أفاد تقرير جديد صادر عن وكالة الاتحاد الأوروبي للأمن السيبراني (ENISA) أن ما يقارب من 60% من جميع انتهاكات الأمن السيبراني الحاصلة قد استهدفت القطاع الصحيّ.
وأدت هذه المخاطر المتزايدة بالفعل إلى زيادة الطلب على تدابير الامتثال الإضافية من NHS والمستشفيات وشركات الأدوية لضمان استيفاء مورديها لمتطلبات الامتثال القانونية والتنظيمية مثل أمن المعلومات الصحية ومعايير المخاطر السريرية.
من جهتها، دعت نادية كاظم، المحامية الرائدة في القانون العام لحماية البيانات (GDPR) والرئيس التنفيذي لمنصة الامتثال الآلي العالمية، Naq Cyber، كل الشركات العاملة في القطاع الصحّي إلى بذل المزيد من الجهد الأمني لحماية بيانات المرضى.
وقالت: “يتحمّل المرضى وطأة هذه الهجمات الالكترونية من خلال تداول معلوماتهم الطبية الحساسة عبر الإنترنت. فآثار خرق البيانات الطبية ليست نظرية، ويمكن أن تؤدي إلى التمييز وإلى مواقف قد تهدد حياة المرضى. تخيّلوا أن يقوم الطبيب مثلاً بوصف دواء ما لمريض قد يكون مصاب بحساسية منه، ولكنّ الطبيب لن يعلم ذلك بسبب عدم توفر ملف المريض أو تلفه بشكل كامل”.
هذا ووجد تقرير ENISA أيضًا أن 54% من جميع تهديدات الأمن السيبراني في القطاع الصحي تأتي من برامج الفدية. وهي نوع من البرامج الضارة التي تمنع الأطباء من الوصول إلى أنظمة الكمبيوتر الخاصة بهم عبر تشفير ملفاتهم بالكامل، مما يمنح المهاجمين قدرة هائلة على التحكم في أي معلومات شخصية مخزنة على أجهزة الضحايا. ثم يهددهم مجرمو الإنترنت بحجب البيانات الحساسة نهائياً إلى حين دفع الفدية المالية. ومن هنا جاء تعبير “برامج الفدية”.
وبالتالي، تطلب المستشفيات ووكالات الرعاية والمؤسسات الصيدلانية من الموردين في قطاع الرعاية الصحية، بما في ذلك الشركات التي تقدم حلول MedTech والأجهزة الطبية، إثبات امتثالهم لمعايير مثل NHS DSPT و DTAC و DCB0129 و ISO27001 و Cyber Essentials.
وأضافت نادية كاظم: “تفتقر أكثر من نصف الشركات التي تزود المستشفيات أو المنظمات الصيدلانية أو NHS الأوسع إلى المهارات الإلكترونية الأساسية لحماية نفسها من الهجمات. فإذا كنت أحد هؤلاء الموردين، يجب عليك التأكد من أنك لا تتعامل مع NHS DSPT و DTAC و DCB0129 و Cyber Essentials و ISO27001 كتدريبات ورقية. بدلاً من ذلك، اتخذ الإجراءات الصحيحة لحماية المرضى من أضرار بعيدة المدى في العالم الحقيقي”.