عملاق الرعاية الصحية عن بُعد Hims يتعرض لاختراق أمني يكشف سجلات طبية
أكدت شركة Hims & Hers Health للرعاية الصحية عن بُعد تعرضها لاختراق أمني كشف بعضاً من أكثر فئات المعلومات الشخصية حساسيةً التي يمكن لأي شركة أن تحتفظ بها: المعلومات الصحية المحمية (PHI). وقع هذا الاختراق بعد أن تمكن مهاجمون من الوصول غير المصرح به إلى منصة دعم عملاء تابعة لطرف ثالث تستخدمها الشركة. وشملت البيانات المكشوفة المعلومات الواردة في تذاكر دعم العملاء، والتي تتضمن في سياق الرعاية الصحية عن بُعد تفاصيل مرتبطة بالوصفات الطبية والاستشارات الطبية والحالات الصحية الشخصية.
وقد أعلنت مجموعة القراصنة ShinyHunters مسؤوليتها عن الهجوم. وتحظى هذه المجموعة بسمعة واسعة في أوساط الأمن السيبراني بسبب عملياتها الواسعة النطاق لسرقة البيانات، وقد رُبطت بعدد من الاختراقات البارزة في السنوات الأخيرة. ويثير تورطها مخاوف فورية بشأن مصير البيانات المسروقة، بما في ذلك احتمالات الابتزاز، أو إعادة البيع في أسواق الويب المظلم، أو شنّ حملات تصيد احتيالي موجهة ضد المستخدمين المتضررين.
لماذا يُعدّ موردو الطرف الثالث حلقةً ضعيفةً في منظومة أمن الرعاية الصحية
من أبرز التفاصيل في هذا الاختراق أنه لم يقع داخل البنية التحتية الأساسية لشركة Hims، بل تمّ عبر منصة دعم عملاء تابعة لطرف ثالث. وهذا نمط بات يتكرر بصورة متصاعدة وتتعاظم تداعياته.
تلجأ الشركات الكبيرة بشكل اعتيادي إلى الاستعانة بمصادر خارجية لوظائف كدعم العملاء والفوترة وتخزين البيانات. ويُصبح كل مورد من هؤلاء امتداداً لسطح الهجوم لدى الشركة. فحين يُسجّل المستخدم في خدمة رعاية صحية عن بُعد، فهو لا يأتمن تلك الشركة وحدها على بياناته، بل يأتمن أيضاً كل مورد ومقاول ومزود برمجيات تتعامل معهم.
وهذا الأمر بالغ الإشكالية في قطاع الرعاية الصحية تحديداً. يُلزم القانون الأمريكي الشركاتِ التي تتعامل مع المعلومات الصحية المحمية بضمان امتثال شركائها التجاريين ومورديها لمعايير قانون HIPAA. غير أن الامتثال على الورق لا يترجم دائماً إلى أمان فعلي في الواقع. فشركة موسّعة الموارد كـ Hims يمكنها الاستثمار بكثافة في دفاعاتها الداخلية، بينما تظل مكشوفةً عبر مورد يعمل بضوابط أمنية أضعف.
ولا يُمثّل اختراق Hims حالةً معزولة. فقد باتت شركات الرعاية الصحية والرعاية الصحية عن بُعد أهدافاً رئيسية بالضبط لأن البيانات التي تحتفظ بها بالغة القيمة. تُباع السجلات الطبية بأسعار أعلى بكثير في الأسواق الإجرامية مقارنةً بأرقام بطاقات الائتمان، لأنها تحتوي على معلومات يصعب تغييرها ويمكن توظيفها في الاحتيال على شركات التأمين، وسرقة الهوية، والهندسة الاجتماعية الموجّهة.
ما الذي يعنيه هذا بالنسبة لك
إن كنت عميلاً لدى Hims أو Hims & Hers، فعليك افتراض أن المعلومات التي شاركتها عبر قنوات دعم العملاء ربما تكون قد تعرضت للكشف. وقد يشمل ذلك اسمك وبيانات التواصل الخاصة بك وتفاصيل الاستشارات الطبية أو الوصفات التي ناقشتها مع فريق الدعم.
