حسبما ورد في مجلة HIPAA Journal “كان عام 2020 هو العام الأسوأ على الإطلاق من حيث اختراق البيانات في مجال الرعاية الصحية.” في الولايات المتحدة الأمريكية بمفردها، تم الإبلاغ عن 642 حالة اختراق للبيانات حيث تخطى عدد السجلات التي تمت سرقتها 500 سجل، وفي المجمل، تم اختراق نحو 29.3 مليون سجل من سجلات الرعاية الصحية.
التهديدات الكبرى المحيطة ببيانات الرعاية الصحية
في السنة التي كان فيها العالم يصب تركيزه على مجال الرعاية الصحية، كانت هناك أيضًا الكثير من الجهات ذات النوايا الخبيثة. وعلى الرغم من أنه كانت هناك الكثير من الأسباب وراء عمليات اختراق بيانات الرعاية الصحية التي تم الإبلاغ عنها في 2020، كانت الأسباب الثلاثة الأبرز على النحو التالي:
- حوادث برامج الفدية الضارة والتصيُّد.
- الوصول أو الكشف غير المصرَّح بهما.
- سرقة البيانات.
ساهمت حوادث تكنولوجيا المعلومات، مثل برامج الفدية الضارة والتصيُّد في نسبة كبيرة بلغت 91.99 في المئة من السجلات الطبية التي تم اختراقها. وكانت هناك زيادة بنسبة 25 في المئة في عدد هجمات برامج الفدية الضارة التي تستهدف مجال الرعاية الصحية في 2020. في الحقيقة، في أكتوبر 2020، أصدر مكتب التحقيقات الفيدرالي، ووكالة الأمن السيبراني وأمن البنية التحتية، ووزارة الصحة والخدمات الإنسانية الأمريكية بيانًا مشتركًا بشأن وجود زيادة في أنواع متحورة من برامج الفدية الضارة مثل: TrickBot، و Ryuk، و BazarLoader التي تستهدف المستشفيات الأمريكية ومقدِّمي خدمات الرعاية الصحية.
وقد تسببت هذه الهجمات في الكشف عن المعلومات الصحية المحمية بطريقة إلكترونية (ePHI)، مثل السجلات الطبية، وتفاصيل المرضى، وأرقام الضمان الاجتماعي، وتفاصيل التأمين الصحي، والمعلومات المالية.
خطة ManageEngine المكونة من 6 خطوات ل تأمين بيانات الرعاية الصحية
كشف تقرير تكلفة اختراق البيانات لسنة 2020 أن سجل الرعاية الصحية المفقود أو الذي تمت سرقته تصل تكلفته إلى 429 دولارًا — أعلى بكثير من المتوسط في المجال، والذي يبلغ 150 دولارًا. نظرًا لحساسية هذا القطاع وتعرضه للكثير من عمليات اختراق البيانات، يتعين على المؤسسات العاملة في مجال الرعاية الصحية اتباع هذه الخطة المكونة من ست خطوات لتأمين البيانات الخاصة بها.
- فحص المعلومات الصحية المحمية بطريقة إلكترونية (ePHI) في مساحة التخزين
قم باستخدام طرق مختلفة مثل مطابقة الكلمات الأساسية ومطابقة الأنماط لفحص مستودعات تخزين الملفات للمعلومات الصحية المحمية بطريقة إلكترونية (ePHI). أنشئ سجل مخزون مفصَّل للبيانات الأكثر حساسية في مؤسستك وحافظ عليه وذلك من خلال تحديد مواعيد زمنية لعمليات الفحص الاستكشافية على فترات منتظمة.
- تقييم المخاطر المتعلقة بالمعلومات الصحية المحمية بطريقة إلكترونية (ePHI)
حلِّل درجة حساسية البيانات، وموقعها، وخطورتها، والأذونات المتوفرة لدى المستخدمين عليها، وغيرها من المعلِّمات لتقييم قابلية تعرضها للخطر والاختراق. قم بإجراء المعالجة حيثما كان ذلك ضروريًا لاتباع نماذج الامتيازات الأقل والتأكد من تخزين المعلومات في أماكن آمنة فقط.
