ولكن مع معارضة جماعات الضغط في القطاع الخاص للمتطلبات الأمنية الجديدة، بدأ الكونجرس والعجلات التنظيمية في التحرك ببطء، حيث روجوا بشكل أساسي لأفضل الممارسات التي يمكن للمستشفيات أن تختار تجاهلها.
وكذلك الأمر بالنسبة إلى غرف المقاصة الإلكترونية غير المعروفة نسبيًا مثل شركة Change Healthcare التابعة لشركة UnitedHealth Group، والتي كانت هدفًا لهجوم أطلقه الشهر الماضي أحد المتسللين المرتبطين بعصابة برامج الفدية ALPHV التي قطعت رابطًا رئيسيًا بين مقدمي الخدمات الطبية وشركات التأمين الخاصة بمرضاهم في أسوأ حالات الرعاية الصحية. تم الإبلاغ عن الاختراق على الإطلاق. قالت شركة Change Healthcare يوم الاثنين إنها قدمت سلفًا بقيمة 2 مليار دولار للصيدليات والمستشفيات ومقدمي الخدمات الآخرين الذين لم يتمكنوا من الحصول على تعويضات التأمين أثناء فشل شبكتها.
يقول المنتقدون إن الفشل الذريع في برنامج “تغيير الرعاية الصحية”، الذي أضر برعاية المرضى في ما يقرب من ثلاثة أرباع المستشفيات الأمريكية، يظهر أن الجهود الدفاعية غير كافية على الإطلاق. ويقولون إن الاستجابة الكاملة ستشمل متطلبات أمنية صارمة للأجزاء الأكثر أهمية في النظام المترامي الأطراف، تليها قواعد أقل صرامة ولكنها لا تزال كافية لأنظمة المستشفيات الكبيرة. وينبغي أن يحصل أصغر مقدمي الخدمات، الذين قد لا يكون لديهم أي موظفين أمنيين، على المساعدة، كما هو مطلوب في الميزانية المقترحة للإدارة.
واعترف نيتين ناتاراجان، نائب مدير وكالة الأمن السيبراني وأمن البنية التحتية التابعة لوزارة الأمن الداخلي، في مقابلة أجريت معه: “نحن بحاجة إلى التأكد من أننا نعرف أين توجد هذه النقاط الضعيفة”. “نحن ننظر إلى ما هي الروافع الموجودة.”
ويقول بعض أعضاء الكونجرس إن هذا كان يجب أن يحدث بالفعل.
قال السيناتور رون وايدن (ديمقراطي من ولاية أوريغون) لصحيفة واشنطن بوست: “تحتاج الحكومة إلى منع حدوث هذا النوع من الاختراق المدمر مرارًا وتكرارًا”. “أريد العمل مع إدارة بايدن لضمان وجود قواعد إلزامية ومحددة للأمن السيبراني في أقرب وقت ممكن، ولضمان مساءلة الرؤساء التنفيذيين”.
وقالت نائبة مستشار الأمن القومي، آن نويبرغر، إن البيت الأبيض يدرس القوانين التي يمكن استخدامها لفرض مثل هذه المعايير على الصناعة المترددة، بينما يخبر المديرين التنفيذيين أنه من المتوقع منهم الالتزام بالمبادئ التوجيهية الطوعية على الفور.
وقال نيوبيرجر لصحيفة The Post يوم الاثنين: “لم يصدر هيل أي تشريع يمنح السلطات فرض الحد الأدنى من المعايير، ولهذا السبب كنا نستخدم سلطات الطوارئ في القطاع أو وضع القواعد”.
وقالت إن بعض المتطلبات ستأتي قريبًا لمقدمي الخدمات الذين يقبلون Medicare و Medicaid.
في العام الماضي، أبلغ عدد أكبر من المستهدفين في مجال الرعاية الصحية عن هجمات برامج الفدية إلى مركز شكاوى جرائم الإنترنت التابع لمكتب التحقيقات الفيدرالي أكثر من أي قطاع آخر من القطاعات الستة عشر للبنية التحتية الحيوية، وفقًا للملخص السنوي الذي صدر هذا الشهر.
وقال الخبراء إن مقاومة الصناعة للأمن الإلزامي ليست سوى جزء من المشكلة.
