لماذا يجب أن تنتقل الرعاية الصحية في السحابة إلى انعدام الثقة في الأمن السيبراني

يجب أن ينظر مقدمو الرعاية الصحية إلى ما وراء السحابة واعتماد أمان انعدام الثقة للنجاح في التصدي لهجمة الانتهاكات التي تتعرض لها صناعتهم.

غالبًا ما يفترس المهاجمون الفجوات في خوادم الشبكة ، وتكوينات السحابة المهيأة بشكل غير صحيح ، ونقاط النهاية غير المحمية ، وإدارة الهوية الضعيفة إلى غير الموجودة وأمن الوصول المميز. تعد سرقة السجلات الطبية والهويات وبيانات اعتماد الوصول المميزة أولوية قصوى للمهاجمين الإلكترونيين في مجال الرعاية الصحية. في المتوسط ​​، يتطلب الأمر من مقدم الرعاية الصحية 10.1 مليون دولار للتعافي من أي هجوم. يقول ربع مقدمي الرعاية الصحية إن هجوم فدية أجبرهم على إيقاف العمليات تمامًا.

يجب أن تبني الرعاية الصحية على أمان السحابة بدون ثقة

يقدم تقرير Forrester الأخير ، حالة السحابة في الرعاية الصحية ، 2023 ، نظرة ثاقبة حول كيفية قيام مقدمي الرعاية الصحية بتتبع اعتمادهم السحابي سريعًا على أمل السيطرة على الأمن السيبراني. اعتمد ثمانية وثمانون بالمائة من صانعي القرار في مجال الرعاية الصحية العالميين منصات السحابة العامة ، و 59٪ يعتمدون نظام Kubernetes لضمان توفر أعلى لأنظمة المؤسسة الأساسية الخاصة بهم. في المتوسط ​​، ينفق مقدمو الرعاية الصحية 9.5 مليون دولار سنويًا عبر جميع المنصات السحابية العامة التي قاموا بدمجها في مجموعات التكنولوجيا الخاصة بهم. لقد أثبتت فعاليتها – إلى حد ما.

ما هو مطلوب لمقدمي الرعاية الصحية لمضاعفة الثقة الصفرية ، والعمل أولاً على إدارة الوصول إلى الهوية (IAM) وأمن نقطة النهاية. الجزء الأكثر ثاقبة في تقرير Forrester هو الدليل الذي يقدمه على أن التطورات المستمرة من Amazon Web Services و Google Cloud Platform و Microsoft Azure و IBM Cloud تصل إلى العلامة مع موفري الرعاية الصحية. جهودهم المشتركة لإثبات أن الأنظمة الأساسية السحابية أكثر أمانًا من خوادم الشبكة القديمة التي يتردد صداها.

هذه أخبار ممتازة للصناعة ، حيث تُظهر أحدث البيانات من بوابة خرق وزارة الصحة والخدمات الإنسانية الأمريكية (HHS) أنه في الأشهر الـ 18 الماضية وحدها ، تم اختراق 458 من مقدمي الرعاية الصحية من خلال خوادم الشبكة ، مما كشف أكثر من 69 مليون هوية مريض .

تُظهر بوابة HHS أن هذا الوباء الرقمي قد أضر بهوية 39.9 مليون مريض في الأشهر الستة الأولى من عام 2023 ، تم حصادها من 298 انتهاكًا. ومن بين هؤلاء ، نتج 229 من القرصنة الناجحة ، و 61 نتيجة الوصول / الكشف غير المصرح به ، والباقي من سرقة السجلات الطبية. تعد تسوية البريد الإلكتروني للأعمال (BEC) والذريعة مسؤولة عن 54 انتهاكًا منذ يناير ، مما أدى إلى اختراق هويات 838241 مريض.

