0

تريد الأنظمة الصحية مساعدة الحكومة في محاربة المتسللين

قال لي ميليجان ، كبير مسؤولي المعلومات في نظام Asante الصحي في ولاية أوريغون ، إنه يشعر بالتشجيع لأن الرئيس جو بايدن قد اتخذ خطوات للمساعدة في تأمين الأمة ضد التهديدات الإلكترونية ، لكنه يريد من واشنطن أن تعمل بشكل مباشر أكثر مع الأنظمة الصحية لتحمل عبء الهجمات. .

قال: “إنه يذهلني أنه في النهاية ، يجب أن تحاول أنظمة المستشفيات الفردية – بشكل أساسي في عزلة – اكتشاف ذلك”. “إذا قامت دولة قومية بقصف الجسور التي تربط فوق نهر المسيسيبي وتربط بين الولايتين” أ “و” ب “، فهل سننظر إليها بنفس الطريقة؟ ومع ذلك ، فإن نفس الخطر على الحياة يحدث عندما يغلقون نظامًا صحيًا “.

إن الارتفاع المستمر في الهجمات يهدد سلامة المرضى ويجهد الأطباء الذين أنهكهم بالفعل جائحة Covid-19. في أسوأ الحالات ، يمكن للقراصنة إغلاق عمليات المستشفى وسحب بيانات المرضى.

الحصول على اختراق أمر مكلف: تكلف هجوم 2021 الإلكتروني على أكبر نظام صحي في سان دييغو ، Scripps Health ، 112.7 مليون دولار. وزادت هذه التكاليف من الضغط على الأنظمة الصحية لرفع أسعار الخدمات ، خاصة وأنها تواجه سوق عمل تنافسي ، وخسائر جائحة ، وارتفاع أسعار الأدوية. والآن ، تعمل شركات التأمين على الإنترنت على الحد من التغطية وزيادة أقساط التأمين ، مما يزيد من فضح الأنظمة الصحية.

كانت هناك العديد من الجهود الفيدرالية لمساعدة الأنظمة الصحية في الهجمات الإلكترونية ، من خلال وزارة الصحة والخدمات الإنسانية ، ومكتب التحقيقات الفيدرالي ووزارة الأمن الداخلي. ومع ذلك ، لا تشعر جميع الأنظمة الصحية أن هذه الموارد كافية.

قال ميليجان: “ما أردته حقًا هو أن يضعوا إطارًا فعليًا محددًا للشراكة بين الأنظمة الصحية الفردية والحكومة بشأن الحماية أو الاستجابة أو الأفضل كليهما”.

التكاليف

تتلقى طبيبة بريدًا إلكترونيًا يطلب منها تسجيل الدخول إلى البوابة للحصول على نسخة من السجلات الطبية السابقة لمريضتها. موقع الويب الذي ترتبط به روابط البريد الإلكتروني مزيف ، وهو مشابه شائن يسخر منه المتسللون. عن غير قصد ، تخلت الطبيبة عن بيانات اعتماد تسجيل الدخول لبوابة السجلات الصحية الحقيقية أو قامت بتنزيل فيروس.

هذا واحد من العديد من السيناريوهات التي يستعد لها CISOs للرعاية الصحية مع استعداد الأنظمة الصحية للموعد النهائي الفيدرالي في أكتوبر لجعل بيانات السجلات الصحية الإلكترونية قابلة للمشاركة بين شبكات المستشفيات ، مما قد يؤدي إلى خطوط جديدة من الهجمات من مجرمي الإنترنت ، على حد قولهم ، لأنها تجذب الانتباه إلى نقاط الدخول الجديدة للقراصنة.

الهجمات الإلكترونية على الأنظمة الصحية في ارتفاع مستمر ، وتكاليفها آخذة في الازدياد. قال الخبراء إن هناك مجموعة متنوعة من الأسباب للزيادة ، بما في ذلك أن المجرمين أصبحوا أكثر تقدمًا وأن المزيد من جوانب الرعاية الصحية متوفرة عبر الإنترنت.

عندما ضرب هجوم إلكتروني على مركز سكاي ليكس الطبي ، وهو مستشفى مجتمعي في جنوب ولاية أوريغون ، في أواخر أكتوبر 2020 ، كانت أجهزة الكمبيوتر الخاصة به معطلة لمدة ثلاثة أسابيع. أصبحت أكثر المهام العادية شاقة. كان على الممرضات فحص المرضى الحرجين كل 15 دقيقة في حالة تغير علاماتهم الحيوية. كتب الأطباء أوامرهم واستولت أكوام الورق المنتفخة على الغرف بأكملها. في غضون ثلاثة أسابيع ، نفذت المستشفى 60 ألف ورقة.

