ماذا حدث في اختراق بيانات iRhythm؟

تمكن المخترقون من الوصول إلى معلومات المرضى الصحية عبر اختراق تطبيقات مستضافة لدى مزود طرف ثالث، وليس أنظمة iRhythm الداخلية.

كيف تجاوز المهاجمون دفاعات iRhythm الأمنية الخاصة؟

لقد اخترقوا البيئة السحابية للمورد الخارجي، لذا لم يحتاجوا أبدًا لاختراق محيط شبكة iRhythm.

لماذا لا تستطيع شبكة VPN منع اختراقات كهذه؟

شبكة VPN تحمي فقط البيانات أثناء انتقالها عبر شبكة المؤسسة الخاصة؛ ولا تؤمن البيانات المخزنة أو المعالجة في البنية السحابية لمورد خارجي.

ما النقطة العمياء التي تخلقها التطبيقات المستضافة لدى أطراف خارجية لمؤسسات الرعاية الصحية؟

تتجزأ مسؤولية الأمن لأن المورد يتحكم في الوصول، والتصحيح، والمراقبة، بينما لدى مؤسسة الرعاية الصحية رؤية تعاقدية محدودة لممارسات الأمن اليومية.

هل حادثة iRhythm جزء من نمط أوسع؟

نعم، يشير المقال إلى اتجاه متزايد من الهجمات على البنية التحتية لموردي الرعاية الصحية، بما في ذلك اختراق حديث لـ Novo Nordisk ونقطة دخول مشابهة عبر مورد في هجوم الفدية على Cropwise.

اختراق iRhythm: تطبيقات سحابية تابعة لجهات خارجية تكشف بيانات المرضى

اختراق بيانات صحية في iRhythm، شركة مراقبة القلب، كشف معلومات صحية للمرضى بعد أن تمكن المهاجمون من الوصول إلى تطبيقات مستضافة لدى جهات خارجية خارج البنية التحتية المباشرة للشركة. تأتي هذه الحادثة عقب اختراق مُبلغ عنه يشمل شركة Novo Nordisk مباشرةً، وتُعزز نمطًا لطالما حذر منه خبراء الأمن: بيانات الرعاية الصحية ليست بأمان إلا بقدر أمان أضعف حلقات الموردين. بالنسبة للمرضى ومقدمي الخدمات على حد سواء، تُشكل قضية iRhythm تذكيرًا صارخًا بأن تعرض بيانات الرعاية الصحية للاختراق عبر السحابة من أطراف خارجية أصبح الآن أحد أخطر أسطح الهجوم في المجال الطبي.

ما الذي حدث في اختراق iRhythm

كشفت iRhythm أن المخترقين تمكنوا من الوصول إلى تطبيقات مستضافة لدى مزود طرف ثالث، وليس إلى أنظمة iRhythm الداخلية، وتمكنوا من استخراج معلومات صحية للمرضى عبر ذلك الوصول. الشركة، التي تُنتج أجهزة مراقبة قلبية قابلة للارتداء مثل لصقة Zio، تتعامل مع بيانات شديدة الحساسية تشمل تسجيلات فسيولوجية وسجلات صحية مُعرّفة شخصيًا مرتبطة بأمراض القلب.

في حين أن التفاصيل المحددة حول حجم السجلات المتأثرة والأساليب الدقيقة المستخدمة لم تُنشر بالكامل، فإن الآلية الأساسية مهمة: لم يحتج المهاجمون إلى اختراق محيط iRhythm نفسه. لقد ذهبوا عبر مورد. هذا الفارق مهم للغاية في طريقة تفكير الشركات والمرضى في المخاطر.

لماذا تخلق الاستضافة السحابية لدى أطراف خارجية نقاطًا عمياء لا تستطيع الشبكات الافتراضية الخاصة (VPN) سدها

العديد من المؤسسات، بما في ذلك مقدمي الرعاية الصحية، ينشرون شبكات VPN لتشفير حركة البيانات وتقييد الوصول إلى الأنظمة الداخلية. شبكات VPN هي أداة مشروعة ومفيدة لحماية البيانات أثناء انتقالها عبر الشبكات التي تتحكم فيها المؤسسة. لكن عندما تكون بيانات المرضى موجودة في تطبيقات مستضافة لدى مورد خارجي على بنية سحابية منفصلة، فإن شبكة VPN التي تحمي شبكة iRhythm الخاصة لا تفعل شيئًا لتأمين تلك البيئة.

التطبيقات المستضافة لدى أطراف خارجية تعمل وفقًا لوضع الأمان الخاص بالمورد، وسياسات التحكم بالوصول، وجداول التصحيح، وقدرات كشف الحوادث لديهم. غالبًا ما يكون لدى مؤسسات الرعاية الصحية رؤية تعاقدية محدودة حول كيفية إدارة هؤلاء الموردين للأمن يومًا بيوم. هذه ليست مشكلة هامشية: إنها تعكس ما حدث في هجوم الفدية على Cropwise، حيث أصبحت منصة مورد مستهدفة نقطة دخول للمهاجمين الباحثين عن بيانات قيمة مخزنة خارج المحيط المحصن للمؤسسة الأساسية.

النقطة العمياء هيكلية. عندما تنتقل البيانات إلى بيئة طرف خارجي، تتجزأ مسؤولية الأمن، ويصبح الاختراق لدى المورد اختراقًا لكل مؤسسة توجد بياناتها هناك.

