تستثمر مؤسسات الرعاية الصحية موارد بشرية ومالية كبيرة في الأمن السيبراني. ومثل نظرائهم في الصناعات الأخرى، يعرف قادة تكنولوجيا المعلومات الصحية أن وظائفهم تنطوي على بيانات حساسة للغاية إذا تم اختراقها يمكن أن تعرض الموظفين وخصوصية العملاء أو المرضى للخطر. بل تواجه المنظمات السريرية العبء الإضافي المتمثل في معرفة أن أي إخفاقات في الأمن السيبراني يمكن أن تؤثر على السلامة الجسدية – وحتى على حياة – المرضى.

ولهذا السبب فإن قادة الرعاية الصحية يلجأون غالبا إلى المنظمات الخارجية لفهم بيئة المخاطر التقنية الحالية بشكل أفضل وتحديد فرص التحسين. ويوصي أحدث تقرير عن الأمن السيبراني الصادر عن CDW بثلاثة أنواع من تقييمات الأمن السيبراني التي يمكن للمؤسسات متابعتها لحماية شبكاتها وتطبيقاتها وبروتوكولات التشغيل أيضا.

هنا الثلاث تقييمات الأمنية التي يجب على جميع فرق تكنولوجيا المعلوماتية الصحية معرفتها:

أولا: تقييمات الشبكة لإعادة تكوين الأنظمة وتحديثها.

شبكات الرعاية الصحية معقدة، وتربط العديد من مواقع مقدمي الخدمات وأنظمة المؤسسات. كما أنها تميل إلى التوسع بسرعة، حيث تكتسب المنظمات ممارسات جديدة وربط تلك الشبكات بشبكاتها الخاصة.

يمكن أن يؤدي هذا التوسع السريع إلى بيئات شبكة بها العديد من التقنيات المتنوعة والمشاكل التي قد لا يفهمها أو يحللها فريق الشبكات المركزي بشكل كامل. وما لم تهتم الفرق المتخصصة بعناية فقد تؤدي مشكلات الأمان هذه إلى إنشاء هدف سهل للمهاجم.

طريقة العمل:

تكتشف تقييمات أمان الشبكة هذه المشكلات وتلفت انتباه المتخصصين في الأمن السيبراني إليها. تبدأ المراجعة بأدوات المسح الآلي التي تحدد جميع الأجهزة النشطة على الشبكة وتفحصها بحثا عن نقاط الضعف. قد تكتشف الماسحات الضوئية أنظمة التشغيل والتطبيقات القديمة، والتصحيحات المفقودة، والتكوينات غير الآمنة، والحسابات الافتراضية، ومشكلات الأمان الأخرى التي قد تغري المتسلل أو المهاجم.

بعد ذلك، يُنتج المُقيِّم قائمة مرتبة بالثغرات الأمنية، جنبا إلى جنب مع تعليمات الإصلاح المصممة لمساعدة فرق الأمن السيبراني على تحديد أولويات عملهم وإصلاح المشكلات الأمنية الأكثر أهمية بسرعة.

يوفر مقيمو أمن الشبكات المهرة أيضا تفسيرا لهذه التقارير الخاصة بسياق عمل عملائهم، مما يسمح لهم بتحديد المشاكل وتعديل الأولويات بناء على مدى أهمية وحساسية الأنظمة المتأثرة.

ثانيا: تقييمات التطبيق لحماية برنامجك.

التطبيق أو البرنامج هو المحرك الذي يدعم الرعاية الصحية كاملا، من السجلات الطبية الإلكترونية وأنظمة فواتير المرضى إلى معالجة الصور التشخيصية وإدارة الوصفات الطبية. ومع وجود ملايين الأسطر من التعليمات البرمجية والتكاملات التي تربط المكونات ببعضها البعض، فإن هذا البرنامج معقد للغاية أيضا. يؤدي هذا التعقيد إلى زيادة احتمالية وقوع أخطاء يمكن أن تؤثر على أمن النظام.

يمكن لخطأ صغير غير مكتشف في حزمة برمجية، على سبيل المثال، أن يؤدي إلى ضعف في المصادقة يمنح المهاجم إمكانية الوصول إلى معلومات غير مصرح بها؛ أو قد توفر ثغرة أمنية لإدخال SQL دون قصد وصولا كاملا إلى قاعدة بيانات خلفية، مما يسمح للمهاجم بتجاوز عناصر التحكم في الأمان الأخرى.

طريقة العمل:

تستخدم تقييمات التطبيق مجموعة متنوعة من الأدوات والتقنيات لفحص البرامج بحثا عن المشكلات المحتملة. ويتطلب إجراء تقييمات التطبيق خبرة متخصصة ونهجا دقيقا. وعلى الرغم من أن تقييم الشبكة قد يكتشف الثغرات الأمنية المعروفة سابقا في التطبيقات، إلا أن التقييم التفصيلي للتطبيق يمكن أن يكشف عن مشكلات جديدة قد تتجاوز قدرات فحص الشبكة.

ثالثا: تقييمات استشارية لبرنامج الأمان.

تقوم تقييمات الشبكة والتطبيق بإجراء عمليات بحث عميقة في قضايا الأمان الفنية وتحديد نقاط الضعف الأمنية المحددة التي تتطلب العلاج. إن التقييمات الاستشارية لبرنامج الأمان بمثابة الإسعافات الأولية لشبكة المؤسسة وبيئة التطبيق وتقدم هذه التقييمات على مستوى القاعدة نظرة ممتازة على مكونات التكنولوجيا الفردية.

توفر هذه مراجعات على المستوى الاستراتيجي لبرنامج الأمن السيبراني للمؤسسة ويمكنها فحص العديد من القضايا المختلفة.

طريقة العمل:

قد يقوم مستشارو الأمن الاستراتيجيون بفحص استراتيجية أمان المؤسسة مقابل معايير الصناعة وأفضل الممارسات، وتحديد الثغرات التي قد تشكل مخاطر غير ضرورية. يمكن أن تتعمق التقييمات الاستشارية أيضا في مشكلات الامتثال من خلال فحص مدى التزام المؤسسة بمعيار أمان بيانات صناعة بطاقات الدفع، وHIPAA، وقوانين الخصوصية.

توفر هذه التقييمات للمسؤولين التنفيذيين في مجال الرعاية الصحية وقادة التكنولوجيا والمجالس التنفيذية الثقة والاطمئنان بتأكدهم من أنها تغطي جميع متطلبات الرقابة الرئيسية وتنفيذها وإدارتها للضوابط بطريقة فعالة وبأن أولئك المكلفين بحماية المعلومات يديرون بشكل فعال المخاطر التي تواجه المؤسسة فيما يتعلق بالسرية والنزاهة والتوافر. فيجب على قادة التكنولوجيا النظر في مزيج من خيارات التقييم لتوفير رؤية شاملة لمشهدهم الأمني.

إعداد: ريم راقع

المصدر: HealthTech Magazine

https://healthtechmagazine.net/article/2020/12/3-security-assessments-all-health-it-teams-should-know