بخش سلامت مجموعه‌ای حیاتی و پیچیده از محصولات، خدمات و سیستم‌هاست که به حفظ و ارتقای سلامت عمومی و مراقبت‌های پزشکی کمک می‌کند. این بخش سهم عمده‌ای در اقتصاد جهانی دارد، محرک نوآوری است و از نظر فوریت و تقاضا منحصربه‌فرد است. از زمان ظهور اینترنت، جای تعجب نیست که این بخش به هدف اصلی برای مجرمان سایبری و کسانی تبدیل شده که به دنبال دستکاری در داده ها و نهادهای سلامت هستند.

 تیم‌های متخصص امنیت سایبری در کشورهای پیشرو سال‌هاست که برای مقابله با این خطرات تلاش می‌کنند و یک رویکرد عملیاتی برای بخش سلامت دارند.  بر اساس بررسی ها و گزارش ها پنج نگرانی امنیت سایبری شناسایی شده است که امروزه برای سازمان‌های حوزه سلامت بسیار حیاتی هستند. این تهدیدها عبارتند از:

۱. حملات باج‌افزار (Ransomware)
۲. ریسک فروشندگان شخص ثالث (Third-party vendor risks)
۳. سیستم‌ها و فناوری‌های از رده خارج (Legacy systems and technology)
۴.  نقض مقررات حریم خصوصی داده‌ها (data privacy regulations)
۵. فیشینگ و تهدیدات داخلی (Phishing and insider threats)

در این مقاله با رویکردی تحلیلی به این حملات و راهکارهای آن می پردازیم.

۱. حملات باج‌افزار (Ransomware)

موسسات بهداشتی به دلیل وابستگی به دسترسی سریع به داده‌های بیماران ، بسیار مستعد حملات باج‌افزار هستند. مجرمان سایبری از فوریت خدمات سلامت سوءاستفاده می‌کنند، زیرا می‌دانند اختلال در این خدمات می‌تواند عواقب جبران ناپذیری داشته باشد. این فشار باعث می‌شود ارائه‌دهندگان سلامت برای بازیابی داده ها و دسترسی سریع ، باج پرداخت کنند. پیامدهای حمله شامل از دست رفتن داده‌ها، توقف عملیات و فشار مالی شدید از جمله کسورات می باشد. در حالی که در مدیریت فناوری اطلاعات دانشگاه در محیطی پرشتاب فعالیت می کنیم، قطع سامانه ها می تواند مستقیما به بیماران آسیب برساند. از طرفی پیچیدگی فزاینده حملات باج‌افزاری نیاز به هوشیاری و تخصیص منابع دائمی دارد. تعادل این ریسک با محدودیت‌های بودجه چالش بزرگی است، زیرا باید همزمان سیستم‌های قدیمی و فناوری‌های جدید خریداری و تجهیز نماییم. بهره گیری از مراکز داده موازی اما ایزوله می تواند راهکار دائمی این تهدید باشد.

۲. ریسک فروشندگان شخص ثالث (Third-party vendor risk)

صنعت سلامت اغلب به فروشندگان متعدد شخص ثالث برای دستگاه‌های پزشکی، ذخیره‌سازی و راه‌حل‌های نرم‌افزاری وابسته است. این فروشندگان ممکن است سطح بلوغ امنیتی یکسانی نداشته باشند و آسیب‌پذیری‌های سیستم‌های آنها می‌تواند منجر به نفوذ و آسیب به سامانه های بهداشت و درمان شود. این خطر با گسترش وسعت زنجیره تامین دیجیتال افزایش یافته است.

ما برای همه چیز از دستگاه‌های پزشکی تا خدمات میزبانی وب، به فروشندگان شخص ثالث وابسته‌ایم. رویکردهای امنیتی این فروشندگان مستقیماً بر ما تاثیر می‌گذارد، اما اغلب دید کاملی از مدیریت ریسک آنها نداریم. در این زمینه مرکز مدیریت راهبردی افتا در کشور نقش تعیین کننده ای ایفا می کند. صدور گواهی افتا برای محصولات نرم افزاری و سخت افزاری می تواند بار عملیاتی بسیاری را از دوش سازمان در زمینه انجام تست های امنیتی بردارد. البته چالش های مهمی نیز در این باب از جمله هزینه آزمایش ها و به صرفه نبودن آن و محصولات توسعه یافته درون سازمانی وجود دارد. لذا در بسیاری از سامانه ها اخذ این گواهی انجام نشده است و جایگزینی نیز برای آن وجود ندارد.

