أجرى أحد الخبراء الأعضاء في فريق الأبحاث والتحليل العالمي في كاسبرسكي لاب بحثاً ميدانياً فعلياً في إحدى العيادات الطبية الخاصة للكشف عن الثغرات الأمنية الموجودة فيها وكيفية منعها والتخلص منها.
وبالفعل، تمكن الخبير من رصد ثغرات أمنية في الأجهزة الطبية التي شكّلت بوابة مفتوحة اتاحت لمجرمي الإنترنت وصولاً سهلاً إلى البيانات الشخصية للمرضى ونمط حياتهم الصحي.
والعيادة الحديثة بمفهومها تحتوي على أنظمة معقدة، فهي غالباً ما تكون مجهزة بمعدات طبية متطورة تحتوي على كمبيوترات تعمل بكامل طاقتها ومثبت عليها نظام التشغيل والتطبيقات.
ويعتمد الأطباء على أجهزة الكمبيوتر بشكل كلي ويتم تخزين جميع المعلومات بصيغة رقمية.. وبالإضافة لذلك، فإن جميع تكنولوجيات الرعاية الصحية متصلة بالإنترنت، وبالتالي، قد لا يكون من المستغرب أن تكون الأجهزة الطبية وبنية تكنولوجيا المعلومات في المستشفيات مستهدفة من قبل قراصنة الإنترنت.
ومن أحدث الأمثلة على ذلك، هجمات الفدية الخبيثة التي تعرضت لها مستشفيات في الولايات المتحدة وكندا، إلا أن شن هجمات البرمجيات الخبيثة الشاملة ليست سوى واحدة من الطرق التي يتبعها مجرمو الإنترنت لاستغلال الثغرات الأمنية الموجودة في بنية تكنولوجيا المعلومات للمستشفيات الحديثة.
ومن المتعارف عليه أن العيادات تقوم بتخزين معلومات شخصية عن المرضى، كما إنها تمتلك وتستخدم معدات تقنية باهظة الثمن ليس من السهل إصلاحها واستبدالها، مما يجعلها هدفا محتملاً وقيّما للابتزاز وسرقة البيانات.
وقد تتفاوت نتائج وتداعيات أي هجوم إلكتروني ناجح قد يتم شنه ضد إحدى المؤسسات الطبية من حيث التفاصيل، إلا أنها تنطوي دائماً على خطورة.. وقد تشمل الأضرار ما يلي:
سوء استخدام بيانات المريض الشخصية: إعادة بيع المعلومات إلى أطراف ثالثة أو مطالبة العيادة بدفع فدية للحصول لاستعادة معلومات حساسة خاصة بالمرضى.
التزوير المتعمد لنتائج فحص أو تشخيص حالة المريض.
قد يؤدي تضرر إحدى المعدات الطبية إلى التسبب بإلحاق أذى جسدي للمرضى وخسائر مالية كبيرة للعيادة.. والإضرار بسمعتها وشهرتها.
وقال سيرغي لوزكن، الباحث الأول في فريق الأبحاث والتحليلات العالمي في كاسبرسكي لاب: “لم تعد العيادات تقتصر في مفهومها على الأطباء والمعدات الطبية، بل على خدمات تكنولوجيا المعلومات أيضاً. إن أداء خدمات الأمن الداخلي للعيادة يؤثر على سلامة بيانات المرضى وجودة أداء أجهزتها. ويبذل مهندسو البرامج والمعدات الطبية جهوداً كبيرة ومضنية لابتكار جهاز طبي نافع من شأنه حماية والحفاظ على حياة الأفراد، إلا أنهم وفي بعض الأحيان ينسون كلياً مسألة حماية الجهاز من الاستخدام غير المصرح به”.
وأضاف “عندما يتعلق الأمر بالتكنولوجيات الجديدة، فينبغي معالجة قضايا السلامة في المراحل الأولى من عملية البحث والتطوير. وبإمكان شركات أمن تكنولوجيا المعلومات أن تساهم في معالجة قضايا السلامة في هذه المرحلة”.
ويوصي خبراء كاسبرسكي لاب باتباع التدابير التالية لحماية العيادات من الاستخدام غير المصرح به:
استخدام كلمات مرور معقدة لحماية جميع منافذ الاتصال الخارجية؛
تحديث سياسات أمن تكنولوجيا المعلومات وإنشاء إدارة التصحيحات البرمجية (Patch Management) وتقييمات الثغرات الأمنية في الوقت المناسب.
حماية تطبيقات المعدات الطبية في الشبكة المحلية عن طريق كلمات مرور في حال حدوث دخول غير مصرح به إلى منطقة مجال التغطية الموثوق.
حماية البنية التحتية من التهديدات التي منها على سبيل المثال البرمجيات الخبيثة وهجمات القرصنة، وذلك عن طريق اختيار وتثبيت حلول أمنية موثوق بها؛
إجراء نسخ احتياطي للمعلومات المهمة بشكل منتظم والاحتفاظ بنسخة احتياطية عنها خارج الإنترنت.
الان
قراصنة الإنترنت يخترقون سجلات الرعاية الصحية عبر بنية تكنولوجيا المعلومات