تعتبر السجلات الطبية للمرضى من أكثر الكتب مبيعًا على شبكة الويب المظلمة ، وتوفر ثروة من البيانات للمهاجمين. تقوم عصابات الجرائم الإلكترونية ومجموعات التهديدات المستمرة المتقدمة المنظمة عالميًا بسرقة وبيع واستخدام هويات المرضى لإنشاء هويات اصطناعية احتيالية. يحصل المهاجمون على ما يصل إلى 1000 دولار لكل سجل اعتمادًا على مدى تفصيل الهوية والبيانات الطبية.

يجب أيضًا تطبيق الدروس المستفادة من مؤشر الثقة Telesign لعام 2023 ، الذي أظهر الهشاشة المتزايدة للثقة الرقمية ، على الرعاية الصحية.

تحويل نقاط الضعف إلى نقاط قوة مع انعدام الثقة

تستنتج Forrester أن مقدمي الرعاية الصحية هم أهداف رئيسية للمهاجمين لأنهم يستخدمون تقنيات قديمة قديمة ، خاصة عند تخزين بيانات المريض الحساسة. يتفاقم هذا الضعف بسبب الحاجة الملحة إلى تقديم الرعاية الحرجة للمرضى.

قال سرينيفاس موكامالا ، كبير مسؤولي المنتجات في Ivanti ، لموقع VentureBeat: “تستهدف الجهات الفاعلة في مجال التهديد بشكل متزايد الثغرات الموجودة في مجال الصحة الإلكترونية ، بما في ذلك عمليات إدارة الثغرات الأمنية القديمة”.

في الواقع ، وجد تقرير Ivanti’s Press Reset: تقرير حالة الأمن السيبراني لعام 2023 أن جميع المؤسسات متأخرة في الحماية من برامج الفدية ونقاط ضعف البرامج والهجمات المتعلقة بواجهة برمجة التطبيقات وهجمات سلسلة توريد البرامج. تؤكد نتائج أبحاث إيفانتي لماذا يجب أن تصبح الثقة الصفرية أولوية ملحة في جميع مؤسسات الرعاية الصحية ، بالنظر إلى أن العديد من المتخلفين عن أقرانهم في الصناعات الأخرى في هذه الأبعاد الأساسية.

لاحظت Forrester أن “CISOs قد يحجمون عن الوثوق بالسحابة العامة ، ولكن الاستعانة بمصادر خارجية لمنصة متعددة المستأجرين يمكن أن تفيد موفري الرعاية الصحية من خلال تشفير بيانات AES 256 من الدرجة العسكرية والذي يساعد على منع التعرض للبيانات والسرقة. تقدم Global hypercalers مثيلات متوافقة وخدمات استشارية للمساعدة في تلبية الامتثال التنظيمي. وبالمثل ، فإن أنظمة السجلات الصحية الإلكترونية مثل Oracle Cerner و Epic Systems تقدم الآن عروضًا / شراكات قائمة على السحابة “.

يحتاج كل مقدم رعاية صحية إلى خارطة طريق خالية من الثقة مصممة خصيصًا لأكبر التهديدات

الهدف هو أن تصبح أكثر مرونة بمرور الوقت دون كسر الميزانيات أو طلب استثمارات كبيرة من مجلس الإدارة. مكان ممتاز للبدء هو خارطة طريق انعدام الثقة. هناك عدد قليل من المستندات القياسية التي يجب أن يستخدمها CISOs ورؤساء تقنية المعلومات الذين يديرون تكنولوجيا المعلومات الخاصة بالرعاية الصحية والأمن السيبراني لتخصيص أمان انعدام الثقة بما يتناسب مع تحديات أعمالهم الفريدة.

الأول من مركز التميز القومي للأمن السيبراني (NCCoE) التابع للمعهد الوطني للمعايير والتكنولوجيا (NIST). المستند التقني NIST للأمن السيبراني (CSWP) ، التخطيط لهندسة أمان الثقة الصفرية: دليل للمسؤولين الفيدراليين ، يصف عمليات الترحيل إلى بنية عدم الثقة باستخدام NIST Risk Management Framework (RMF).