كان على Sky Lakes إعادة بناء أو استبدال 2500 جهاز كمبيوتر وتنظيف شبكتها لإعادة الاتصال بالإنترنت. حتى بعد أن عينت موظفين إضافيين ، استغرق الأمر ستة أشهر لإدخال جميع السجلات الورقية في النظام. في المجموع ، يقول جون غايدي ، مدير خدمات المعلومات في Sky Lakes ، إن منظمته أنفقت 10 ملايين دولار – وهي نفقات كبيرة لمنظمة غير ربحية مع ما يقرب من 4.4 مليون دولار من الدخل التشغيلي السنوي (لم تدفع المنظمة فدية).

بالنسبة للمستشفيات ذات الميزانيات المحدودة ، هناك أسئلة حول مدى قدرتها على حماية نفسها. كان الهجوم على Sky Lakes جزءًا من موجة هجمات في عامي 2020 و 2021 مرتبطة بجماعة إجرامية في أوروبا الشرقية.

“ميزانياتنا عادة بهامش ربما 3 في المائة قال غايدي ، “لكن من المفترض أن نتنافس مع الجهات الفاعلة في الدولة القومية؟”

تعتبر البيانات الصحية مربحة في السوق السوداء ، مما يجعل المستشفيات هدفًا شائعًا. بالإضافة إلى ذلك ، إذا كان النظام الصحي لديه تأمين ضد برامج الفدية ، فقد يعتقد المجرمون أنهم يضمنون دفع تعويضات. تقوم برامج الفدية (Ransomware) بربط سجلات المستشفى في ملفات مشفرة حتى يتم دفع رسوم.

يقول أوميد رحماني ، المدير المساعد في وكالة فيتش للتصنيف الائتماني ، “عندما كانت الفدية 50.000 دولار ، كان دفعها أرخص من التعامل مع دعوى قضائية كانت ستكلف أكثر بكثير” ، مضيفًا أن الفدية تكلف الآن الملايين. “لقد تغير المشهد وبسبب ذلك تغير جانب التأمين الإلكتروني – وهذا مرتبط حقًا بظهور برامج الفدية”.

في تكلفتها السنوية لتقرير خرق البيانات ، كتبت شركة IBM أن متوسط ​​التكلفة العالمية للهجوم على نظام صحي ارتفع من حوالي 7 ملايين دولار إلى أكثر من 9 ملايين دولار في عام 2021. لكن علاج هذه الانتهاكات في الولايات المتحدة يمكن أن يكون أكثر تكلفة بكثير. لا توجد بيانات شاملة حول مقدار ما تنفقه أنظمة الرعاية الصحية الأمريكية على الهجمات ، لكن بعض الحالات البارزة سلطت بعض الضوء:

  • خرق الخدمات الصحية الشاملة ، التي تخدم 3.5 مليون مريض ، يكلف 67 مليون دولار.
  • أنفقت جامعة فيرمونت ، في منشأة طبية أكاديمية بها ما يقرب من 168000 مريض سنويًا ، 54 مليون دولار للتعافي من هجوم في عام 2020.
  • سكريبس هيلث ، التي تعالج 700000 مريض سنويًا ، خسرت 112.7 مليون دولار.

وتعوض النظم الصحية هذه التكاليف جزئيًا فقط. تلقت سكريبس 35 مليون دولار من شركات التأمين التابعة لها ، وفقًا للإفصاح المالي ربع السنوي – حوالي 30 في المئة من التكلفة الفعلية. جمعت جامعة فيرمونت 30 مليون دولار من شركة التأمين الخاصة بها ، بينما تلقت يونايتد هيلث سيرفيسز 26 مليون دولار.

“ما أراه هو أن تكلفة العلاج بعد هجوم إلكتروني شديد التأثير – سواء كانت سرقة كبيرة للبيانات أو هجومًا معطلاً عن طريق الفدية – هي بسهولة خمس مرات إلى عشرة أضعاف التغطية التأمينية ، سواء كنت مستشفى صغيرًا أو قال جون ريجي ، كبير مستشاري الأمن في جمعية المستشفيات الأمريكية “.

من المرجح أن تزداد الفجوة بين تكلفة الهجوم الإلكتروني وما ستدفعه شركات التأمين. في العام الماضي ، وسط طوفان من الادعاءات ، أفادت وكالة رويترز أن شركات التأمين الإلكتروني تتراجع عن الحد الأقصى لمعدلات السداد وأنواع الهجمات التي تغطيها. في تشرين الثاني (نوفمبر) ، أعلنت شركة Lloyd’s of London ، وهي شركة تأمين إلكتروني كبرى ، أنها لن تغطي الحرب الإلكترونية أو الهجمات الإلكترونية التي تتم نيابة عن دولة قومية. الأقساط ترتفع عينيًا.

