غرامة قدرها 300 ألف يورو على هيئة الخدمات الصحية بعد هجوم فدية على مستشفى تولامور

غرامة قدرها 300 ألف يورو على هيئة الخدمات الصحية بعد هجوم فدية على مستشفى تولامور

فرضت هيئة حماية البيانات الأيرلندية (DPC) غرامة قدرها 300 ألف يورو على هيئة الخدمات الصحية (HSE) إثر اختراق بيانات مرضى ناجم عن هجوم فدية استهدف مستشفى ميدلاندز الإقليمي في تولامور بمقاطعة أوفالي. استهدف الهجوم نظام معلومات المختبر في المستشفى وأدى إلى اختراق البيانات الشخصية لنحو 84,000 فرد. يُمثل القرار النهائي لهيئة حماية البيانات ختام تحقيق رسمي في الحادثة ويُشير إلى تزايد الضغوط التنظيمية على هيئات الصحة العامة لاعتبار الأمن السيبراني مسؤولية تشغيلية أساسية، لا مجرد فكرة لاحقة لتقنية المعلومات.

ما كشفه هجوم الفدية على هيئة الخدمات الصحية بشأن الأمن السيبراني في المستشفيات

حادثة تولامور ليست حدثاً معزولاً داخل هيئة الخدمات الصحية. فقد تعرضت الخدمة الصحية الأيرلندية لواحد من أكثر الهجمات السيبرانية ضرراً على القطاع العام في أوروبا في مايو 2021، حين أجبر هجوم فدية واسع النطاق هيئة الخدمات الصحية على إغلاق البنية التحتية لتقنية المعلومات بالكامل في عشرات المستشفيات على مستوى البلاد. ذلك الهجوم، المنسوب إلى مجموعة فدية "كونتي"، تسبب في أسابيع من التعطيل لرعاية المرضى وكلّف مئات الملايين من اليوروهات لمعالجته.

بينما كان اختراق تولامور أضيق نطاقاً، إلا أنه يُظهر أن مشغلي هجمات الفدية لا يستهدفون دائماً الاختراق الكامل للشبكة. فاستهداف نظام معلومات مختبر واحد يمكن أن يُسفر عن كميات هائلة من البيانات الحساسة، ويظل في الوقت نفسه أصعب في الاكتشاف من الإغلاق الكامل للشبكة. يُشير قرار هيئة حماية البيانات بمباشرة تحقيق رسمي وفرض غرامة كبيرة إلى أن الجهات التنظيمية وجدت أوجه قصور منهجية في كيفية حماية هيئة الخدمات الصحية لهذا النظام تحديداً، وليس مجرد عطل تقني منفرد.

بالنسبة لمؤسسات الرعاية الصحية في جميع أنحاء أوروبا، تُعزز هذه القضية رسالة واضحة: غرامات اللائحة العامة لحماية البيانات (GDPR) بسبب اختراقات البيانات لم تعد نظرية. فالجهات التنظيمية مستعدة لمحاسبة الهيئات العامة حتى عندما تكون هي نفسها ضحايا لهجمات إجرامية.

لماذا تُعد بيانات المختبر الخاصة بـ 84,000 مريض حساسة بشكل خاص

ليست جميع البيانات الشخصية تحمل المخاطر نفسها. تحتل بيانات المختبر مرتبة عالية على مقياس الحساسية لأنها يمكن أن تشمل نتائج تحاليل الدم، والمؤشرات التشخيصية، والمعلومات الجينية، وحالة فيروس نقص المناعة البشرية أو الأمراض المنقولة جنسياً، ومؤشرات الحالات المزمنة. وعلى عكس عنوان البريد الإلكتروني أو رقم الهاتف المسرب، لا يمكن تغيير هذه المعلومات. وبمجرد كشفها، يمكن استخدامها للتمييز في التأمين، أو الابتزاز، أو الإضرار الاجتماعي لسنوات.

ربما لم يكن لدى المرضى الذين تأثرت سجلاتهم في تولامور أي فكرة عن أن بياناتهم كانت محفوظة في نظام متصل بشبكة يمكن لمشغلي الفدية الوصول إليها. هذه مشكلة هيكلية تمتد إلى ما هو أبعد من أيرلندا. فالمستشفيات تشغل بشكل روتيني أنظمة قديمة لم تُصمم أصلاً مع أخذ أمن الشبكات في الاعتبار، ومنصات المختبرات هي مثال رئيسي على ذلك. غالباً ما تُشترى كأجهزة قائمة بذاتها، ثم تُدمج في شبكات أوسع بعد سنوات، ونادراً ما تخضع لنفس التدقيق الأمني الذي تخضع له الأنظمة التي تواجه المرضى.

هذا أحد الأسباب التي تجعل اختراقات بيانات الرعاية الصحية تستمر في التفوق على القطاعات الأخرى من حيث التكرار والخطورة، حتى مع قيام المؤسسات في قطاعي المال والتجزئة بتحصين دفاعاتها بشكل كبير.

كيف تستهدف هجمات الفدية شبكات الرعاية الصحية ولماذا المستشفيات عرضة للخطر

يستهدف مشغلو الفدية قطاع الرعاية الصحية لعدة أسباب متداخلة. البيانات قيّمة. والمؤسسات تتعرض لضغوط لاستعادة العمليات بسرعة، مما يجعلها أكثر عرضة للدفع. والأهم من ذلك، أن الوضع الأمني للعديد من شبكات المستشفيات لا يزال ضعيفاً مقارنة بحساسية ما تخزنه.

