تم تحريك النرويج لحماية خدمتها الصحية الوطنية من خلال أمن القطاع المصرفي بعد نشر عصر كوفيد المتسارع للخدمات الرقمية الثقوب اليسرى في واجهات البرمجيات التي تتعامل مع بيانات المريض.
سيصبح الإصلاح أكبر تطبيق في عالم معيار أمان مقترح لمنع المتسللين الذين يستغلون واجهات برمجة التطبيقات (APIs) التي تبادل البيانات بين أنظمة الكمبيوتر ، التي طورتها في الأصل من قبل مؤسسة Consortium OpenID في صناعة البرمجيات في المملكة المتحدة (OIDF).
مع سعي OIDF إلى تقديم اقتراح من الدرجة المالية API 2.0 (FAPI 2.0) معايير عالمية ، فإن بعض الخبراء يدعون أوروبا لفرض ضوابطها على البيانات الحساسة في جميع القطاعات الحرجة ، مثل الصحة والنقل والحكومة.
يعد تنفيذها من قبل الشبكة الصحية النرويجية (NHN) ، التي تدير البنية التحتية الصحية الرقمية في البلاد ، أول تمويل خارجي ، حيث أصبح معيارًا فعليًا ، على الرغم من أنه كان يهدف دائمًا إلى حماية اتصالات البيانات الحساسة في قطاعات أخرى.
نبهت عمليات تدقيق الأمان الروتينية NHN إلى أن بيانات المريض كانت في خطر 18 شهرا قبل ، قال راجنهيلد varmedal، كبير مسؤولي التكنولوجيا في هيلسيد، منصة الوكالة الوطنية للهوية والوصول ، والتي هي مسؤولة عن واجهات برمجة تطبيقات البيانات الصحية الخاصة بها.
قامت NHN بترقية الأمن الصحي الوطني عند وزارة الصحة النرويجية أعطاها المسؤولية لأنظمة الصحة الإلكترونية في البلاد بأكملها ، التحديث وتطوير أنظمة مثل سجلات الرعاية المتكاملة والوصفات الإلكترونية ، في يناير 2020 ، تمامًا كما انتشرت جائحة Covid-19 في جميع أنحاء العالم ، varmedal.
“تم إطلاقه من قبل Covid ، لذلك قالت: “لقد كانت بداية طيران ، أراد الجميع فقط الحصول على كل شيء للعمل. أعتقد أنهم أوليت اهتماما لذلك أكثر من الأمن. ليس هم لم يكن انتبه إلى الأمن. لكن الحصول على الأمور والعمل كان أكثر أهمية إذا اضطررت إلى الاختيار “.
تحت الضغط
وقالت إن NHN بنيت وطرح خدمات الصحة الإلكترونية تحت الضغط. استغرق الأمر أنظمة الصحة الإلكترونية المعزولة وجعلتها وطنية. تم نقل مواعيد الطبيب إلى مؤتمرات الفيديو ؛ قامت بإنشاء أنظمة مرتفعة ل تحديد المرضى ، إلكترونية الوصفات الطبية ونتائج الاختبار ؛ وقد قامت بترقية أمان API عبر قطاع الصحة بأكمله في نفس الوقت.
“قالوا: “كانوا يقطعون الزوايا لأنها سارت بسرعة كبيرة في تشغيل الأمور”. varmedal.
وقالت إن خطر الانتهاك لم يكن بقدر الضرر الذي قد يسببه المرء. كانت خرقات واجهات برمجة التطبيقات للبيانات الصحية ممكن و يحدث في جميع أنحاء العالم على أساس يومي خارج عين الجمهور. كان المجرمون يسرقون البيانات وابتزاز العيادات والمرضى تحت تهديد السجلات الحساسة التي يتم كشفها.