ثانيًا ، كان جون كيندرفاغ ، الذي أنشأ ثقة صفرية أثناء وجوده في شركة Forrester ويشغل حاليًا منصب نائب الرئيس الأول ، واستراتيجية الأمن السيبراني وزميل مجموعة ON2IT في الأمن السيبراني ON2IT ، والدكتور تشيس كننغهام من بين العديد من قادة الصناعة الذين كتبوا اللجنة الاستشارية للاتصالات الأمنية الوطنية للرئيس المفيدة. (NSTAC) مسودة حول الثقة الصفرية وإدارة الهوية الموثوقة. يُعرِّف المستند بنية الثقة الصفرية على أنها “بنية تعامل جميع المستخدمين على أنهم تهديدات محتملة وتمنع الوصول إلى البيانات والموارد حتى يمكن المصادقة على المستخدمين بشكل صحيح وترخيص وصولهم.”

تنشر وكالة الأمن السيبراني وأمن البنية التحتية (CISA) مركزًا لمنشورات الرئيس NSTAC ، مما يوفر مؤشرًا قيمًا لمجموعة عمل اللجنة.

تؤكد هجمات برامج الفدية المنتشرة على الحاجة إلى فرض الوصول الأقل امتيازًا عبر كل سطح تهديد

“نحن نعلم هؤلاء الأشرار ، بمجرد انضمامهم إلى الشبكة وتقديم حلول وسط [it]، الأول [breached] يمكن أن تتحرك الآلة بشكل جانبي إلى الجهاز التالي ، ثم الجهاز التالي ، والجهاز التالي. لذلك بمجرد أن يكتشفوا ذلك ، تزداد فرص تعرضك لخرق برامج الفدية والحصول على بيانات مخترقة من بيئتك “

يقدم مركز تنسيق الأمن السيبراني للقطاع الصحي (HC3) التابع لوزارة الصحة والخدمات الإنسانية الأمريكية (HHS) سلسلة من ملخصات التهديدات التي يجب على مدراء أمن المعلومات في الرعاية الصحية ومديري تقنية المعلومات التفكير في الاشتراك فيها والبقاء على اطلاع دائم بها. جدير بالملاحظة عمق التحليل والبصيرة التي يضعها HCS في هذه الملخصات.

لفهم حجم تحديات مقدمي الرعاية الصحية مع برامج الفدية ، توصي VentureBeat أيضًا بقراءة العرض التقديمي 8 يونيو 2023 ، أنواع عوامل التهديد التي تهدد الرعاية الصحية.

يكشف موجز آخر كيف أن هجمات الدولة القومية هي من بين أكثر الهجمات تعقيدًا وصعوبة من حيث إيقافها: موجز التهديد الصادر في 3 نوفمبر 2022 بعنوان “الجهات الفاعلة في مجال التهديد والرعاية الصحية الإيرانية”.

أولويتان كبيرتان ، وفقًا لـ CISOs: تقييم حل وسط ، والاشتراك في خدمة التجنيب للاستجابة للحوادث

يحتاج مقدمو الرعاية الصحية والمؤسسات الداعمة إلى خط أساس واضح عبر جميع الأنظمة للتحقق من أن بيئات تكنولوجيا المعلومات الحالية ومكدسات التكنولوجيا نظيفة. “عند إجراء تقييم وسط ، [getting] نظرة شاملة على البيئة بأكملها و [making] تأكد من أنك لست مملوكًا ، وأنك لا تعرف ذلك بعد ، فهذا أمر مهم للغاية ، “قال ديفورد لموقع VentureBeat خلال مقابلة.

كما ينصح DeFord وغيره من CISOs الذين تمت مقابلتهم في هذه المقالة CISOs للرعاية الصحية بالحصول على خدمة التجنيب للاستجابة للحوادث إذا لم يكن لديهم بالفعل واحدة. “هذا يضمن أنه في حالة حدوث شيء ما ، وكان لديك حادث أمني ، يمكنك الاتصال بشخص ما ، وسيأتي على الفور ،” ينصح ديفورد.

