معالجة المخاطر في سلاسل توريد الرعاية الصحية الرقمية

تواجه قطاعات الرعاية الصحية في جميع أنحاء العالم تحديات أمنية سيبرانية متزايدة، تهدد بيانات المرضى وموثوقية القطاع، وخدمات سلاسل التوريد، وحتى المؤسسات نفسها. كشفت دراسة عالمية شملت متخصصي تكنولوجيا المعلومات في مجال الرعاية الصحية أن 66% من المؤسسات تعرضت لهجمات برمجيات الفدية، بزيادة قدرها 34% عن العام الماضي^[1]. وأظهر استبيان منفصل شارك فيه مديري المستشفيات في الولايات المتحدة، أن 56% منهم صرّحوا بأن منظماتهم تعرضت لواحد أو أكثر من الهجمات السيبرانية خلال الـ 24 أشهر الماضية، استهدفت أنظمة إنترنت الأشياء الطبية وأجهزة إنترنت الأشياء، بمتوسط عدد هجمات بلغ 12.5^[2].

تشهد قطاعات الرعاية الصحية تزايداً ملحوظاً في الاختراقات الأمنية السيبرانية، حيث أصبحت الخدمات اللوجستية وسلاسل التوريد في قطاع الرعاية الصحية هدفاً مُغرياً للتهديدات السيبرانية. في عام 2023 بالولايات المتحدة، تم اختراق حوالي 120 مليون سجل طبي للمرضى بسبب اختراقات لتقنية المعلومات أو القرصنة، أي ما يعادل مريضاً واحداً من كل ثلاث مرضى تقريباً. وتعتبر هجمات برمجيات الفدية من أسرع أنواع الجرائم الإلكترونية انتشاراً، إذ وصل عدد الحوادث المُعلنة إلى قرابة 50 حادثة، وبلغت قيمة الفديات المدفوعة 500 مليون دولار في النصف الأول من العام الماضي^[3],[4]. تعد سلسلة توريد الرعاية الصحية هدفاً لهجمات الأمن السيبراني بسبب الأنظمة والبرمجيات القديمة، وتعدد الأجهزة المتصلة، ووجود ثغرات ونقاط ضعف أمنية لدى الأطراف الثالثة من الموردين والشركاء^[5].

تحت ظل مساعي التحول الرقمي لرؤية 2030، تزايدت مخاطر استهداف المملكة بالهجمات السيبرانية مما قد يؤدي إلى خسائر مالية كبيرة. وقد تخطى معدل تكلفة هجمات الفدية الرقمية على قطاع الرعاية الصحية عالمياً حاجز الـ 10 ملايين^[6]، في حين بلغت في المملكة 8 ملايين دولار، بزيادة 15% خلال الثلاث سنوات الأخيرة، وارتفاع ملحوظ بلغ 155.9% خلال العقد الماضي^[7].

أبرز مخاطر الأمن السيبراني في قطاعي الرعاية الصحية وسلسلة التوريد

لم تتعرض المنشآت الصحية في السعودية لإختراقات أمنية سيبرانية جسيمة مقارنةً بما وقع في بعض المناطق الأخرى في العالم. ففي الولايات المتحدة، يعد قطاع الرعاية الصحية من أكثر القطاعات استهدافاً للهجمات نظراً للقيمة العالية لسجلات المرضى، وبسبب تأخر القطاع تقنياً بنحو 10 سنين عن القطاعات الأخرى، بالإضافة إلى نقص الخبرات والموارد المالية لمعالجة نقاط الضعف والثغرات. وتشمل أبرز أنواع الهجمات في الولايات المتحدة عمليات التصيد الاحتيالي، هجمات برمجيات الفدية، اختراق البيانات، والاختراقات عبر الأطراف الثالثة.