هيلسيد قلل من خطر سرقة الرمز المميز-حيث يسرق المتسللين بيانات الاعتماد الرقمية التي تمنح الناس إمكانية الوصول إلى بيانات حساسة-من 80 ٪ إلى 20 ٪ بعد تنفيذ ضوابط FAPI 2.0 في موقع واحد ، استنادًا إلى التقييمات قبل وبعد ذلك ، varmedal. كان الآن يحل محل أ العشوائي في التدابير الأمنية بنيت حوالي 120 من واجهات برمجة تطبيقات بيانات صحية مع ملف تعريف الأمان FAPI 2.0 – مجموعة من الأساليب المحددة – وتكليف استخدامها تدريجياً بين 300 موردي و 50000 عيادة.
وقال مارك هاين ، المدير الفني OIDF ، هيلسيد هو دليل على المفهوم لـ FAPI 2.0 في القطاع الصحي الذي سيعزز طموح الاتحاد لجعل FAPI 2.0 معيارًا عالميًا لتأمين واجهات برمجة التطبيقات الحساسة.
وقال “إنها خطوة إلى الأمام في إظهار أن FAPI قابلة للتطبيق في القطاع الصحي”. “هذا نوع من الضخمة. كان هناك بعض الناس يقولون ،” أوه لا ، نحن لا نريد استخدام FAPI ، هذا مخصص “. لا نتفق مع ذلك. نعتقد أنه في أي مكان تتعامل فيه مع البيانات الحساسة.
“قال هاين: “نتحدث أيضًا يدرك أنه ليس فقط للخدمات المالية. ”
قالت شركات أمن API إن FAPI 2.0 يؤمن اتصالات API بشكل جيد ، ولكن لم يتم تصميمه للحماية من تطبيقات الواجهة الخلفية الفاشلة التي تتعامل مع بيانات API ، لذلك المنظمات التي اعتمدت أنها لا يمكن أن ترتاح على أمجادهم. تتكاثر مآثر القراصنة مثل ترخيص مستوى الكائن المكسور سيئ السمعة لأن مطوري البرامج يرتكبون أخطاء عند نسج تدابير أمن API في أنظمة الواجهة الخلفية الخاصة بهم.
وخلصت مجموعة العمل FAPI 2.0 إلى أنه لا يمكن تطوير معيار عالمي للحماية من هذه الهجمات لأنها تعتمد على الفشل في تطبيق منطق العمل الذي يختلف عبر عدد لا يحصى من القطاعات والإعدادات المختلفة ، كما قال هاين.
تقوم HL7 International ، التي تقوم بتطوير واجهات برمجة تطبيقات في قطاع الصحة المشتركة ، بتطوير معايير لتنفيذ أمان واجهة برمجة التطبيقات على مستوى التطبيق في مجالها. يعمل كيان التنفيذ المصرفي المفتوح في المملكة المتحدة (OBIE) ، الذي كان رائدًا في تطوير FAPI 2.0 ، وتبادل البيانات المالية للمعايير المصرفية الأمريكية (FDX) على نفس الشيء.
“يجب أن يكون FAPI 2.0 افتراضيًا لأي الاتحاد الأوروبي [European Union] وقال أليسيو دالا بيازا ، المؤسس المشارك وكبير موظفي التكنولوجيا في شركة API Security ، equixly. “لكن الاعتماد عليها بمفردها سيكون مثل التثبيت مدرع الأبواب أثناء مغادرة النوافذ غير المحببة. “
وقال إنه يجب تبنيه حتى في البلدان التي لديها أنظمة هوية رقمية قوية ، مثل إيطاليا. في اللحظة التي يتعين على هوية شخص ما جمع تقرير الأشعة من واجهة برمجة تطبيقات في قطاع الصحة القياسي مثل FHIR أو HL7 ، تعود الاتصالات إلى تدابير أمنية أساسية مثل رموز OAUTH والنطاقات والمطالبات و ORIS ، على حد تعبير الدعوى. كانت Oauth أساسية في الترقية الفاشلة هيلسيد صنع في عام 2020 ، لكنه كذلك أ المكون التأسيسي لـ FAPI 2.0.