يقول براد إليس ، رئيس مجموعة التأمين الصحي في الولايات المتحدة في وكالة فيتش للتصنيف الائتماني: “لا أستطيع أن أؤكد بما فيه الكفاية ، كل هذه التكاليف التي أشير إليها هنا هي من دفعنا جميعًا”. “[Health systems] يتم دفعها من قبل شركات التأمين وندفع جميع الأقساط التي زادت كثيرًا. ويستمرون في الصعود “.

دور الحكومة

السؤال الكبير هو إلى أي مدى يجب على الوكالات الحكومية حماية المنظمات التي تعتبر بنية تحتية حيوية. توفر وكالتان – وكالة الأمن السيبراني وأمن البنية التحتية ومركز تنسيق الأمن السيبراني للقطاع الصحي التابع لوزارة الصحة والخدمات البشرية – معلومات حول الهجمات وكيفية بناء البنية التحتية لدرءها. لدى CISA ومكتب التحقيقات الفيدرالي أيضًا فرق استجابة للحوادث.

قال إريك غولدستين ، مساعد المدير التنفيذي للأمن السيبراني في CISA ، إن الحكومة بحاجة إلى رؤية أفضل لعدد الهجمات التي تحدث وأين تحدث. وقال “من الجدير بالذكر أن جزءًا كبيرًا من عمليات اختراق الأمن السيبراني لم يتم إبلاغ الحكومة بها”.

الأنظمة الصحية مطلوبة للإبلاغ عن حالات التعرض للبيانات التي تؤثر على أكثر من 500 شخص إلى مكتب الحقوق المدنية. ولكن إذا لم يتم الكشف عن البيانات الصحية ، فلن يتعين على الأنظمة الصحية الإبلاغ.

لكن هذا مهيأ للتغيير. في الربيع الماضي ، وقع بايدن أمرًا تنفيذيًا بشأن تحسين الأمن السيبراني في البلاد والذي يسميه غولدشتاين “الأمر التنفيذي الأكثر تأثيرًا من الناحية التشغيلية للأمن السيبراني على الإطلاق” ، مما يشير إلى زيادة الاستثمار في الأمن السيبراني.

يقول: “إنها تحدد حقًا تغييرًا جذريًا في كيفية إدارة الحكومة الفيدرالية للأمن السيبراني الخاص بها”.

كما عقدت إدارة بايدن اجتماعًا الأسبوع الماضي مع العديد من المديرين التنفيذيين للرعاية الصحية وكبار المسؤولين الحكوميين ذوي الصلة لمناقشة تهديدات الأمن السيبراني والتحدي المتمثل في تأمين أنظمة صحية أصغر.

في مايو ، رئيس مجلس الشيوخ للأمن الداخلي والشؤون الحكومية جاري بيترز (D-Mich.) تقريرًا يوضح أن الحكومة ليس لديها بيانات كافية عن الهجمات الإلكترونية التي تصيب البنية التحتية الحيوية ، مثل مرافق الرعاية الصحية ، لحماية الأمة بشكل فعال من مثل هذه الضربات. يقف بيترز أيضًا وراء قانون الإبلاغ عن الحوادث الإلكترونية ، وهو قانون تم إقراره مؤخرًا وله مواعيد نهائية صارمة للإبلاغ عن الهجمات الإلكترونية المهمة ومدفوعات برامج الفدية إلى CISA (تمنح القاعدة أيضًا CISA سلطة استدعاء أي شخص لا يضع هذه المواعيد النهائية).

في المقابل ، ستصمم CISA نظام تحذير لتنبيه الأهداف المحتملة إلى الثغرات الشائعة وإنشاء فريق عمل لبرامج الفدية لمنع الهجمات وتعطيلها. يجب تشكيل فريق العمل بحلول شهر مارس تقريبًا من العام المقبل ، بينما أمام طيار التحذير من ثغرات برامج الفدية عام للانطلاق.

يقر غولدشتاين بأن الحكومة قد لا تدافع بنشاط عن كل نظام صحي من أي هجوم إلكتروني. لكنه يشير إلى أن CISA أقامت التعاونية المشتركة للدفاع السيبراني العام الماضي للعمل مع شركات الاتصالات ومقدمي الخدمات السحابية لتأمين بنيتهم ​​التحتية ، وأنظمة الصحة ، التي تستخدم هذه الشبكات ، ستستفيد من الوكيل.

وقال إن “الأمن السيبراني هو الآن ، ربما للمرة الأولى ، مجلس إدارة وموظف تنفيذي في المنظمات في جميع أنحاء البلاد” ، مضيفًا أن هذا المستوى من الاهتمام والإنفاق هو في النهاية ما سيساعد في مواجهة التهديد.