في الشرق الأوسط، تتصدر هجمات التصيد الاحتيالي قائمة أسباب اختراق البيانات والتي تمثل 16% من الاختراقات التي تشهدها المنطقة. وتليها الثغرات المجهولة بنسبة 15%، بينما شكلت الهجمات من خلال بيانات الاعتماد المسروقة أو المخترقة 13% من الهجمات^[8]. بالإضافة إلى ذلك، 37% من الهجمات بكافة أنواعها في المنطقة أتاحت للمهاجمين إمكانية الوصول إلى بيئات متعددة دون أن يتم اكتشافهم.

تسببت الهجمات الإلكترونية في المملكة تحديداً بخسائر فادحة في القطاع الصحي، شملت تكاليف تعطل الأعمال، وزيادة النفقات بسبب تكثيف ممارسات الكشف والتصعيد، إضافةً إلى الموارد اللازمة لإبلاغ الجهات المعنية عند وقوع الاختراقات^[9]. ومع التحول الرقمي للخدمات اللوجستية الصحية ضمن رؤية 2030، ظهرت العديد من المخاطر الأمنية الجديدة. وتندرج هذه المخاطر تحت ثلاث فئات عامة تواجه مؤسسات الرعاية الصحية وسلاسل التوريد: الثغرات الأمنية، انقطاعات الاتصال، والاعتماد على الخدمات السحابية^[10].

نشأت نقاط الضعف مع تزايد استخدام أجهزة إنترنت الأشياء وأجهزة الاستشعار والأجهزة الأخرى المتصلة بالشبكة. ومنح هذا للمخترقين السيبرانيين المزيد من نقاط الوصول المحتملة لتجربة البرمجيات الضارة وتنفيذ هجمات الفدية. ويمكن لهذه الهجمات أن تضر أمن بيانات المرضى ومعلومات سلسلة التوريد الحساسة. إضافةً إلى ذلك، فإن تزايد الأجهزة الطبية المعتمدة على إنترنت الأشياء مثل شاشات المراقبة، مضخات الأنسولين، وأجهزة تنظيم ضربات القلب وغيرها، قد زاد من نقاط الوصول بسبب اتصالها بالشبكة، ومحدودية الأمن المدمج فيها، وتقادم البرمجيات، وعدم تدريب كوادر الرعاية الصحية الذين يستخدمونها، وأيضاً بسبب صعوبات تحديث أنظمة هذه الأجهزة.

يحدث انقطاع الاتصال عندما تعمل الهجمات السيبرانية على تعطيل الآلات أو الأنظمة أو الخدمات المتصلة بالشبكة. وينتج عن ذلك صعوبة أو استحالة الوصول إلى البيانات الضرورية لإدارة سلسلة التوريد، مما يؤدي إلى حدوث تأخيرات واضطرابات في العمليات.

مع التحول الرقمي الذي شهده قطاع الخدمات اللوجستية للرعاية الصحية، ازداد الاعتماد على التقنيات السحابية. وقد نتج عن ذلك ظهور مخاطر أمنية سيبرانية جديدة، حيث تستخدم عادةً الخدمات اللوجستية الشبكية لسلاسل توريد الرعاية الصحية الحوسبة السحابية لتخزين ومعالجة كميات هائلة من البيانات بسرعة وكفاءة. ونتيجة لذلك، أصبحت سلسلة التوريد أكثر عرضة للاختراقات الأمنية والانقطاعات، مما قد يؤدي إلى تعطيل سير عملها عند حالات الاختراق.

بالنسبة لسلاسل توريد الرعاية الصحية، فإن الخطر الرئيسي والأكثر صعوبة الذي يجب التعامل معه هو الأطراف الثالثة من الموردين داخل منظومة سلسلة التوريد. فقد يتسبب هؤلاء الموردين الشركاء، دون قصد، في إنشاء ثغرات أمنية يمكن للمخترقين استغلالها للوصول غير المصرح به إلى الأنظمة^[11].

كيف أصبحت السعودية دولة رائدة عالمياً في مجال الأمن السيبراني

تماشياً مع توجهات رؤية 2030، أعطى قطاع الأمن السيبراني في السعودية الأولوية لنمو الأمن والصناعة على الصعيدين المحلي والدولي لدعم التحول الرقمي السريع والرائع في البلاد. وذلك لمواكبة عملية التحول الرقمي السريعة والطموحة التي تشهدها البلاد. وقد أدت هذه الجهود الناجحة إلى تصدر المملكة في مجال الأمن السيبراني عالمياً، وفقاً لما وُرد في الكتاب السنوي للتنافسية العالمية لعام 2024 الصادر عن المعهد الدولي للتنمية الإدارية في سويسرا^[12].