“وقال دالا بيازا إن FAPI 2.0 هي المجموعة الأولى من القواعد التي تخبر كل مشارك بالضبط كيفية تنظيم وحماية تلك المصنوعات اليدوية بحيث يمكن للبنوك والمستشفيات ومشغلي النقل وبوابات الحكومة الإلكترونية متداخلة دون الإصلاحات المعتادة من الإصلاحات الثنائية “.
المنظور الأوروبي
جاك Declasوقال الرئيس التنفيذي لشركة 42Crunch API ، إن أمن API كان مشكلة كبيرة في أوروبا.
وقال: “لقد تم انتهاك 75 ٪ من الشركات بسبب هجوم API في السنوات الثلاث الماضية”. “نحن نراقب كل خرق. ليست كلها عامة. معظم الهجمات هي من خلال واجهة برمجة التطبيقات. 84 ٪ من حركة المرور على الإنترنت في العالم هي حركة مرور API. ولهذا السبب ولد FAPI.
“قال: “أنا جيد ، أوصي به للجميع. لكنها مجرد توصية لمعايير. لدى الشركات الكبيرة عشرات الآلاف من واجهات برمجة التطبيقات ، ولديها مشاكل في تطبيق المعايير ، وبعضها ينفذ التدابير ولكن بشكل سيء “.
“من وجهة نظرنا ، لا توجد فجوات فعلية في المواصفات ، أو أي شيء مفقود. الذي فريقه يكون جزء من مجموعة العمل تطويره.
خطة العمل
نشرت المفوضية الأوروبية خطة العمل لتحسين الأمن السيبراني في الصحة في يناير / كانون الثاني لأنها أصبحت “الصناعة الأكثر هجومًا في الاتحاد الأوروبي على مدار السنوات الأربع الماضية ، بما في ذلك خلال جائحة Covid-19 ، عندما كانت البنية التحتية الصحية مستهدفة بشكل متزايد بالهجمات الإلكترونية”.
تشمل تدابيرها المقترحة جعل الناس يستخدمون محفظة الهوية الرقمية في أوروبا للوصول إلى الخدمات الصحية. لا يعالج أمان واجهة برمجة التطبيقات مباشرة.
برزت العديد من المشاريع الأوروبية لبناء واجهات برمجة التطبيقات على مستوى القطاع أو خططها مؤخراً. مشروع Keystone لبناء تبادل بيانات PAN-EU بين مشغلي إنفاذ القانون ونقله لتحسين الأمن نشر نموذج API في العام الماضي لم يذكر سوى القليل من أمن البيانات. وقال متحدث باسم Keystone إنه يعتقد أن FAPI 2.0 لا ينطبق على النقل لأنها كانت مبادرة في القطاع المالي.
Preetha Ramiah ، زميل أبحاث في جامعة Coventry ، الذي يشارك مسؤولية أمان بيانات Keystone ، قال في رسالة بالبريد الإلكتروني: “في Keystone ، لا نوفر الأمن للمعاملات المالية أو النقدية. ينصب تركيزنا على أمان البيانات-ضمان تواصل الآمنة وتبادل البيانات المستندة إلى المعايير عبر الأنظمة والحدود”.
خطط مبكرة من شركات الحوسبة السحابية الأوروبية لإنشاء واجهة برمجة تطبيقات سحابة أوروبا السيادية (SECA) بدأت على وضع ملف تعريف أمني. خطط العمولة ل إطار بيانات موثوق به حصلت على موافقة مجموعة قياسية من المصطلحات ، ولكن لم تحدد بعد التدابير الأمنية.
SECA ، HL7 International و Enisa ، وكالة الاتحاد الأوروبي للأمن السيبراني التي تمنح اللجنة مسؤولية HEAلأمن البيانات في خطة العمل ، لم تكن مستعدة للتعليق.