وقال جريج جارسيا، المدير التنفيذي لمجموعة الأمن السيبراني في مجال الرعاية الصحية والمساعد السابق لوزير الأمن الداخلي، إن المستشفيات تقع فريسة لأنها “أموال سهلة”. “إذا كان الخيار هو “دفع الفدية وإنقاذ حياة شخص ما، وعدم دفع فدية والمخاطرة بخسارة حياة أو التوقف عن العمل إذا كان نظامًا صغيرًا”، فهذا نوع من عدم التفكير بالنسبة للمتسلل”.
وردا على سؤال حول سبب عدم الاستعداد بشكل أفضل، قال ناتاراجان إن “تعقيد القطاع” كان جزءا من السبب.
يمكن لخدمة طبية واحدة أن تضم عددًا لا يحصى من المشاركين – الأطباء والمستشفيات، وشركات التأمين، وصانعي الأدوية، والصيدليات، والمنصات مثل Change Healthcare – وكلها متصلة إلكترونيًا. وهذا يجعل كل قطعة، بتكنولوجيتها وأولوياتها الخاصة، بوابة محتملة إلى عالم الطب بأكمله.
لذا، عندما يقتحم المتسللون مقدمي الخدمات أو غيرهم، ويقومون بتشفير السجلات الصحية وسجلات الفواتير والمطالبة بالمال لفتحها، يمكنهم أيضًا الوصول إلى الأهداف المجاورة.
أكثر من نصف الهجمات على الرعاية الصحية تأتي من خلال أطراف ثالثة، وفقا لجارسيا، الذي تسمى منظمته مجموعة عمل الأمن السيبراني التابعة لمجلس تنسيق قطاع الصحة.
ويتفاقم التعقيد بسبب وجود هيئات تنظيمية منفصلة لأجزاء كثيرة من اقتصاد الرعاية الصحية، وبعضها يطرح مبادئ توجيهية أمنية مختلفة عن بعضها البعض، أو لا يطرح بعضها مبادئ توجيهية على الإطلاق. أكبر سلطة، وهي وزارة الصحة والخدمات الإنسانية، تطبق قواعد تأمين البيانات الصحية الحساسة وتقوم بالتحقيق في خرق Change Healthcare. لم تستجب HHS لطلبات التعليق.
صنفت CISA الرعاية الصحية العام الماضي كواحدة من أهم أولوياتها للأمن التكنولوجي، إلى جانب المياه والمدارس العامة وأنظمة الانتخابات. وتقدم الوكالة تقييمات مجانية لنقاط الضعف والتدريب، وتمكنت من تحذير حوالي 100 من مقدمي الرعاية الصحية في العام الماضي من أن أنظمتهم تعرضت للهجوم قبل فوات الأوان.
إحدى القضايا الرئيسية هي ما إذا كان يجب دفع فدية لفتح الأنظمة بعد سيطرة المتسللين عليها.
وقال البيت الأبيض في بيان إنه “لا يشجع بشدة دفع الفدية لوقف تدفق الأموال إلى هؤلاء المجرمين وتثبيط هجماتهم”.
لكن العديد من شركات التأمين السيبراني تقترح الدفع في حالة عدم توفر النسخ الاحتياطية للبيانات.
عندما لا يدفع مقدمو الخدمات الصحية، يمكن أن تكون النتائج كارثية. لم تنكر الشركة الأم لـ Change Healthcare United Healthcare Group التقارير التي تفيد بأنها صمدت لمدة أسبوعين قبل إرسال 22 مليون دولار إلى عصابة برامج الفدية الناطقة باللغة الروسية ALPHV.
في هذه الحالة، أصابت معظم الأضرار المنظمات الأخرى التي تعتمد على Change Healthcare، بالإضافة إلى المرضى الذين وجدوا أنهم لا يستطيعون الحصول على الأدوية المنقذة للحياة دون دفع نفس السعر الذي يدفعه شخص ليس لديه تأمين.
وكانت هناك أيضًا أضرار جانبية جسيمة بعد هجوم كبير على شبكة مستشفيات سكريبس في سان دييغو في عام 2021، وفقًا لمقالة نشرت في مايو في JAMA، مجلة الجمعية الطبية الأمريكية. ولم يدفع سكريبس الفدية، بحسب التقارير في ذلك الوقت. ووجدت الدراسة أن مقدار الوقت الذي فقده المرضى بسبب تحويلهم إلى غرف الطوارئ الأخرى زاد بأكثر من الضعف في الأيام الأولى بعد الهجوم.