۳. سیستم‌های قدیمی و فناوری منسوخ (Legacy systems and outdated technology)

بسیاری از سازمان‌های سلامت به سیستم‌های قدیمی متکی هستند که به‌دلیل سخت‌افزار یا نرم‌افزارهای منسوخ، به‌سختی قابل اصلاح یا ایمن‌سازی هستند. این سیستم‌ها اغلب از پروتکل‌های امنیتی یا رمزنگاری مدرن پشتیبانی نمی‌کنند و هدف آسانی برای مهاجمان هستند. انتقال به سیستم‌های جدید معمولاً با چالش‌های مالی، انطباق و نیاز به عملیات مداوم پیچیده می‌شود. در نظام سلامت نیز علی رغم تاکید بر روزآمدسازی نرم افزاری توسط شرکت ها ، در برخی موارد به سامانه های قدیمی متکی هستیم و هزینه تغییر می تواند بسیار زیاد باشد اما چالش مهم تر مقاومت نیروی انسانی در برابر تغییر سامانه قدیمی و مهاجرت از آن می باشد.

۴. نقض مقررات حریم خصوصی داده‌ها (data privacy regulations)

ارائه‌دهندگان خدمات سلامت باید چارچوب‌های نظارتی ابلاغی از سطوح بالاتر را پذیرفته و رعایت کنند. عدم رعایت این مقررات می‌تواند منجر به جریمه‌های سنگین و آسیب به اعتبارشان شود. در عین حال، تضمین انطباق با قوانین اغلب چالش‌های عملیاتی ایجاد می‌کند، زیرا سازمان‌ها باید بین حریم خصوصی و دسترسی به داده‌های حیاتی بیماران تعادل برقرار کنند. از طرفی ابلاغیه ها گاهی بصورت فراگیر برای تمام سازمان های کشوری ارسال می شود که از لحاظ حجم، وسعت، تعداد کاربران، تنوع و پیچیدگی فرآیندها بسیار با ارائه کنندگان خدمات بهداشتی(به ویژه دانشگاه های علوم پزشکی) تفاوت دارند. برای مثال  در دستورالعمل جداسازی فیزیکی شبکه داخلی از اینترنت در سازمانی با 300 کاربر به راحتی می توان دو رایانه به هر فرد تخصیص داد اما در تعداد کاربرانی به وسعت 15000 نفر چنین امکانی میسر نمی باشد و جداسازی منطقی شبکه ها از هم جایگزین شکل فیزیکی می شود.

۵. فیشینگ و تهدیدات داخلی (Phishing and insider threats)

یکی از تهدیدات مرسوم حملات فیشینگ می باشد. در این نوع حمله با ایجاد صفحات و فرم های جعلی اطلاعات کاربری، مالی و شخصی به سرقت می روند. در این زمینه کارکنان بخش سلامت، از جمله پرسنل بالینی و اداری، ممکن است آگاهی امنیتی کمتری نسبت به سایر بخش‌ها داشته باشند. کمپین‌های فیشینگ و مهندسی اجتماعی می‌توانند منجر به نقض داده‌ها از طریق اطلاعات ورود به سیستم آلوده یا افشای تصادفی داده‌ها شوند. تهدیدات داخلی (عمدی یا غیرعمدی) نیز با توجه به دسترسی بالای کارکنان به داده‌های حساس بیماران، نگرانی فزاینده‌ای است زیرا شامل رفتار انسانی می‌شوند که کنترل آن تنها با فناوری دشوار است. برای غلبه بر این چالش تلاش می کنیم با برگزاری نشست ها و کارگاه های آموزشی امنیت سایبری، دانش افراد را ارتقا دهیم اما با توجه به کمبود نیروی انسانی و فشار شدید کاری در ارائه کنندگان خدمات بهداشتی و درمانی اشتباهات اجتناب‌ناپذیرند و می بایست تلفیقی از آموزش و فناوری را در این عرصه به خدمت گرفت.

در این مقاله به تهدیدات اولویت دار سایبری در نظام سلامت پرداختیم برای هر تهدید راهکارهایی در سازمان ها پیاده سازی می شود که می توان برنامه جامع امنیت سایبری را  در موارد زیر خلاصه نمود.
۱. ارزیابی جامع آسیب‌پذیری‌ها

۲. تشخیص و پاسخ پیشرفته به تهدیدات

۳. پشتیبان‌گیری از داده‌ها و برنامه‌ریزی بازیابی

۴. آموزش و شبیه‌سازی تهدیدات به کارکنان

5. ارزیابی ریسک و بررسی دقیق فروشندگان نرم افزار  

6. مدیریت دسترسی فروشندگان نرم افزار به سرورها

7. آماده‌سازی زیرساخت فناوری اطلاعات برای آینده

8. ارزیابی جامع سیستم‌های قدیمی