تتميز شبكات المستشفيات بعدد كبير من الأجهزة المتصلة، التي يعمل الكثير منها بأنظمة تشغيل أو برامج ثابتة قديمة. الأجهزة الطبية، ومعدات التصوير، وأنظمة التشخيص المتخصصة غالباً ما لا يمكن تصحيحها دون تدخل البائع أو توقف المعدات الذي لا تستطيع الفرق السريرية تحمله. هذا يُنشئ ثغرات مستمرة يمكن للجهات التهديدية المتطورة استغلالها بعد وقت طويل من اكتشاف باحثي الأمن لها.

لا يزال التصيد الاحتيالي هو أكثر نواقل الوصول الأولي شيوعاً. يمكن لنقرة واحدة من أحد الموظفين على رابط خبيث في بريد إلكتروني أن توفر موطئ القدم الذي يحتاجه المهاجم للتحرك جانبياً عبر الشبكة حتى يصل إلى أنظمة عالية القيمة مثل قواعد بيانات المرضى، أو كما حدث في تولامور، منصات المختبرات. فهم كيفية انتشار الفدية عبر الشبكات المؤسسية هو سياق أساسي لأي شخص يعمل في بيئات تقنية معلومات الرعاية الصحية أو يديرها.

تقر غرامة هيئة حماية البيانات ضد هيئة الخدمات الصحية ضمنياً بأن بعضاً من هذا التعرض كان قابلاً للمنع. بينما لم تُنشر النتائج التقنية المحددة للتحقيق بالكامل، فإن الهيئات التنظيمية تركز عادةً إجراءاتها التنفيذية على إخفاقات التحكم في الوصول، وتجزئة الشبكة، والاستعداد للاستجابة للحوادث.

ما يعنيه هذا لك: خطوات عملية للمرضى والعاملين في الرعاية الصحية

إذا كنت مريضاً، فإن الخطوة الأكثر إلحاحاً هي الوعي. إذا تلقيت رعاية في مستشفى ميدلاندز الإقليمي في تولامور ولم يتم إخطارك بهذا الاختراق، فراقب عن كثب أي اتصالات من هيئة الخدمات الصحية. كن متنبهاً لأي اتصال غير معتاد من شركات التأمين، أو جهات العمل، أو جهات مجهولة تشير إلى تاريخك الصحي، فقد يشير ذلك إلى أن بياناتك قد استُخدمت بشكل خبيث.

بالنسبة للعاملين في الرعاية الصحية، لا سيما أولئك الذين يصلون إلى الأنظمة السريرية من مواقع متعددة أو عبر شبكات مشتركة، فإن سطح المخاطرة أوسع مما يدركه معظم الناس. استخدام شبكة افتراضية خاصة (VPN) على شبكات الواي فاي في المستشفيات أو العيادات يضيف طبقة تشفير لاتصالك، مما يقلل من خطر اعتراض بيانات الاعتماد. هذا مهم بشكل خاص للموظفين الذين يسجلون الدخول إلى أنظمة إدارة المرضى أو المختبرات عن بُعد أو عبر محطات طرفية مشتركة.

بالنسبة لفرق تقنية معلومات الرعاية الصحية والإداريين، تقدم قضية تولامور قائمة واضحة بالأولويات:

• تجزئة الشبكة: التأكد من أن أنظمة المختبرات والمنصات المتخصصة الأخرى تقع على أجزاء شبكة معزولة لا يمكن الوصول إليها مباشرة من شبكات الموظفين العامة.
• ضوابط الوصول: تطبيق مبدأ الامتياز الأدنى، مما يعني أن المستخدمين والأنظمة يجب أن يكونوا قادرين فقط على الوصول إلى ما يحتاجونه فعلاً.
• إدارة التصحيحات: بناء عملية رسمية لتحديد ومعالجة الثغرات في الأنظمة الطبية والمختبرية، حتى عندما يتطلب الأمر تنسيقاً مع البائع.
• تخطيط الاستجابة للحوادث: وجود خطة مُختبرة وموثقة لعزل الأنظمة المخترقة وإخطار الجهات التنظيمية ضمن نافذة الـ 72 ساعة التي تنص عليها اللائحة العامة لحماية البيانات.
• تدريب الموظفين: التدريب المنتظم والواقعي على محاكاة التصيد الاحتيالي يقلل من احتمالية الاختراق الأولي.

غرامة الـ 300,000 يورو ضد هيئة الخدمات الصحية هي عقوبة جدية، لكن التكاليف السمعة والتشغيلية لاختراق كبير لبيانات مرضى ناجم عن فدية في الرعاية الصحية تتجاوز بكثير أي عقوبة تنظيمية. بالنسبة لـ 84,000 شخص الذين تم كشف نتائج مختبراتهم في تولامور، فإن العواقب شخصية ومن المحتمل أن تكون دائمة.

إذا كنت تعمل في بيئة رعاية صحية أو تزورها بانتظام، فخصص وقتاً لمراجعة ممارساتك الخاصة بنظافة البيانات. استخدم كلمات مرور قوية وفريدة لأي بوابة مرضى أو نظام سريري تصل إليه. فعّل المصادقة الثنائية حيثما كانت متاحة. وفكّر في استخدام شبكة افتراضية خاصة (VPN) موثوقة عند الاتصال بأي شبكة لا تتحكم فيها بالكامل. العادات الصغيرة المطبقة باستمرار تُحدث فروقاً ذات معنى في نتائج الأمن في العالم الحقيقي.