چرا مراکز درمانی مورد حملات سایبری قرار می‌گیرند؟

Data Security Concerns

اطلاعات مربوط به سلامت از جمله حساس‌ترین دسته‌های اطلاعات است. امروزه یکی از اهداف جذاب برای افراد مخرب خارج از سازمان، داده‌های بهداشتی هستند که در حجم بالایی جمع‌آوری شده و در سیستم‌هایی که اغلب آسیب‌پذیر هستند ذخیره می‌شود. افزایش این دست از حملات منجر به افشای دسته‌ای مهم از اطلاعات در سرتاسر جهان شده‌است و به‌همین دلیل شرکت‌های بهداشتی درمانی پیامدهای اعتباری، حقوقی و مالی آن را به‌دوش کشیده‌اند.

بخش مراقبت‌های بهداشتی بالاترین هزینه را برای هرگونه افشای داده در مقایسه با هر صنعت دیگری در سال 2019 گزارش داده ‌است. براساس گزارش‌های Ponemon Institute و IBM Security هزینه افشای داده‌ها، برای موسسات مرتبط با مراقبت‌های بهداشتی تقریبا 6.45 میلیون دلار بود که 65٪ بیشتر از میانگین هزینه هر افشای داده در دراز مدت است. تأثیر دراز مدت افشای داده‌ها به این معنی است که شرکت‌ها سال‌ها پس از وقوع چنین اتفاقاتی همچنان به پرداخت هزینه‌ها مشغول می‌شوند، به‌طوری که صنایع قانون‌مند و منظم مثل صنعت‌های بهداشتی درمانی، حتی با گذشت سه سال از وقوع افشای داده‌ها، همچنان هزینه‌های زیادی را پرداخت می‌کنند.

آمنیت مراکز درمانی

بنابراین محافظت از داده‌های آن‌ها و جلوگیری از عواقب فاجعه بار افشای داده‌ها به نفع این سازمان‌های بهداشتی است. اما مهم‌ترین نگرانی‌های امنیتی داده‌ها که این قبیل سازمان‌ها با آن‌ها مواجه‌اند چیست و این سازمان‌ها چگونه می‌توانند آن‌ها را برطرف کنند؟
بیایید نگاهی دقیق‌تر بیندازیم!

کارکنان بی‌توجه

یکی از بزرگ‌ترین عوامل افشای داده‌ها، خود کارکنان هستند. چه بی‌احتیاطی از طرف خودشان هنگام کار با داده‌های حساس و چه ضعف آن‌ها در برابر حملات فیشینگ و مهندسی اجتماعی، می‌تواند منجر به افشای داده شود. افراد داخل سازمان اغلب بیشترین خطر را برای اطلاعات شخصی دارند!

careless employee
employees training

بنابراین ضروری است که کارکنان آموزش کافی ببینند تا در مورد بهترین روش‌های مدیریت داده‌های حساس و اهمیت آن‌ها مطلع شوند. همچنین اهمیت پیروی از این دست آموزش‌ها را، هم از جنبه‌های قانونی و هم اعتباری به آن‌ها نشان داده شود.

آموزش به ویژه در مورد تهدیدهای خارجی که افراد را از طریق فایل‌های آلوده، لینک به وب‌سایت‌های مخرب یا درخواست‌های به ظاهر مشروع برای اطلاعات حساس هدف قرار می‌دهد، بسیار موثر است.

کارمندان غالباً از وجود چنین شیوه‌هایی اطلاع ندارند و پس از آموزش، در مورد آن‌ها آگاه شده و احتمال فریب‌شان برای به اشتراک گذاشتن داده‌های حساس یا آلوده کردن دستگاه‌های کاری خود یا شبکه سازمان، کاهش خواهد یافت.
با این حال، وقتی صحبت از خطای انسانی می‌شود، آموزش از تأثیر کمتری برخوردار است زیرا این خطا نشان دهنده یک اشتباه ناخودآگاه توسط کارمند است. این بدان معنی است که ممکن است برای هر کسی اتفاق بیفتد، صرف نظر از این‌که آن‌ها در مورد خطرات افشای داده‌ها به خوبی آگاه هستند. کارکنانی که فشار کاری (زمان تحویل دادن یک پروژه یا سند) را احساس می‌کنند یا به سریعاً احساس خستگی یا ناراحتی می‌کنند، می‌توانند به راحتی برای شخص نامناسب ایمیل ارسال کنند یا سندی را به صورت عمومی منتشر کنند.
در این موارد، راه حل‌هایی مانند ابزار پیشگیری از دست دادن داده‌ها (DLP) می‌توانند از سازمان‌های مراقبت‌های بهداشتی برای ایمن نگه داشتن اطلاعات حساس پشتیبانی کنند. از طریق سیاست‌های از پیش تعیین شده، آن‌ها می‌توانند انتقال داده‌های حساس را کنترل و مدیریت کنند تا اطمینان حاصل شود که داده‌ها از کانال‌های غیر مجاز مانند برنامه‌های پیام‌رسان، وب‌سایت‌های انتقال فایل شخص ثالث یا خدمات مبتنی بر فضای ابری، ارسال نمی‌شوند.

راه حل‌های DLP، از طریق نظارت بر داده‌های حساس نیز می‌توانند به ارائه دهندگان خدمات بهداشتی کمک کنند؛ تا تشخیص دهند که کدام عملکردهای پرسنل باید اصلاح شود، و آن‌ها را در ساخت آموزش‌ها و تمارین موثر و مرتبطی که کارکنان در دنیای واقعی با آن‌ها مواجه می‌شوند، پشتیبانی می‌کند.