داخل مستشفيات سكريبس، كانت المعدات الحيوية غير صالحة للعمل، حسبما قال أحد الأطباء لصحيفة واشنطن بوست، بما في ذلك سجلات المرضى الإلكترونية. بعض الأطباء الشباب الذين لم يسبق لهم استخدام المخططات الورقية عادوا إلى منازلهم ببساطة.
قال الطبيب: “كان عليك الاعتماد على المريض ليخبرك بالأدوية التي يتناولها، وما هي العمليات الجراحية التي أجراها، إذا كان يتذكر”. “أنا متأكد من أننا ارتكبنا أخطاء.”
توقع بعض الخبراء المخضرمين في صناعة الأمن، الذين شهدوا سلسلة من خروقات بيانات الصناعة الطبية قبل انتشار فيروس كورونا، موجة من برامج الفدية التي ستتبع ذلك، وقاموا بتشكيل مجموعة من المتطوعين للمساعدة في مارس 2020. أطلقوا عليها اسم “رابطة استخبارات التهديدات السيبرانية”، وقاموا بفحص شبكات المستشفيات. من بعيد، والبحث عن نقاط الضعف وتنبيه المرافق التي كانت في خطر.
كما قدم الأعضاء المشورة للمستشفيات التي كانت بالفعل تتعرض للهجوم وفي حالة سيئة.
قال مارك روجرز، المؤسس المشارك لرابطة CTI: “أنا شخصياً ليس لدي أدنى شك في أن الأرواح قد أزهقت”. “عندما تتحدث إلى المستشفى في الساعات الأولى من الصباح وليس لديهم طريقة للوصول إلى سجلات التاريخ الطبي للمريض واستخدام أنظمة أكثر تقدمًا، فأنت تعلم أن ذلك سيكلف أرواحًا.”
يتذكر روجرز أنه في كثير من الحالات، كانت المستشفيات حذرة من تلقي النصائح من الغرباء، حتى عندما يضمنهم مكتب التحقيقات الفيدرالي (CISA) أو مكتب التحقيقات الفيدرالي (CISA). في كثير من الأحيان، لم يكن للمستشفيات الصغيرة أي علاقات مع مجموعة تبادل المعلومات الأمنية غير الربحية في الصناعة. من خلال التجربة والخطأ، وجدت الرابطة أن أفضل طريقة لتمرير النصائح والإصلاحات كانت غالبًا من خلال بائعي المعدات والبرامج الذين لديهم بالفعل اتصال فني في المؤسسة.
كانت أعظم نجاحات الدوري هي المرات القليلة التي عثر فيها على خلل برمجي خطير في أحد المستشفيات، وأكد أن قراصنة برامج الفدية كانوا يستغلون نفس الخلل في مكان آخر، وشرح الوضع للمستشفى في الوقت المناسب حتى يتمكن من القبض على المتسللين في أنظمته قبل أن يتمكنوا من ذلك. مشفرة لهم. تستخدم CISA الآن نفس النهج.
وقال روجرز، وهو مسؤول أمني سابق في شركة Cloudflare لأمن الإنترنت، إن المزيد من التعاون والمبادئ التوجيهية الأفضل من الوكالات الفيدرالية ليست سوى جزء من الحل. ولم تتغير حقيقة أن العديد من المستشفيات عبارة عن مؤسسات صغيرة غير ربحية، ولا يستطيع أحد وضع حتى الحد الأدنى من الضوابط على الوصول إلى الإنترنت، مثل المصادقة متعددة العوامل، بدلاً من كلمات المرور وحدها.
وقال روجرز: “لا يأخذ أي منها في الاعتبار نقص التمويل للقيام بهذه الأشياء”. “لا تزال هذه المستشفيات تعاني من نقص الموارد. إذا ذهبت إلى مستشفى ريفي، ستكون محظوظًا بالعثور على أي خبرة في مجال الأمن السيبراني على الإطلاق.
وأضاف أن النهج الذي تتبعه الحكومة حتى الآن يعني “أنك تقدم لهم قائمة بالأشياء التي يتعين عليهم القيام بها، ولكنك لا تمنحهم الوسائل اللازمة للقيام بذلك”.