نمط متزايد من الهجمات على البنية التحتية لموردي الرعاية الصحية

لم يأتِ اختراق iRhythm بمعزل عن غيره. لقد تعرضت مؤسسات الرعاية الصحية للاختراق مرارًا عبر تبعيات الموردين في السنوات الأخيرة. حادثة Change Healthcare كشفت سجلات حوالي 100 مليون شخص بعد أن اخترق المهاجمون مزودًا حيويًا للبنية التحتية للدفع والوصفات الطبية. منصات الرعاية الصحية عن بُعد، وشركات الفوترة، وموردو السجلات الصحية الإلكترونية (EHR)، ومستودعات بيانات الأجهزة، كلها أصبحت أهدافًا رئيسية لأنها تُجمع السجلات من عشرات أو مئات عملاء الرعاية الصحية في آن واحد.

بالنسبة للمهاجمين، الحسابات الاقتصادية واضحة. اختراق منصة سحابية واحدة تابعة لطرف خارجي تخدم عشرين مؤسسة رعاية صحية يُنتج عشرين ضعف البيانات مقابل نفس الجهد تقريبًا. بيانات الرعاية الصحية تُباع بأسعار مرتفعة في الأسواق الإجرامية لأنها تحتوي على التاريخ الطبي، تفاصيل التأمين، تواريخ الميلاد، وأرقام الضمان الاجتماعي مجتمعة، مما يجعلها أكثر فائدة للاحتيال وسرقة الهوية من بيانات الاعتماد المالية وحدها.

توقيت الإفصاح عن اختراق iRhythm بقربه الشديد من حادثة Novo Nordisk يوحي إما بحملة منسقة تستهدف قطاع الرعاية الصحية، أو، بشكل أكثر منطقية، أن المهاجمين يفحصون بشكل منهجي أنظمة الموردين التي تتشاركها شركات الرعاية الصحية.

ما هي ضوابط الخصوصية التي يجب على المرضى ومستهلكي الرعاية الصحية المطالبة بها الآن

يمتلك المرضى سيطرة مباشرة محدودة على كيفية إدارة شركات الرعاية الصحية لعلاقاتها مع الموردين، لكنهم ليسوا دون وسائل أو نفوذ تمامًا.

اسأل عن مكان تخزين البيانات. عند التسجيل في برامج المراقبة عن بُعد، أو خدمات الرعاية الصحية عن بُعد، أو أي منصة صحية رقمية، يمكن للمرضى أن يسألوا مباشرة: أين تُخزن بياناتي، ومن لديه حق الوصول إليها أيضًا؟ يجب أن يكون مقدمو الخدمات قادرين على الإجابة بوضوح. الردود المبهمة إشارة تستحق الانتباه.

راجع تفويضات HIPAA بعناية. يُوقع العديد من المرضى تفويضات واسعة دون قراءة أي الأطراف الخارجية قد تتلقى بياناتهم. توضح هذه الوثائق علاقات الموردين وأذونات مشاركة البيانات. قراءتها تستغرق وقتًا لكنها تخلق وعيًا بسطح التعرض.

تابع إشعارات الاختراق. بموجب HIPAA، يُطلب من الكيانات المشمولة إخطار الأفراد المتأثرين بالاختراقات التي تؤثر على معلوماتهم الصحية المحمية. على المرضى الذين يتلقون هذه الإشعارات أن يأخذوها على محمل الجد، ويتحققوا من البيانات المحددة المعنية، ويفكروا في وضع تجميد ائتماني أو تنبيهات احتيال إذا كانت أرقام الضمان الاجتماعي أو البيانات المالية جزءًا من السجلات المكشوفة.

بالنسبة لمؤسسات الرعاية الصحية وفرق المشتريات، الطلب العملي هو تدقيق أمني للموردين ذي أسنان حقيقية. برامج إدارة مخاطر الأطراف الخارجية التي تتضمن متطلبات أمنية تعاقدية، واختبار اختراق منتظم للتطبيقات المستضافة لدى الموردين، وبروتوكولات موثقة للاستجابة للحوادث يجب أن تكون توقعات أساسية، لا إضافات اختيارية.

ما يعنيه هذا بالنسبة لك

يؤكد اختراق iRhythm أن خصوصية المريض في الصحة الرقمية تعتمد على سلسلة الموردين بأكملها، وليس فقط المؤسسة التي يظهر اسمها على الجهاز أو التطبيق. شبكة VPN، كلمات المرور القوية، أو المصادقة الثنائية على بوابة المريض الخاصة بك لن تحمي البيانات بمجرد نسخها إلى تطبيق سحابي تابع لطرف خارجي لا تؤمنه شركة الرعاية الصحية نفسها بشكل مباشر.

بالنسبة لمستهلكي الرعاية الصحية العاديين، الخطوة الأكثر عملية الآن هي تدقيق بصمتك الرقمية الصحية. ضع قائمة بالتطبيقات، خدمات المراقبة عن بُعد، وبوابات المرضى التي تستخدمها، وراجع سياسات الخصوصية الخاصة بها بحثًا عن إشارات إلى معالجي بيانات من أطراف خارجية. إذا لم تستطع الخدمة أن تشرح بوضوح من يحتفظ ببياناتك وكيف تتم حمايتها، فهذه معلومة من المفيد معرفتها قبل أن يصلك إشعار اختراق في بريدك الوارد.

مؤسسات الرعاية الصحية الجادة في سد هذه الفجوات تحتاج إلى تجاوز دفاعات المحيط ومعاملة أمن الموردين كامتداد لأمنها الخاص. توضح قضية iRhythm أن السؤال لم يعد إن كانت بيانات الرعاية الصحية في البيئات السحابية للأطراف الخارجية ستُستهدف أم لا. السؤال هو مدى سرعة المؤسسات والجهات التنظيمية في سد فجوات المسؤولية التي تجعل هذه الهجمات ناجحة بشكل موثوق.