على نطاق أوسع، يُعدّ هذا الاختراق تذكيراً مفيداً بالمخاطر المصاحبة لتخزين المعلومات الشخصية الحساسة في أنظمة مركزية. تقوم منصات الرعاية الصحية عن بُعد على مبدأ الراحة والسهولة، وكثيراً ما تعني هذه الراحة توحيد بياناتك الصحية بطرق تجعلها أهدافاً جذابة للمهاجمين. وكلما كبُر حجم البيانات التي تحتفظ بها الشركة، وتعدّد الموردون الذين تتشارك معهم تلك البيانات، اتسع نطاق الضرر المحتمل حين يسوء الأمر.
لا يعني هذا أن تتجنب خدمات الرعاية الصحية عن بُعد؛ إذ يجد كثير من الناس فيها سُبيلاً للحصول على رعاية يصعب أو يُكلّف الحصولُ عليها كثيراً بطرق أخرى. لكنه يعني أن تُفكّر بعناية فيما تشاركه عبر أي منصة صحية رقمية، بما في ذلك تذاكر الدعم ووظائف الدردشة، التي قد يجري تخزينها ومعالجتها خارج الأنظمة الأساسية للشركة.
خطوات عملية في أعقاب اختراق البيانات الصحية
إن كنت تستخدم Hims & Hers أو منصة مماثلة للرعاية الصحية عن بُعد، فإليك بعض الخطوات الملموسة الجديرة بالاتخاذ الآن:
- راقب محاولات التصيد الاحتيالي. يستغل المهاجمون الذين يحصلون على بيانات صحية هذه البيانات في كثير من الأحيان لصياغة رسائل تصيد مُقنعة للغاية. كن متشككاً في أي رسائل بريد إلكتروني أو رسائل غير مرغوب فيها تُشير إلى حالاتك الصحية أو أدويتك أو تفاعلاتك السابقة مع المنصة.
- راجع حساباتك. اطّلع على حسابك في Hims وأي وسائل دفع مرتبطة به بحثاً عن أي نشاط غير معتاد. أبلغ عن أي شيء مريب للمنصة ومؤسستك المالية على حدٍّ سواء.
- انتبه لعلامات الاحتيال في الهوية. سرقة الهوية الطبية، حيث يستخدم شخص ما معلوماتك للحصول احتيالياً على وصفات طبية أو مزايا تأمينية، قد يصعب كشفها. فكّر في وضع تنبيه احتيال لدى مكاتب الائتمان الكبرى ومراقبة كشوف تأمينك بحثاً عن خدمات لم تتلقّها.
- قيّد ما تشاركه في تذاكر الدعم. في ما يأتي، ضع في اعتبارك أن قنوات دعم العملاء في أي شركة قد تكون بيد موردين من طرف ثالث يمتلكون مستوى أمانهم الخاص. تجنب مشاركة أي تفاصيل تتجاوز الحدّ الضروري.
- ابقَ على اطلاع بتطورات الاختراق. تابع التواصلات الرسمية من Hims بشأن نطاق الحادثة وأي خطوات علاجية تُقدمها، كخدمات مراقبة الائتمان.
لن تتوقف اختراقات البيانات في شركات الرعاية الصحية. ومع تزايد نقل الخدمات الصحية إلى الفضاء الرقمي، لن يزيد إلا حجم البيانات الطبية الحساسة التي تحتفظ بها المنصات الرقمية. ويُعدّ كونك مستخدماً حذراً ومطّلعاً لهذه الخدمات من أنجع وسائل الدفاع المتاحة للمستخدم العادي. وإن فهم من يحتفظ ببياناتك وما يفعله بها نقطةُ انطلاقٍ معقولة لحماية نفسك.