إن إنترنت الأشياء والحوسبة المتطورة والأجهزة الطبية المتصلة تجعل أمن الأجهزة الطرفية معركة مستمرة

لم يتم تصميم معظم أجهزة استشعار إنترنت الأشياء القديمة ، والآلات المتصلة بها ، والأجهزة الطبية مع توفير الأمان كهدف أساسي. لهذا السبب يحب المهاجمون هذه الأجهزة. يقول الدكتور سرينيفاس موكامالا ، كبير مسؤولي المنتجات في شركة الأمن السيبراني Ivanti ، إن قادة الأعمال يجب أن يدركوا تكلفة إدارة نقاط النهاية وإنترنت الأشياء والأجهزة الطبية من خلال تحسين الأمان باستمرار. قال Mukkamala لموقع VentureBeat: “يجب أن تستمر المؤسسات في التحرك نحو نموذج انعدام الثقة لإدارة نقطة النهاية لرؤية ما حول الزوايا وتعزيز وضعهم الأمني”.

يُظهر مؤشر المرونة لعام 2023 الخاص بـ Absolute Software أن متوسط ​​نقطة النهاية بها 11 عامل أمان مختلفًا مثبتًا ، كل منها يتدهور بمعدل مختلف ويخلق تعارضات في الذاكرة. هذا يترك نقطة النهاية غير محمية وعرضة للخرق. إن التحميل الزائد على نقاط النهاية مع عدد كبير جدًا من العوامل يعد سيئًا مثل عدم تثبيت أي منها. يحتاج CISOs و CIOs في الرعاية الصحية إلى تدقيق كل وكيل نقطة نهاية مثبت ومعرفة ما إذا كان يتعارض مع بعضهم البعض وكيف.

يتمثل جزء أساسي من التدقيق في معرفة الهويات التي لها حقوق وصول لكل نقطة نهاية ، بما في ذلك المقاولين والموردين الخارجيين. تعد بيانات التدقيق الملتقطة ذات قيمة لا تقدر بثمن في وضع سياسات الوصول الأقل امتيازًا والتي تعزز عدم الثقة في كل نقطة نهاية.

تتطلب حماية هويات المرضى جعل الثقة الصفرية أولوية

يتعرض مدراء أمن المعلومات في مجال الرعاية الصحية لضغوط للتأكد من أن استثماراتهم في مجال تكنولوجيا المعلومات والأمن السيبراني تقدم قيمة للأعمال. واحدة من أهم الأصول التي يمتلكها أي مقدم رعاية صحية هي ثقة المريض. يحتاج المزيد من مقدمي الرعاية الصحية إلى التفكير في كيفية إنشاء تجارب عملاء آمنة بدون ثقة.

صرح جو بيرتون ، الرئيس التنفيذي لشركة TeleSign ، لـ VentureBeat أنه في حين أن تجارب العملاء تختلف اختلافًا كبيرًا اعتمادًا على أهداف التحول الرقمي الخاصة بهم ، فمن الضروري تصميم الأمن السيبراني وعدم الثقة في سير عمل العملاء. هذه نصيحة ممتازة لمقدمي الرعاية الصحية المحاصرين من قبل المهاجمين اليوم.

قال بيرتون: “لا يمانع العملاء الاحتكاك إذا فهموا أنه موجود للحفاظ على سلامتهم” ، مضيفًا أن التعلم الآلي هو تقنية فعالة لتبسيط تجربة المستخدم أثناء موازنة الاحتكاك. أخبر VentureBeat أن العملاء يمكن أن يطمئنوا من الاحتكاك بأن العلامة التجارية أو الشركة أو مقدم الرعاية الصحية لديه فهم متقدم للأمن السيبراني ، والأهم من ذلك ، أهمية حماية بيانات المريض وخصوصيته.