يرجع التقدم الملحوظ في مجال الأمن السيبراني بالسعودية، جزئياً، إلى تأسيس الهيئة الوطنية للأمن السيبراني ((NCA وهي الجهة المركزية المكلفة بحماية الأمن الوطني، والبنية التحتية الحرجة، والقطاعات ذات الأولوية والخدمات الحكومية في المملكة^[13]. تحظى الهيئة الوطنية للأمن السيبراني ((NCA بدعم الخبرة الفنية للشركة السعودية لتقنية المعلومات (SITE) وتقوم بمهام تنظيمية وتشغيلية لحماية شبكات المملكة والأجهزة والبرمجيات وأنظمة تقنية المعلومات وأنظمة التشغيل. وفي داخل إطار عملها، وضعت الهيئة الوطنية للأمن السيبراني ((NCA الضوابط الأساسية للأمن السيبراني ((ECC، والتي تشمل 114 ضابطاً رئيسياً موزعة على خمسة محاور: حوكمة الأمن السيبراني، الدفاع السيبراني، المرونة السيبرانية، وأمن الأطراف الثالثة والحوسبة السحابية، والأمن السيبراني لأنظمة التحكم الصناعي.

بالإضافة إلى ريادتها الداخلية في مجال الأمن السيبراني، تمتد ريادة الهيئة الوطنية للأمن السيبراني ( (NCAإلى مستوى عالمي. فقد أسست المنتدى العالمي للأمن السيبراني (GCF)، الذي يسهل عملية الحوار الدولي حول القضايا الجوهرية في مجال الأمن السيبراني مع الدول الأخرى. ويشمل ذلك المشاركة المنتظمة والمستمرة في مناورات الأمن السيبراني مع أكثر من 40 دولة.

تقوية الأمن السيبراني لسلاس لتوريد الرعاية الصحية في المملكة

تحت مظلة رؤية 2030، وضعت السعودية العديد من الإطارات الأمنية السيبرانية لحماية سلاسل توريد الرعاية الصحية. وترتكز هذه المبادرات على التشريعات الوطنية والقطاعية، مع التركيز على حماية البيانات الصحية الحساسة وضمان أمن عمليات الرعاية الصحية.

طورت الهيئة الوطنية للأمن السيبراني ( (NCAإطاراً شاملاً للأمن السيبراني يغطي مختلف القطاعات، بما فيها قطاع الرعاية الصحية. ويتضمن هذا الإطار توجيهات وأنظمة لتأمين سلاسل الإمداد، ومعالجة قضايا مثل مخاطر الأطراف الثالثة، وضوابط الوصول، وآليات المراقبة^[14]. وفيما يتعلق بإدارة مخاطر الأطراف الثالثة، فإن الإطار يحدد اشتراطات للموردين والشركاء ويضمن التزامهم بسياسات الأمن السيبراني. كما يوفر الإطار إجراءات رقابية لتقييد الوصول إلى البيانات الصحية الحساسة بناءً على المهام والمسؤوليات داخل سلسلة التوريد. وضمن الإطار ذاته، تم إنشاء آلية للاستجابة للحوادث والإبلاغ عنها تهدف إلى كشف الاختراقات في أنظمة الرعاية الصحية والحد من أضرارها.

تضع سياسة تداول المعلومات الصحية الضوابط اللازمة لتبادل البيانات الطبية بين الجهات ذات الصلة، مما يضمن التزام مقدمي الخدمات الصحية والموردين بمعايير أمنية صارمة عند التعامل مع بيانات المرضى^[15]. ومن خلال الجمع بين وزارة الصحة والقطاع الخاص والخدمات الحكومية الأخرى، يركز نظام تبادل المعلومات الصحية على تأمين السجلات الطبية الإلكترونية، وحماية التواصل بين المؤسسات الصحية، وتنظيم عملية مشاركة البيانات بين الأطراف الثالثة.

