اهمیت امنیت مراکز بهداشتی و درمانی در برابر حمله های سایبری
خبرهای مربوط به دنیای پزشکی بیانگر این است که یکی از جذاب ترین اهداف برای مجرمان سایبری، بخش سلامت و مراقبت های بهداشتی – درمانی است. داده های مربوط به حوزه پزشکی، از جمله موارد پرطرفدار در وب تاریک به شمار می روند، به نحوی که قیمت خرید و فروش آنها حتی از اطلاعات کارتهای بانکی هم بیشتر است. سؤالی که در اینجا مطرح می شود این است که کارکنان صنعت پزشکی چگونه می توانند با آسیبپذیری های مرتبط با نشت داده ها مقابله کرده و قوانین امنیتی را رعایت کنند.
شایان ذکر است با گسترش روزافزون فناوری اطلاعات در مراکز بهداشتی و درمانی، بسیاری از کارمندان شاغل در این مراکز، استفاده از سامانه های رایانه ای و دیجیتالی را به روش های سنتی و کاغذی ترجیح می دهند. از این رو در دهه اخیر، فناوری اطلاعات در بخش مراقبت های درمانی پیشرفت چشمگیری داشته است. همچنین کادر درمانی استفاده از تلفن را به منظور ارایه خدمات مراقبتی بهتر، در دستور کار خود قرار دادهاند. البته استفاده از سیستم تلفنی نیز قاعدتاً مسایل و مشکلات امنیتی خاص خود، از جمله مسایل مربوط به محرمانگی و حفظ اطلاعات بیماران را دارد.
امنیت سایبری در صنعت پزشکی
بخش مراقبت های بهداشتی و درمانی به علت نگرانی های امنیتی که در خصوص نگهداشت امن داده ها و حریم خصوصی کاربران وجود دارد، یکی از قانونمندترین صنایع در بیشتر کشورها محسوب می شود. از جمله قوانینی که این بخش ملزم به رعایت آنها است، عبارتند از قوانین HIPAA و HITECH (فناوری اطلاعات سالم برای حفظ سلامت اقتصادی و بالینی) که در زمینه حفظ حریم خصوصی و توافق نامه عدم افشای اطلاعات بیماران، الزاماتی را وضع کرده اند.
وظیفه اصلی کادر درمان، حفظ سلامت و نجات جان انسانها است. بنابراین اولویت اصلی برای تخصیص بودجه در این مراکز، بخش درمان است و نه فناوری اطلاعات و امنیت آن. به همین علت، این بخش معمولاً آمادگی کافی و لازم را برای دفاع در برابر حمله های سایبری ندارد. از این رو، احتمال وقوع رخدادهایی همچون افشای ناخواسته اطلاعات توسط کارکنان (مثلاً ارسال ایمیل اشتباهی و وارد کردن داده ها به صورت اشتباهی)، سرقت فیزیکی تجهیزات، دریافت و نصب بدافزارها و همچنین مهندسی اجتماعی آنها بسیار زیاد است.
بر اساس گزارشی که در سال 2018 میلادی توسط Vorizon ارایه شده است علت اصلی نشت اطلاعات در مراکز درمانی استفاده نادرست از اطلاعات توسط کارمندان است. در بیشتر وقت ها مهاجمان سایبری با سوءاستفاده از مجوزهای کاربری که به دست آورده اند، دسترسی غیرمجاز به داده های درمانی بیماران داشته اند.
مبارزه با دشمن داخلی
بر اساس گزارش Vorizon، شرایط کاری دشوار و دستمزدهای پایین در صنعت سلامت، موجب آن شده که در بیشتر موارد یک عامل انسانی داخلی در افشای داده ها سهیم باشد. اگرچه اطلاعات هویتی و کارت های بانکی افراد، ممکن است در وب تاریک و دنیای هکرها به مبالغ نسبتاً بالایی هم فروخته شوند اما داده های پزشکی مانند نام، تاریخ تولد و اطلاعات مربوط به سوابق بیماری بیماران اغلب بسیار گران تر فروخته می شوند. بنابراین با توجه به ارزش بالای این اطلاعات، مجرمان سایبری تلاش زیادی را برای به دست آوردن چنین اطلاعاتی به منظور تهدید و اخاذی بیماران می کنند.
روش های محافظتی
راهکارهای زیر به مراکز بهداشتی و درمانی کمک می کند تا بتوانند دفاع اثربخشی را در برابر تهدیدها و حملات سایبری داشته باشند:
- آموزش و آگاهی بخشی کارمندان: آموزش های لازم جهت امن سازی سیستم ها و تجهیزات رایانه ای مراکز را به کارمندان داده و منابع مالی مورد نیاز برای انجام هر چه بهتر این کار را فراهم کنید.
- رمزنگاری داده ها: یکی از عواملی که منجر به نشت اطلاعات در صنعت مراقبت و سلامت می شود، سرقت دستگاه های فاقد سازوکار رمزنگاری داده ها یا جا گذاشتن آنها در مکان های نامناسب است. با استفاده از راهکارهای رمزنگاری داده ها به عنوان یک راه حل ارزان و مؤثر می توان این نگرانی را برطرف کرد.
- استفاده از روش های احراز هویت چندعاملی: یکی از بهترین راه حل هایی که برای جلوگیری از دسترسی غیرمجاز کاربران می توان از آن استفاد کرد، مجهز کردن کلمه های عبور کاربری به احراز هویت چندعاملی یا همان MFA است. تمامی کاربران (حتی کارکنان بخش IT، پیمانکاران و همکاران) باید از MFA برای ورود به حساب های کاربری شان استفاده کنند.
- محدود کردن دسترسی ها: همان طور که در بالا هم به آن اشاره کردیم یکی از عواملی که باعث نشتی اطلاعات می شود، سوءاستفاده از دسترسی های دارای مجوز است. بنابراین محدود کردن این دسترسی ها نقش بسیار مهمی در جلوگیری از بروز رخدادهای ناگوار سایبری دارد.
استفاده از این راهکارهای پیشنهادی می تواند به کنترل چالش های امنیتی و همچنین بهبود کیفیت مراقبت از بیماران کمک کند.
