدي في إعادة صياغة كيفية تفكير فرق الرعاية الصحية في الأمن السيبراني، ليس كفكرة فنية لاحقة ولكن كأولوية أساسية. يقول رايت: “يجب أن تكون أمام موظفيك، وموظفيك، ويجب أن يدركوا أن السلامة على الإنترنت هي سلامة المرضى”.