تفرض الهيئة العامة للغذاء والدواء (SFDA) معايير صارمة للأمن السيبراني على الأجهزة الطبية وسلاسل توريد الرعاية الصحية^[16]. وتُلزم الهيئة الجهات المُصنّعة وموردي المعدات الطبية بتطبيق إجراءات أمنية مشددة، تشمل إدارة التحديثات الأمنية ورصد الثغرات، بهدف منع الهجمات السيبرانية على الأجهزة المرتبطة بشبكات خدمات الرعاية الصحية.

يضمن قانون حماية البيانات الشخصية الصادر في عام 2021 أمن البيانات الصحية الشخصية عبر سلاسل توريد الرعاية الصحية^[17]. ويتطلب ذلك من مقدمي خدمات الرعاية الصحية ومورديهم بتنفيذ إجراءات وقائية لحماية معلومات المرضى، للحفاظ على خصوصية البيانات عبر كامل مراحل سلسلة التوريد. ويشمل ذلك متطلبات التشفير لجميع البيانات الصحية الشخصية المتبادلة بين مقدمي الرعاية الصحية والموردين، بالإضافة إلى إرشادات صارمة للحصول على الموافقة قبل مشاركة البيانات الصحية الشخصية مع الأطراف الثالثة.

تساهم ريادة المملكة الاستباقية حول الإطارات الأمنية السيبرانية والمبادرات الأخرى – محلياً وعالمياً – في تعزيز أمن قطاع الرعاية الصحية، ويشمل ذلك سلاسل التوريد. ومن خلال تطبيق ضوابط صارمة لإدارة البيانات، وتأمين الأجهزة الطبية، وضمان التزام الأطراف الثالثة، تحمي المملكة معلومات المرضى ومؤسسات الرعاية الصحية، وتضع معياراً عالمياً جديداً للتميز في مجال الأمن السيبراني.

المراجع

1– https://www.keepersecurity.com/blog/2023/04/21/cyberattacks-soar-across-the-european-healthcare-sector/

2– https://www.cynerio.com/insecurity-of-connected-devices-in-healthcare-2022?utm_medium=email&_hsmi=221712720&_hsenc=p2ANqtz-82hIQI1p4HJneNtzijJQg-pkpuSQI7tSEozECq2m4KzIut4cva4IHMAekfPEjXFmz-7i6UDi0ETfpqo3kh-tG3m8Rk_ga

3– https://www.beckershospitalreview.com/cybersecurity/health-system-ransomware-attacks-nearly-doubled-in-23.html

4–https://ocrportal.hhs.gov/ocr/breach/breach_report.jsf

5– https://blog.hettshow.co.uk/navigating-the-digital-battlefield-top-cybersecurity-risks-in-healthcare

6– https://www.keepersecurity.com/blog/2023/04/21/cyberattacks-soar-across-the-european-healthcare-sector/

7– https://mea.newsroom.ibm.com/IBM-Report-Total-Cost-of-a-Data-Breach-for-Businesses-in-the-Middle-East#:~:text=The%202023%20IBM%20report%20highlights,breach%20reached%20SAR%2032.46%20million.

8– ibid

9– ibid

10– https://safecore.io/en/industries/la-cyber-security-nel-settore-logistica-lo-scenario-i-rischi-e-le-sfide-future/

11– https://blog.hettshow.co.uk/navigating-the-digital-battlefield-top-cybersecurity-risks-in-healthcare

12– https://economysaudiarabia.com/news/saudi-arabia-ranks-1st-globally-in-cybersecurity-on-2024-world-competitiveness-yearbook/

13– https://sdaia.gov.sa/en/Sectors/Ncai/Pages/default.aspx

14– https://nca.gov.sa/ar/

15– https://www.vision2030.gov.sa/media/0wop2tds/hstp_eng.pdf

16– https://www.sfda.gov.sa

17- ibid