قانون‌گذاری در محافظت از داده‌ها

قانون‌گذاری خاص همانند قانون حمل و نقل و مسئولیت‌پذیری بیمه سلامت (HIPAA) در ایالات متحده و مقررات عمومی حفاظت از داده‌ها (GDPR) در اتحادیه اروپا، حفاظت از اطلاعات بهداشتی را طبق قانون اجباری می‌کنند و این امر مسئولیت را به طور کامل بر دوش سازمان‌ها می‌گذارد. عدم رعایت این قانون با جریمه‌های قابل توجهی همراه است. به عنوان مثال، بسته به میزان سهل انگاری انجام‌شده در هنگام نقض HIPAA، از جانب یک شرکت مراقبت‌های بهداشتی؛ می‌توان سالانه درخواست پرداخت 1.5 میلیون دلاری برای هر تخلف را به آن‌ها ارائه کرد.

Data Protection Legislation

بنابراین نگرانی اصلی بسیاری از شرکت‌های بهداشتی درمانی، امر رعایت و پیروی از قوانین است. آن‌ها باید تحقیق کنند که چه قانون‌هایی در موردشان اعمال می‌شود و مواردی که آن‌ها ملزم به رعایت‌شان هستند، چیست؟! حسابرسی و همچنین ابزارهای کشف داده جزو بخش‌های اساسی از همه‌ی تلاش‌ها، برای پیروی از قوانین بشمار می‌روند.

سازمان‌ها قبل از هر چیز باید بدانند که چه داده‌هایی را تحت قوانینی مانند HIPAA، جمع آوری می‌کنند، و همچنین باید بدانند این داده‌ها در چه مکانی بروی شبکه‌شان ذخیره می‌شود و نحوه استفاده از این داده‌ها توسط کارمندان‌شان، چگونه است. این کار را می‌توان به راحتی از طریق ابزارهای DLP همراه با سیاست‌های از پیش تعریف شده برای قانونگذاری‌هایی مانند HIPAA یا GDPR انجام داد. با استفاده از چنین قواعدی، شرکت‌ها مجبور نیستند که برای تعریف کردن درجه حساسیت هر داده، هربار به زحمت بسیار بیافتند، آن‌ها می‌توانند از سیاست‌های از قبل تأیید شده برای سازگاری بیشتر استفاده کنند.

پاسخ مناسب افشای داده‌ها

هیچ استراتژی محافظت از داده‌ای بی خطر نیست. حتی سخت‌گیرانه‌ترین سیاست‌ها نیز گاهی کافی نیستند. به عنوان مثال، هنگامی که یک آسیب‌پذیری جدید از جانب سیستم، پیش از ترمیم، مورد سوءاستفاده قرار می‌گیرد یا این‌که یکی از کارکنان توسط یک حمله مهندسی اجتماعی بسیار اغوا کننده هدف قرار می‌گیرد. در برابر این احتمالات، هر چقدر هم که کوچک باشند، سازمان‌ها و شرکت‌های بهداشتی درمانی باید آمادگی مقابله با افشای داده‌ها را داشته باشند.

Data Breach

این امر می‌تواند از طریق یک طرح و برنامه‌ریزی برای پاسخ به افشای داده انجام شود. با آماده شدن برای احتمال افشای داده‌ها، هنگامی که یک حادثه امنیتی رخ می‌دهد، کارمندان از قبل می‌دانند که از آن‌ها چه انتظاراتی می‌رود و چگونه می‌توانند به بهترین وجه پیامدهای آن حادثه را کاهش دهند که این موضوع منجر به مدت زمان مورد نیاز جهت واکنش سریع در هنگام مواجهه با افشای داده‌های حساس می‌شود.

طرح پاسخ به افشای داده‌ها همچنین به شرکت‌ها کمک می‌کند تا ازلحاظ مالی، ذخیره پولی داشته باشند. بر اساس گزارش هزینه نقض داده‌ها در سال 2019، سازمان هایی که قبلاً تیم پاسخگویی به حوادث را تشکیل داده بودند و به طور گسترده طرح پاسخ به افشای داده‌های خود را آزمایش کردند، در هنگام افشا، بیش از 1.2 میلیون دلار پس انداز کردند.

روش‌های امنیتی مبتنی بر شخص ثالث (طرف سوم-Third party)

بسیاری از شرکت‌ها و سازمان‌های بهداشتی درمانی با پیمانکاران کار می‌کنند و گرچه ممکن است خودشان استراتژی‌های قوی محافظت از داده را در اختیار داشته باشند، اما این طرفین سوم ممکن است این کار را به درستی انجام ندهند. قوانینی مانند HIPAA و GDPR چگونگی اشتراک اطلاعات شخصی با طرفین سوم را محدود می‌کند، در صورت بروز افشای داده‌ها، سازمان هایی که اطلاعات را جمع آوری می کنند همچنان در مقابل قانون مسئول هستند. این بدان معناست که در صورت افشای داده‌ها توسط فروشنده، جریمه‌هایی نه تنها برای طرف مسئول آن، بلکه برای کنترل کننده داده‌ای که وظیفه محافظت از داده‌های جمع‌آوری شده را داشت نیز صادر می‌شود.
بنابراین شرکت‌های بهداشتی درمانی باید تأیید کنند که هر پیمانکاری (Third party) که با آن‌ها کار می‌کند، سیاست‌های محافظت از داده‌ها را که با استراتژی‌های امنیت سایبری خودشان همسو هستند، در نظر بگیرند و از سطح مطلوبی برای محافظت از داده‌هایی که به آن‌ها منتقل می‌شود، اطمینان حاصل کنند.

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.