- تصنيف الملفات التي تحتوي على بيانات الرعاية الصحية إلى فئات
حسِّن فعالية أنظمة المتابعة والاستجابة للحوادث من خلال تصنيف الملفات التي تحتوي على المعلومات الصحية المحمية بطريقة إلكترونية (ePHI) إلى فئات. نوصي باستخدام أداة تؤدي مهمة التصنيف بالاقتران مع الكشف عن البيانات.
- مراجعة جميع عمليات الوصول إلى الملفات الحساسة
قدِّم تقارير بشأن وصول المستخدمين إلى الملفات الهامة لمعرفة مَن قام بالوصول إلى بيانات الرعاية الصحية، وموعد الوصول، ومكانه. قم بالكشف عن هجمات برامج الفدية الضارة باستخدام ملفات التنبيهات التي تستند إلى الحد ومكتبة محدَّثة من أنواع ملفات برامج الفدية الضارة المعروفة. استخدم برامج نصية مخصصة لإيقاف تشغيل الأجهزة المخترقة وتعطيل تقدم البرامج الضارة، ومن ثمَّ تقليل الأضرار.
- متابعة تحميلات البيانات وتنزيلاتها
تابع استخدام التطبيقات القائمة على السحابة (cloud) في جميع الأجهزة الطرفية وتتبع تحميلات المستخدمين وتنزيلاتهم، والأنشطة الأخرى في جميع منصات التخزين القائمة على السحابة (cloud).
- تطبيق استراتيجية منع فقدان البيانات (DLP)
استخدم سياسات منع فقدان البيانات (Data Loss Prevention) المخصصة لاكتشاف وحظر المحاولات الضارة لنقل البيانات عبر أجهزة التخزين الخارجية وتطبيقات الويب. يحتوي هذا الكتاب المجاني على معلومات بشأن كيفية اختيار أداة منع فقدان البيانات. وتطبيق استراتيجية منع فقدان البيانات بشكل متقن.
والأهم من ذلك، تحليل الحوادث التي يتم اكتشافها من خلال أداة منع فقدان البيانات (DLP) وتعديل سياسات الكشف عن البيانات واستجابة منع فقدان البيانات حسب الحاجة.
ربما تحتاج إلى تضييق قواعد الكشف عن البيانات لتقليل النتائج الإيجابية الخاطئة، وتوسيع نطاق سياسات منع التسرب لتقليل النتائج السلبية الخاطئة أو تعديل المعلِّمات الأخرى لضمان اتساقها مع سيناريوهات التهديد المتغيرة.
كيف تساعد ManageEngine في ضمان توفير الأمان لبيانات الرعاية الصحية
ManageEngine DataSecurity Plus عبارة عن منصة موحدة للاطلاع على البيانات وتأمينها كما تقوم بتنفيذ مهامَّ تتضمن مراجعة الملفات، وتحليل الملفات، وتقييم مخاطر البيانات، ومنع تسرب البيانات، والحماية عبر السحابة (cloud).
وتساعد المستخدمين على تحديد مكان الملفات التي تحتوي على المعلومات الصحية المحمية بطريقة إلكترونية (ePHI) وتصنيفها تلقائيًا. كما أنها تحدد ثغرات أذونات الملفات، وتراجع أنشطة المستخدمين في الملفات الهامة، وتمنع تسرب البيانات الحساسة عبر الأجهزة الطرفية.
إن استغلال هذه الإمكانات بشكل مشترك يضمن توفير الحماية الشاملة لبيانات الرعاية الصحية الثابتة، والمستخدمة، والمتنقلة.
سجل للحصول على عرض توضيحي مجاني لبرنامج ManageEngine DataSecurity Plus ومعرفة المزيد من التفاصيل
المصادر:
