Trace Id is missing
تخطي إلى المحتوى الرئيسي
Security Insider

الرعاية الصحية في الولايات المتحدة في خطر: تعزيز المرونة لمواجهة هجمات برامج الفدية الضارة

المشاركة
مجموعة من المتخصصين الطبيين ينظرون إلى كمبيوتر لوحي

يواجه قطاع الرعاية الصحية مجموعة متزايدة من مخاطر الأمان عبر الإنترنت مع هجمات برامج الفدية الضارة الناشئة كأكثرها خطورة. إن مجموعة عوامل من بيانات المرضى القيمة والأجهزة الطبية المترابطة وفريق عمل عمليات الأمان عبر الإنترنت/تكنولوجيا المعلومات الصغير، الذي يوزع الموارد بشكل غير كافي، تجعل مؤسسات الرعاية الصحية الأهداف الأساسية لممثلي المخاطر. بينما تتم رقمنة عمليات الرعاية الصحية بشكل متزايد—التي تتراوح بين السجلات الإلكترونية للمعلومات الصحية (EHR) وأنظمة العلاج الطبي عن بعد الأساسية والأجهزة الطبية المرتبطة بالشبكة—تصبح الأجزاء المعرضة للهجوم للمستشفيات أكثر تعقيداً مما يزيد من قابليتها للتعرّض للهجمات.

توفر المقاطع التالية نظرة عامة على مشهد الأمان عبر الإنترنت الحالي في الرعاية الصحية، مع تسليط الضوء على حالة المجال بصفته هدفاً أساسياً ومعدل التكرار المتزايد لهجمات برامج الفدية الضارة والعواقب الخطيرة المالية والخاصة بالرعاية الصحية التي تشكلها هذه الهجمات.

حلقة حوار فيديو يرأسها شيرود ديجريبو، مدير استراتيجية التحليل الذكي للمخاطر في Microsoft، تستكشف عن كثب هذه المشاكل الحرجة وتعرض نتائج تحليلات من خبراء عن ممثلي المخاطر واستراتيجيات الإصلاح وثغرات الرعاية الصحية الأمنية.

موجز التحليل الذكي للمخاطر من Microsoft: الرعاية الصحية

يرأس شيرود ديجريبو، مدير استراتيجية التحليل الذكي للمخاطر لقسم التحليل الذكي للمخاطر من Microsoft حلقة حوار تفاعلية مع خبراء التحليل الذكي للمخاطر وأمان الرعاية الصحية الذين يبحثون عما يجعل الرعاية الصحية بشكل فريد عرضة لهجمات برامج الفدية الضارة والأساليب التي تستخدمها مجموعات ممثلي المخاطر وكيفية الحفاظ على المرونة والمزيد.
  • وفقاً للتحليل الذكي للمخاطر من Microsoft، فإن قطاع الرعاية الصحية/الصحة العامة هو واحد من أكثر 10 مجالات متأثرة في الربع الثاني من 2024.1
  • قلل نموذجبرامج الفدية الضارة كخدمة (RaaS) من موانع الدخول للمهاجمين بدون خبرة فنية، بينما توفر روسيا ملاذاً آمناً لمجموعات برامج الفدية الضارة. نتيجةً لذلك، ازدادت هجمات برامج الفدية الضارة بنسبة 300% منذ 2015.2
  • في هذه السنة المالية، تم استهداف 389 مؤسسة رعاية صحية بالولايات المتحدة بواسطة برامج فدية ضارة، مما أدى إلى تعطل الشبكات وقطع الاتصال من الأنظمة وحالات تأخر في التدابير الطبية وإعادة جدولة المواعيد3. تكون الهجمات مكلفة، حيث يعرض تقرير مجال واحد خسارة مؤسسات رعاية صحية مبالغ تصل إلى 900000 USD (دولار أمريكي) في اليوم خلال وقت التعطل فقط.4
  • من أصل 99 مؤسسة رعاية صحية اعترفت بدفع الفدية وكشفت عن مبلغ الفدية المدفوع، كان وسيط الدفع 1,5 مليون USD (دولار أمريكي) ومتوسط الدفع 4,4 مليون USD (دولار أمريكي).5

تأثير جسيم على رعاية المرضى

يمكن أن يؤثر بدرجة كبيرة اضطراب عمليات الرعاية الصحية بسبب هجوم برامج الفدية الضارة على القدرة على علاج المرضى بكفاءة—ليس فقط في المستشفيات المتأثرة، ولكن في تلك المستشفيات القريبة التي تستوعب حجم مرضى أقسام الطوارئ المنقولين.6

ضع في اعتبارك نتائج دراسة أخيرة تعرض كيف أدى هجوم فدية ضارة على أربع مستشفيات (مستشفيين تعرضا للهجوم واثنين غير متأثرين) إلى زيادة في حجم مرضى أقسام الطوارئ وفترات انتظار أطول وعبئ إضافي على الموارد، خاصةً عند الرعاية الحساسة للوقت، مثل علاج السكتة الدماغية، في مستشفيين مجاورين غير متأثرين.7
زيادة حالات السكتة الدماغية: يضع هجوم برامج الفدية الضارة عبئاً على النظام البنائي للرعاية الصحية بشكل عام بينما تضطر المستشفيات غير المتأثرة إلى استيعاب المرضى من غيرها المتأثرة. تضاعفت تقريباً حالات تفعيل كود السكتة الدماغية في المستشفيين القريبين من 59 إلى 103، بينما ارتفعت حالات السكتة الدماغية المؤكدة بنسبة 113,6%، حيث زادت من 22 إلى 47 حالة.
زيادة في حالات توقف القلب: أدى الهجوم إلى ضغط نظام الرعاية الصحية بينما ارتفعت حالات توقف القلب في المستشفيين غير المتأثرين من 21 إلى 38، أي زيادة بنسبة 81%. يعكس هذا التأثير المتتالي لاختراق منشأة رعاية صحية واحدة، مما فرض على المستشفيين القريبين معالجة حالات حرجة أكثر.
انخفاض في معدل البقاء مع الحالات ذات نتائج عصبية واعدة: انخفض معدل البقاء لحالات توقف القلب خارج المستشفى ذات نتائج عصبية واعدة بشكل جزري لدى المستشفيين غير المتأثرين خلال الهجوم، حيث انخفض من 40% قبل الهجوم إلى 4,5% خلال مرحلة الهجوم.
ازدادت مرات وصول الإسعاف: كان هناك زيادة نسبتها 35,2% في مرات وصول الخدمات الطبية الطارئة (EMS) للمستشفيين “غير المتأثرين” خلال مرحلة الهجوم، مما يقترح تنوعاً كبيراً في حركة مرور الإسعاف نتيجة الاضطراب الناجم عن برامج الفدية الضارة في المستشفيين المتأثرين.
ارتفع حجم المرضى: نظراً لأن الهجوم اخترق أربع مستشفيات بالمنطقة (مستشفيين تعرضا للهجوم واثنين غير متأثرين)، واجهت أقسام الطوارئ في المستشفيين غير المتأثرين تدفقاً كبيراً من المرضى. ازداد التعداد اليومي في المستشفيين غير المتأثرين بنسبة 15,1% خلال مرحلة الهجوم مقارنةً بمرحلة ما قبل الهجوم.
الاضطرابات الإضافية في الرعاية: خلال الهجمات، كانت لدى المستشفيين غير المتأثرين زيادة ملحوظة في المرضى المغادرين بدون فحصهم وفترات التواجد في غرفة الانتظار وإجمالي مدة الإقامة للمرضى الذين تم استقبالهم. على سبيل المثال، ازدادت فترات التواجد في غرفة الانتظار من 21 دقيقة قبل الهجوم إلى 31 دقيقة خلال الهجوم.

دراسات حالات من برامج الفدية الضارة

يمكن أن ينتج عن هجمات برامج الفدية الضارة عواقب جسيمة ليس فقط على المؤسسات المستهدفة بل على الثبات التشغيلي والرعاية الصحية أيضاً. توضح دراسات الحالة التأثيرات بعيدة المدى الناجمة عن برامج الفدية الضارة لمختلف أنواع مؤسسات الرعاية الصحية، بداية من أنظمة المستشفيات الكبيرة وصولاً إلى مقدمي خدمات الرعاية في المناطق الريفية الصغيرة، لتبرز طرقاً مختلفة في ما يفعله المهاجمين للتسلل إلى الشبكات مما يؤدي إلى اضطرابات في خدمات الرعاية الصحية.
  • استخدم المهاجمون بيانات اعتماد مخترقة للوصول إلى الشبكة عبر بوابة وصول عن بعد معرضة للخطر دون مصادقة متعددة العوامل. لقد قاموا بتشفير البنية التحتية الحيوية واستخراج بيانات حساسة في مخطط ابتزاز مزدوج، وهددوا بالإفراج عنها في حالة ما لم يتم دفع فدية.

    التأثير:     تسبب الهجوم في حدوث اضطرابات، مما منع 80% من مقدمي الرعاية الصحية والصيدليات من التحقق من التأمين أو معالجة المطالبات. 
  • استغل المهاجمون ثغرة أمنية في برنامج المستشفى القديم غير المرقّع، وانتقلوا بشكل جانبي لاختراق جداول المرضى والسجلات الطبية. وباستخدام تكتيك الابتزاز المزدوج، قاموا باستخراج بيانات حساسة وهددوا بنشرها ما لم يتم دفع فدية.

    التأثير: وتسبب الهجوم في تعطيل العمليات، مما أدى إلى إلغاء المواعيد، وتأخير العمليات الجراحية، والتحول إلى العمليات اليدوية، مما أدى إلى إجهاد الموظفين وتأخير الرعاية. 
  • استخدم المهاجمون رسائل البريد الإلكتروني الاحتيالية للوصول إلى شبكة المستشفى واستغلوا الثغرات الأمنية غير المصححة لنشر برامج الفدية الضارة وتشفير السجلات الصحية الإلكترونية وأنظمة رعاية المرضى. وفي تكتيك ابتزاز مزدوج، قاموا باستخراج بيانات حساسة خاصة بالمريض وبالبيانات المالية، وهددوا بتسريبها إذا لم يتم دفع الفدية. 

    التأثير:     أدى الهجوم إلى تعطيل العمل في أربعة مستشفيات وأكثر من 30 عيادة، مما أدى إلى تأخير العلاج وتحويل مرضى الطوارئ، مع مخاوف من تعرض البيانات للخطر. 
  • في فبراير/شباط 2021، أدى هجوم برامج الفدية إلى شل أنظمة الكمبيوتر في مستشفى ريفي يضم 44 سريراً، مما أجبر المستشفى على إجراء عمليات يدوية لمدة ثلاثة أشهر وأدى إلى تأخير كبير في مطالبات التأمين.

    التأثير:     أدى عدم قدرة المستشفى على تحصيل المدفوعات في الوقت المناسب إلى ضائقة مالية، مما ترك المجتمع الريفي المحلي بدون خدمات الرعاية الصحية الأساسية. 

يمثل قطاع الرعاية الصحية الأمريكي هدفاً جذاباً لمجرمي الإنترنت ذوي الدوافع المالية نظراً لسطح الهجوم الواسع والأنظمة القديمة وبروتوكولات الأمان غير المتسقة. إن الجمع بين اعتماد الرعاية الصحية على التقنيات الرقمية، وبياناتها الحساسة، والقيود المفروضة على الموارد التي تواجهها العديد من المنظمات - في كثير من الأحيان بسبب الهوامش الضئيلة للغاية - يمكن أن يحد من قدرتها على الاستثمار الكامل في الأمان عبر الإنترنت، مما يجعلها عرضة للخطر بشكل خاص. بالإضافة إلى ذلك، تعطي مؤسسات الرعاية الصحية الأولوية لرعاية المرضى بأي ثمن، مما قد يؤدي إلى الاستعداد لدفع الفدية لتجنب الاضطرابات.

سمعة سيئة في دفع الفدية

وجزء من السبب في أن برامج الفدية الضارة أصبحت مشكلة واضحة في مجال الرعاية الصحية هو سجل القطاع في دفع الفدية. تعطي مؤسسات الرعاية الصحية رعاية المرضى الأولوية قبل كل شيء، وإذا كان عليها أن تدفع ملايين الدولارات لتجنب الاضطرابات، فإنها غالبا ما تكون على استعداد للقيام بذلك.

في الواقع، وفقًا لتقرير حديث استند إلى مسح شمل 402 منظمة رعاية صحية، تعرض 67% منها لهجوم برامج الفدية في العام الماضي. ومن بين هذه المنظمات، اعترفت 53% منها بدفع فدية في عام 2024، مقابل 42% في عام 2023. وسلط التقرير الضوء أيضًا على التأثير المالي، حيث بلغ متوسط ​​​​مدفوعات الفدية المقبولة 4.4 مليون دولار أمريكي.12

موارد أمنية واستثمارية محدودة

ويتمثل التحدي الكبير الآخر في الميزانيات والموارد المحدودة للأمان عبر الإنترنت في قطاع الرعاية الصحية. وفقاً لتقرير الأمان عبر الإنترنت في مجال الرعاية الصحية يحتاج إلى فحص13 الذي أصدرته CSC 2.0 (وهي مجموعة تواصل عمل لجنة Cyberspace Solarium التي كلفها الكونجرس)، "نظراً لأن الميزانيات ضيقة ويجب على مقدمي الخدمات إعطاء الأولوية للإنفاق على خدمات المرضى الأساسية، فقد كان الأمان عبر الإنترنت غالباً غير ممول بشكل كافٍ، مما يجعل منظمات الرعاية الصحية أكثر عرضة للهجوم."

وعلاوة على ذلك، وعلى الرغم من خطورة المشكلة، فإن مقدمي الرعاية الصحية لا يستثمرون بشكل كاف في مجال الأمان عبر الإنترنت. ونتيجة لمجموعة من العوامل المعقدة، بما في ذلك نموذج الدفع غير المباشر الذي يؤدي في كثير من الأحيان إلى إعطاء الأولوية للاحتياجات السريرية الفورية على الاستثمارات الأقل وضوحاً مثل الأمان عبر الإنترنت، فقد قلص قطاع الرعاية الصحية الاستثمار في الأمن عبر الإنترنت بشكل كبير على مدى العقدين الماضيين.10

كما أدى قانون نقل التأمين الصحي والمساءلة (HIPAA) إلى إعطاء الأولوية للاستثمارات في سرية البيانات، مما يترك في كثير من الأحيان سلامة البيانات وتوافرها كمخاوف ثانوية. يمكن أن يؤدي هذا النهج إلى تقليل التركيز على المرونة التنظيمية، وخاصة في خفض أهداف وقت الاسترداد (RTO) وأهداف نقطة الاسترداد (RPO).

نقاط ضعف الأنظمة والبنية التحتية القديمة

إن إحدى نتائج قلة الاستثمار في الأمان عبر الإنترنت هو الاعتماد على أنظمة قديمة يصعب تحديثها والتي أصبحت أهدافًا رئيسية للاستغلال. بالإضافة إلى ذلك، يؤدي استخدام التقنيات المختلفة إلى إنشاء بنية تحتية غير متجانسة مليئة بالثغرات الأمنية، مما يزيد من خطر الهجمات.

وقد أصبحت هذه البنية التحتية الضعيفة أكثر تعقيداً بسبب الاتجاه الأخير الذي اتجهت إليه صناعة الرعاية الصحية نحو التوحيد. إن عمليات دمج المستشفيات، التي تشهد ارتفاعًا (بنسبة 23% مقارنة بعام 2022 وبأعلى مستوياتها منذ عام 202014)، تؤدي إلى إنشاء منظمات ذات بنى تحتية معقدة منتشرة عبر مواقع متعددة. وبدون الاستثمار الكافي في الأمان عبر الإنترنت، تصبح هذه البنى التحتية عرضة للهجوم بدرجة كبيرة.

توسيع سطح الهجوم

وفي حين تساعد شبكات الرعاية المتكاملة سريرياً من الأجهزة المتصلة والتقنيات الطبية على تحسين نتائج المرضى وإنقاذ الأرواح، فقد أدت أيضاً إلى توسيع سطح الهجوم الرقمي - وهو ما يستغله الجناة بشكل متزايد.

أصبحت المستشفيات متصلة بالإنترنت أكثر من أي وقت مضى، حيث تقوم بربط الأجهزة الطبية الحيوية مثل أجهزة التصوير المقطعي المحوسب، وأنظمة مراقبة المرضى، ومضخات التسريب بالشبكات ولكنها لا تتمتع دائمًا بالمستوى المطلوب من الرؤية لتحديد نقاط الضعف التي يمكن أن تؤثر بشدة على رعاية المرضى وتخفيفها.

ويشير الأطباء كريستيان داميف وجيف تالي، المديران المشاركان والمؤسسان المشاركان لمركز جامعة كاليفورنيا في سان دييغو للأمان عبر الإنترنت للرعاية الصحية، إلى أن 70% من نقاط النهاية في المستشفى في المتوسط ​​ليست أجهزة كمبيوتر بل أجهزة.   
غرفة مستشفى تحتوي على معدات طبية ودرج أبيض وستارة زرقاء.

كما تقوم منظمات الرعاية الصحية أيضًا بنقل كميات هائلة من البيانات. وفقاً للبيانات الصادرة عن مكتب المنسق الوطني لتكنولوجيا المعلومات الصحية، أفاد أكثر من 88% من المستشفيات بإرسال واستقبال معلومات صحية للمرضى إلكترونيًا، وأفاد أكثر من 60% منها بدمج هذه المعلومات في سجلاتها الصحية الإلكترونية.15

يواجه مقدمو الخدمات الصغيرة والريفية تحديات فريدة

تعد المستشفيات الريفية ذات الوصول الحرج معرضة بشكل خاص لحوادث برامج الفدية لأنها غالبًا ما تمتلك وسائل محدودة لمنع المخاطر الأمنية وعلاجها. يمكن أن يكون هذا مدمراً للمجتمع لأن هذه المستشفيات غالباً ما تكون الخيار الصحي الوحيد على مسافة أميال عديدة في المجتمعات التي تخدمها.

وبحسب داميف وتولي، تفتقر المستشفيات الريفية عادة إلى نفس مستوى البنية التحتية للأمان عبر الإنترنت أو الخبرة الموجودة في نظيراتها الحضرية الأكبر حجماً. وأشاروا أيضاً إلى أن خطط استمرارية الأعمال في العديد من هذه المستشفيات قد تكون قديمة أو غير كافية في معالجة التهديدات الإلكترونية الحديثة مثل برامج الفدية.

تواجه العديد من المستشفيات الصغيرة أو الريفية قيودًا مالية كبيرة، وتعمل بهامش ربح ضئيل للغاية. وهذا الواقع المالي يجعل من الصعب عليهم الاستثمار في تدابير الأمان عبر الإنترنت القوية. في كثير من الأحيان، تعتمد هذه المرافق على متخصص واحد في تكنولوجيا المعلومات - شخص لديه الكفاءة في إدارة المشكلات الفنية اليومية ولكنه يفتقر إلى المعرفة المتخصصة في مجال الأمن عبر الإنترنت.

يسلط تقرير صادر عن فريق عمل الأمان عبر الإنترنت لصناعة الرعاية الصحية التابع لوزارة الصحة والخدمات الإنسانية، والذي تم إنشاؤه كجزء من قانون الأمان عبر الإنترنت لعام 2015، الضوء على أن نسبة كبيرة من المستشفيات الريفية ذات الوصول الحرج تفتقر إلى التوظيف بدوام كامل والتركيز على الأمان عبر الإنترنت، مما يسلط الضوء على تحديات الموارد الأوسع التي تواجه مقدمي الرعاية الصحية الأصغر حجماً.

يوضح داميف قائلاً: "إن هؤلاء المتخصصين في تكنولوجيا المعلومات، والذين غالبًا ما يكونون مجرد أشخاص متمكنين من إدارة الشبكات وأجهزة الكمبيوتر، معتادون على التعامل مع أشياء مثل، "لا يمكنني الطباعة، لا يمكنني تسجيل الدخول، ما هي كلمة المرور الخاصة بي؟" "إنهم ليسوا خبراء الأمان عبر الإنترنت. "ليس لديهم الموظفين، وليس لديهم الميزانية، وهم لا يعرفون حتى من أين يبدأون."

تتبع عملية الهجوم التي يقوم بها مجرمو الإنترنت عادة نهجاً من خطوتين: الحصول على وصول أولي إلى الشبكة، غالبًا من خلال التصيد الاحتيالي أو استغلال الثغرات الأمنية، يليه نشر برامج الفدية لتشفير الأنظمة والبيانات الهامة. لقد أدى تطور هذه التكتيكات، بما في ذلك استخدام الأدوات المشروعة وانتشار خدمات RaaS، إلى جعل الهجمات أكثر سهولة وتكراراً.

المرحلة الأولية لهجوم برامج الفدية: الوصول إلى شبكة الرعاية الصحية

ويشير جاك موت، الذي قاد سابقاً فريقاً يركز على استخبارات التهديدات عبر البريد الإلكتروني للمؤسسات وهندسة الكشف عنها في Microsoft، إلى أن "البريد الإلكتروني يظل أحد أكبر العوامل التي تنقل هجمات البرامج الضارة والتصيد الاحتيالي لهجمات برامج الفدية."16

في تحليل أجراه التحليل الذكي للمخاطر من Microsoft لـ 13 نظاماً للمستشفيات تمثل عمليات متعددة، بما في ذلك المستشفيات الريفية، كان 93% من الأنشطة الإلكترونية الخبيثة التي تم رصدها مرتبطة بحملات التصيد الاحتيالي وبرامج الفدية، حيث تمثلت معظم الأنشطة في التهديدات القائمة على البريد الإلكتروني.17
"يظل البريد الإلكتروني أحد أكبر الوسائل لنقل البرامج الضارة وهجمات التصيد الاحتيالي لهجمات برامج الفدية."
جاك موت 
التحليل الذكي للمخاطر من Microsoft

في كثير من الأحيان، تستخدم الحملات الموجهة إلى مؤسسات الرعاية الصحية إغراءات محددة للغاية. وعلى سبيل المثال يسلط موت الضوء على كيفية قيام الجهات الفاعلة في مجال التهديد بصياغة رسائل البريد الإلكتروني باستخدام مصطلحات خاصة بالرعاية الصحية، مثل الإشارة إلى تقارير التشريح، لزيادة مصداقيتها وخداع المتخصصين في الرعاية الصحية بنجاح. 

إن تكتيكات الهندسة الاجتماعية مثل هذه، وخاصة في البيئات ذات الضغط العالي مثل الرعاية الصحية، تستغل الحاجة الملحة التي يشعر بها العاملون في مجال الرعاية الصحية، مما يؤدي إلى ثغرات أمنية محتملة. 

ويشير موت أيضاً إلى أن المهاجمين أصبحوا أكثر تطورًا في أساليبهم، وغالباً ما يستخدمون "أسماء حقيقية وخدمات مشروعة وأدوات تستخدم عادةً في أقسام تكنولوجيا المعلومات (مثل أدوات الإدارة عن بُعد)" للتهرب من الاكتشاف. وتجعل هذه التكتيكات من الصعب على أنظمة الأمن التمييز بين الأنشطة الخبيثة والمشروعة. 

وتظهر بيانات التحليل الذكي للمخاطر من Microsoft أيضًا أن المهاجمين غالبًا ما يستغلون الثغرات الأمنية المعروفة في برامج أو أنظمة المؤسسة والتي تم تحديدها في الماضي. هذه الثغرات الأمنية والتعرضات الشائعة (CVEs) موثقة جيداً، وتتوفر لها تصحيحات أو إصلاحات، وغالبًا ما يستهدف المهاجمون هذه الثغرات الأمنية القديمة لأنهم يعرفون أن العديد من المؤسسات لم تعالج هذه الثغرات بعد.18

بعد الحصول على الوصول الأولي، يقوم المهاجمون في كثير من الأحيان بإجراء استطلاع للشبكة، والذي يمكن تحديده من خلال مؤشرات مثل نشاط المسح غير المعتاد. تساعد هذه الإجراءات الجهات الفاعلة في مجال التهديد على رسم خريطة للشبكة، وتحديد الأنظمة الحرجة، والاستعداد للمرحلة التالية من الهجوم: نشر برامج الفدية.

المرحلة الأولية لهجوم برامج الفدية: نشر برامج الفدية لتشفير الأنظمة الحرجة

بمجرد الحصول على الوصول الأولي، عادةً من خلال التصيد الاحتيالي أو البرامج الضارة المرسلة عبر البريد الإلكتروني، ينتقل الجناة إلى المرحلة الثانية: نشر برامج الفدية.

يوضح جاك موت أن ظهور نماذج RaaS ساهم بشكل كبير في زيادة وتيرة هجمات برامج الفدية في قطاع الرعاية الصحية. "ويشير موت إلى أن منصات RaaS قد جعلت الوصول إلى أدوات الفدية المتطورة ديمقراطياً، مما يسمح حتى لأولئك الذين لديهم الحد الأدنى من المهارات التقنية بشن هجمات فعالة للغاية." يعمل هذا النموذج على خفض حاجز الدخول أمام المهاجمين، مما يجعل هجمات برامج الفدية أكثر سهولة وكفاءة.
"منصات RaaS قد جعلت الوصول إلى أدوات الفدية المتطورة ديمقراطياً، مما يسمح حتى لأولئك الذين لديهم الحد الأدنى من المهارات التقنية بشن هجمات فعالة للغاية." 
جاك موت 
التحليل الذكي للمخاطر من Microsoft

ويقدم موت مزيداً من التفاصيل حول كيفية عمل RaaS، قائلًا: "غالباً ما تتضمن هذه المنصات مجموعة شاملة من الأدوات، بما في ذلك برامج التشفير ومعالجة الدفع وحتى خدمة العملاء للتفاوض على مدفوعات الفدية. يتيح هذا النهج الجاهز لمجموعة أوسع من الجهات الفاعلة في مجال التهديد تنفيذ حملات برامج الفدية، مما يؤدي إلى زيادة عدد الهجمات وشدتها."

بالإضافة إلى ذلك، يسلط موت الضوء على الطبيعة المنسقة لهذه الهجمات، مؤكداً أنه "بمجرد نشر برامج الفدية، يتحرك المهاجمون عادةً بسرعة لتشفير الأنظمة والبيانات الهامة، وغالبًا في غضون ساعات. إنهم يستهدفون البنية التحتية الأساسية، مثل سجلات المرضى، وأنظمة التشخيص، وحتى عمليات الفوترة، لتعظيم التأثير والضغط على مؤسسات الرعاية الصحية لدفع الفدية."

هجمات برامج الفدية الضارة في الرعاية الصحية: لمحة عن مجموعات التهديد الرئيسية

غالباً ما يتم تنفيذ هجمات برامج الفدية في قطاع الرعاية الصحية من قبل مجموعات تهديد متخصصة ومنظمة للغاية. وتستخدم هذه المجموعات، التي تضم مجرمي الإنترنت ذوي الدوافع المالية والجهات الفاعلة ذات التهديدات المتطورة على مستوى الدول، أدوات واستراتيجيات متقدمة للتسلل إلى الشبكات وتشفير البيانات والمطالبة بفدية من المنظمات.

ومن بين هؤلاء الجهات الفاعلة المهددة، ورد أن قراصنة ترعاهم حكومات من دول استبدادية استخدموا برامج الفدية وحتى تعاونوا مع مجموعات برامج الفدية لأغراض التجسس. على سبيل المثال، يُشتبه في أن الجهات الفاعلة التي تهدد الحكومة الصينية تستخدم بشكل متزايد برامج الفدية كغطاء لأنشطة التجسس. 19

ويبدو أن الجهات الفاعلة الإيرانية هي الأكثر نشاطًا في استهداف مؤسسات الرعاية الصحية في عام 2024.20 في الواقع، في أغسطس 2024، أصدرت حكومة الولايات المتحدة تحذيرًا لقطاع الصحة بشأن جهة تهديد مقرها إيران تُعرف باسم Lemon Sandstorm. كانت هذه المجموعة "تستغل الوصول غير المصرح به إلى شبكات المنظمات الأمريكية، بما في ذلك منظمات الرعاية الصحية، لتسهيل وتنفيذ والاستفادة من هجمات برامج الفدية المستقبلية من قبل عصابات برامج الفدية التابعة لروسيا على ما يبدو."21

توفر الملفات الشخصية التالية نظرة ثاقبة على بعض مجموعات برامج الفدية الأكثر شهرة ذات الدوافع المالية والتي تستهدف الرعاية الصحية، مع تفصيل أساليبها ودوافعها وتأثير أنشطتها على الصناعة.
  • Lace Tempest هي مجموعة برامج فدية نشطة تستهدف الرعاية الصحية. باستخدام نموذج RaaS، فإنهم يمكّنون الشركات التابعة من نشر برامج الفدية بسهولة. ترتبط المجموعة بهجمات عالية التأثير على أنظمة المستشفيات، وتشفير بيانات المرضى الهامة والمطالبة بفدية. تشتهر هذه المجموعة بالابتزاز المزدوج، فهي لا تقوم بتشفير البيانات فحسب، بل تقوم أيضاً باستخراجها، وتهدد بتسريب معلومات حساسة إذا لم يتم دفع الفدية.
  • تشتهر Sangria Tempest بهجمات برامج الفدية المتقدمة على مؤسسات الرعاية الصحية. باستخدام تشفير متطور، فإنهم يجعلون استرداد البيانات مستحيلاً تقريبًا دون دفع فدية. كما يستخدمون الابتزاز المزدوج، فيستخرجون بيانات المرضى ويهددون بتسريبها. وتتسبب هجماتهم في حدوث اضطرابات تشغيلية واسعة النطاق، مما يجبر أنظمة الرعاية الصحية على تحويل الموارد، مما يؤثر سلباً على رعاية المرضى.
  • اشتهرت Cadenza Tempest بهجمات الحرمان من الخدمات الموزعة (DDoS)، وتحولت بشكل متزايد إلى عمليات برامج الفدية في مجال الرعاية الصحية. تم التعرف عليهم على أنهم مجموعة قرصنة مؤيدة لروسيا، وهم يستهدفون أنظمة الرعاية الصحية في المناطق المعادية للمصالح الروسية. وتتسبب هجماتهم في إغراق أنظمة المستشفيات، مما يؤدي إلى تعطيل العمليات الحرجة وخلق حالة من الفوضى، خاصة عندما يقترن ذلك بحملات برامج الفدية الضارة.
  • بدأت مجموعة Vanilla Tempest ذات الدوافع المالية، والتي تنشط منذ يوليو 2022، مؤخراً في استخدام برامج الفدية INC التي تم شراؤها من خلال موفري RaaS لاستهداف الرعاية الصحية في الولايات المتحدة. إنهم يستغلون الثغرات الأمنية، ويستخدمون البرامج النصية المخصصة، ويستغلون أدوات Windows القياسية لسرقة بيانات الاعتماد، والتحرك أفقياً، ونشر برامج الفدية الضارة. وتستخدم المجموعة أيضاً أسلوب الابتزاز المزدوج، حيث تطلب فدية لفتح الأنظمة ومنع نشر البيانات المسروقة.

في مواجهة هجمات برامج الفدية المتطورة بشكل متزايد، يجب على مؤسسات الرعاية الصحية اعتماد نهج متعدد الأوجه للأمان عبر الإنترنت. ويجب أن يكونوا مستعدين لتحمل الحوادث عبر الإنترنت والاستجابة لها والتعافي منها مع الحفاظ على استمرارية رعاية المرضى.

توفر الإرشادات التالية إطارًا شاملاً لتعزيز المرونة، وضمان التعافي السريع، وتعزيز القوى العاملة التي تضع الأمن في المقام الأول، وتعزيز التعاون عبر قطاع الرعاية الصحية.

الإدارة: ضمان الاستعداد والمرونة

مبنى به العديد من النوافذ تحت سماء زرقاء مليئة بالسحب

إن الحوكمة الفعالة في مجال الأمان عبر الإنترنت في مجال الرعاية الصحية أمر ضروري للاستعداد لهجمات برامج الفدية الضارة والاستجابة لها. يوصي داميف وتولي من مركز الأمان عبر الإنترنت للرعاية الصحية بجامعة كاليفورنيا في سان دييغو بإنشاء إطار حوكمة قوي مع أدوار واضحة، وتدريب منتظم، وتعاون بين التخصصات المختلفة. يساعد هذا مؤسسات الرعاية الصحية على تعزيز قدرتها على الصمود في مواجهة هجمات برامج الفدية وضمان استمرارية رعاية المرضى، حتى في مواجهة الاضطرابات الكبيرة.

يتضمن أحد الجوانب الرئيسية لهذا الإطار إزالة الحواجز بين الموظفين السريرييين وفرق أمن تكنولوجيا المعلومات ومحترفي إدارة الطوارئ لتطوير خطط متماسكة للاستجابة للحوادث. ويعد هذا التعاون بين الأقسام المختلفة أمراً حيوياً للحفاظ على سلامة المرضى وجودة الرعاية عندما يتم المساس بأنظمة التكنولوجيا.

ويؤكد داميف وتولي أيضاً على ضرورة وجود هيئة أو مجلس حوكمة مخصص يجتمع بانتظام لمراجعة وتحديث خطط الاستجابة للحوادث. ويوصون بتمكين هيئات الحوكمة هذه من اختبار خطط الاستجابة من خلال عمليات محاكاة وتدريبات واقعية، وضمان استعداد جميع الموظفين، بما في ذلك الأطباء الأصغر سنا الذين قد لا يكونون على دراية بالسجلات الورقية، للعمل بشكل فعال بدون أدوات رقمية.

وعلاوة على ذلك، يؤكد داميف وتولي على أهمية التعاون الخارجي. إنهم يدعون إلى إنشاء أطر إقليمية ووطنية تسمح للمستشفيات بدعم بعضها البعض أثناء الحوادث واسعة النطاق، مما يؤكد الحاجة إلى "مخزون وطني استراتيجي" من التكنولوجيا التي يمكن أن تحل مؤقتًا محل الأنظمة المعرضة للخطر.

المرونة والاستجابات الاستراتيجية

إن المرونة في مجال الأمان عبر الإنترنت في مجال الرعاية الصحية لا تقتصر على حماية البيانات فحسب، بل تتضمن ضمان قدرة الأنظمة بأكملها على الصمود والتعافي من الهجمات. إن اتباع نهج شامل لتحقيق المرونة أمر ضروري، مع التركيز ليس فقط على حماية بيانات المرضى ولكن أيضاً على تعزيز البنية التحتية بأكملها التي تدعم عمليات الرعاية الصحية. ويتضمن ذلك النظام بأكمله - الشبكة، وسلسلة التوريد، والأجهزة الطبية، والمزيد.

يعد اعتماد استراتيجية الدفاع المتعمق أمراً بالغ الأهمية لإنشاء وضع أمني متعدد الطبقات يمكنه إحباط هجمات برامج الفدية بشكل فعال.

يعد اعتماد استراتيجية الدفاع المتعمق أمراً بالغ الأهمية لإنشاء وضع أمني متعدد الطبقات يمكنه إحباط هجمات برامج الفدية بشكل فعال. تتضمن هذه الاستراتيجية تأمين كل طبقة من البنية التحتية للرعاية الصحية - من الشبكة إلى نقاط النهاية إلى السحابة. من خلال التأكد من وجود طبقات متعددة من الدفاع، يمكن لمؤسسات الرعاية الصحية تقليل مخاطر وقوع هجوم ناجح باستخدام برامج الفدية.

وكجزء من هذا النهج المتعدد الطبقات لعملاء Microsoft، تعمل فرق التحليل الذكي للمخاطر من Microsoft بشكل نشط على مراقبة سلوك الخصم. عند اكتشاف مثل هذا النشاط، يتم إرسال إشعار مباشر.

هذه ليست خدمة مدفوعة أو متعددة المستويات - حيث تحظى الشركات بجميع أحجامها بنفس الاهتمام. ويهدف ذلك إلى توفير تنبيه فوري عند اكتشاف تهديدات محتملة، بما في ذلك برامج الفدية، والمساعدة في اتخاذ الخطوات اللازمة لحماية المؤسسة.

بالإضافة إلى تنفيذ طبقات الدفاع هذه، من المهم للغاية أن يكون لدينا خطة فعالة للاستجابة للحوادث واكتشافها. إن وجود خطة ليس كافياً؛ بل يجب على مؤسسات الرعاية الصحية أن تكون مستعدة لتنفيذها بكفاءة أثناء الهجوم الفعلي لتقليل الأضرار وضمان التعافي السريع.

وأخيرا، تشكل قدرات المراقبة المستمرة والكشف في الوقت الفعلي مكونات أساسية لإطار عمل قوي للاستجابة للحوادث، مما يضمن إمكانية تحديد التهديدات المحتملة ومعالجتها على الفور.

لمزيد من المعلومات حول المرونة عبر الإنترنت في مجال الرعاية الصحية، نشرت وزارة الصحة والخدمات الإنسانية (HHS) أهداف أداء الأمان عبر الإنترنت التطوعية (CPGs) الخاصة بالرعاية الصحية لمساعدة مؤسسات الرعاية الصحية على إعطاء الأولوية لتنفيذ ممارسات الأمان عبر الإنترنت عالية التأثير.

تم إنشاء المبادئ التوجيهية للأمان عبر الإنترنت من خلال عملية شراكة تعاونية بين القطاعين العام والخاص، باستخدام أطر عمل الأمان عبر الإنترنت المشتركة في الصناعة، والمبادئ التوجيهية، وأفضل الممارسات، والاستراتيجيات، وتتكون  المبادئ التوجيهية للأمان عبر الإنترنت من مجموعة فرعية من ممارسات الأمان عبر الإنترنت التي يمكن لمنظمات الرعاية الصحية استخدامها لتعزيز الاستعداد عبر الإنترنت، وتحسين المرونة عبر الإنترنت، وحماية معلومات صحة المرضى وسلامتهم.

خطوات لاستعادة العمليات بسرعة وتعزيز الأمن بعد الهجوم

يتطلب التعافي من هجوم برامج الفدية الضارة اتباع نهج منهجي لضمان العودة السريعة إلى العمليات الطبيعية مع منع وقوع حوادث مستقبلية. فيما يلي خطوات عملية للمساعدة في تقييم الأضرار واستعادة الأنظمة المتضررة وتعزيز تدابير الأمن. ومن خلال اتباع هذه الإرشادات، يمكن لمنظمات الرعاية الصحية المساعدة في التخفيف من تأثير الهجوم وتعزيز دفاعاتها ضد التهديدات المستقبلية.
تقييم محتوى الهجوم وآثاره

عزل الأنظمة المتأثرة على الفور لمنع انتشار المزيد.
استعادة من النسخ الاحتياطية الجيدة المعروفة

تأكد من توفر نسخ احتياطية نظيفة والتحقق منها قبل عمليات الاستعادة. احتفظ بنسخ احتياطية غير متصلة بالإنترنت لتجنب تشفير برامج الفدية.
إعادة بناء الأنظمة

فكر في إعادة بناء الأنظمة المخترقة بدلاً من تصحيحها، للتخلص من أي برامج ضارة متبقية. استخدم إرشادات فريق الاستجابة للحدث التابع لشركة Microsoft بشأن إعادة بناء الأنظمة بشكل آمن. 
تعزيز ضوابط الأمن بعد الهجوم

تعزيز وضع الأمان بعد الهجوم من خلال معالجة نقاط الضعف وتصحيح الأنظمة وتحسين أدوات اكتشاف نقاط النهاية.
إجراء مراجعة ما بعد الحادث

العمل مع بائع أمان خارجي لتحليل الهجوم لتحديد نقاط الضعف وتحسين الدفاعات للحوادث المستقبلية.

بناء قوة عاملة تضع الأمن في المقام الأول

رجل وامرأة ينظران إلى وجه امرأة.

يتطلب إنشاء قوة عاملة تهتم بالأمن أولاً التعاون المستمر بين التخصصات.

يتطلب إنشاء قوة عاملة تهتم بالأمن أولاً التعاون المستمر بين التخصصات. من المهم إزالة الحواجز بين فرق أمن تكنولوجيا المعلومات ومديري الطوارئ والموظفين الطبيين لتطوير خطط متماسكة للاستجابة للحوادث. وبدون هذا التعاون، قد لا يكون باقي المستشفى مستعداً بشكل كافٍ للاستجابة بفعالية أثناء وقوع حادث إلكتروني.

التوعية والتثقيف بالأمان.

يعد التدريب الفعال وثقافة الإبلاغ القوية مكونين أساسيين لدفاع مؤسسة الرعاية الصحية ضد برامج الفدية الضارة. ونظراً لأن المتخصصين في الرعاية الصحية غالباً ما يعطون رعاية المرضى الأولوية، فقد لا يكونون دائماً على دراية بالأمان عبر الإنترنت، مما قد يجعلهم أكثر عرضة للتهديدات عبر الإنترنت.

ولمعالجة هذه المشكلة، يجب أن يتضمن التدريب المستمر أساسيات الأمان عبر الإنترنت، مثل كيفية اكتشاف رسائل البريد الإلكتروني الاحتيالية، وتجنب النقر على الروابط المشبوهة، والتعرف على تكتيكات الهندسة الاجتماعية الشائعة.

يمكن أن تساعدك موارد التوعية بالأمان عبر الإنترنت في هذا الأمر.

"يوضح موت من Microsoft أن تشجيع الموظفين على الإبلاغ عن المشكلات الأمنية دون خوف من اللوم أمر أساسي." "كلما تمكنت من الإبلاغ عن شيء ما في أقرب وقت، كان ذلك أفضل. إذا كان الأمر حميدًا، فهذا هو السيناريو الأفضل."

وينبغي أيضاً للتدريبات والمحاكاة المنتظمة أن تحاكي الهجمات في العالم الحقيقي مثل التصيد الاحتيالي أو برامج الفدية، مما يساعد الموظفين على ممارسة استجابتهم في بيئة خاضعة للرقابة.

تبادل المعلومات والتعاون والدفاع الجماعي

نظراً لأن هجمات برامج الفدية تتزايد بشكل عام في التردد (تلاحظ Microsoft زيادة قدرها 2.75٪ سنويًا بين عملائنا16)، تصبح استراتيجية الدفاع الجماعي ضرورية. يعد التعاون - بين الفرق الداخلية والشركاء الإقليميين والشبكات الوطنية/العالمية الأوسع - أمرًا بالغ الأهمية لتأمين عمليات الرعاية الصحية وسلامة المرضى.

إن تجميع هذه المجموعات لتصميم وتنفيذ خطط شاملة للاستجابة للحوادث يمكن أن يمنع الفوضى التشغيلية أثناء الهجمات.

ويؤكد داميف وتولي على أهمية توحيد الفرق الداخلية، مثل الأطباء ومديري الطوارئ وموظفي أمن تكنولوجيا المعلومات، الذين يعملون في كثير من الأحيان في عزلة. إن تجميع هذه المجموعات لتصميم وتنفيذ خطط شاملة للاستجابة للحوادث يمكن أن يمنع الفوضى التشغيلية أثناء الهجمات.

وعلى المستوى الإقليمي، ينبغي لمنظمات الرعاية الصحية أن تقيم شراكات تسمح لمرافق الرعاية الصحية بمشاركة القدرات والموارد، مما يضمن استمرار رعاية المرضى حتى عندما تتأثر بعض المستشفيات ببرامج الفدية الضارة. ويمكن أن يساعد هذا الشكل من الدفاع الجماعي أيضًا في إدارة تدفق المرضى وتوزيع العبء على مقدمي الرعاية الصحية.

وإلى جانب التعاون الإقليمي، تشكل شبكات تبادل المعلومات الوطنية والعالمية أهمية محورية. تعتبر مراكز تبادل المعلومات وتحليلها (ISACs)، مثل Health-ISAC، بمثابة منصات لمنظمات الرعاية الصحية لتبادل معلومات استخباراتية حيوية حول التهديدات. يقارن إيرول فايس، كبير مسؤولي الأمن في Health-ISAC، هذه المنظمات "ببرامج مراقبة الأحياء الافتراضية"، حيث يمكن للمنظمات الأعضاء مشاركة التفاصيل حول الهجمات وتقنيات التخفيف المثبتة بسرعة. ويساعد هذا التبادل الاستخباراتي الآخرين على الاستعداد للتهديدات المماثلة أو القضاء عليها، مما يعزز الدفاع الجماعي على نطاق أوسع.

  1. [1]
    بيانات التحليل الذكي للمخاطر من Microsoft، الربع الثاني من عام 2024
  2. [2]
    (لملخص التنفيذي لمسؤولي أمان المعلومات: المشهد الحالي والناشئ للتهديدات عبر الإنترنت في مجال الرعاية الصحية؛ Health-ISAC ورابطة المستشفيات الأمريكية (AHA))  
    (https://go.microsoft.com/fwlink/?linkid=2293307)
  3. [3]
    "نسخة مكتوبة من النص: جلسة استماع للجنة مجلس النواب لتقييم أوجه القصور في الأمان عبر الإنترنت لدى Microsoft،" Tech Policy Press، 15 يونيو 2024
  4. [4]
    "في المتوسط، تخسر مؤسسات الرعاية الصحية 900 ألف دولار أمريكي يومياً بسبب التوقف عن العمل بسبب هجمات برامج الفدية"،  Comparitech،  6 مارس 2024
  5. [5]
    "هجمات برامج الفدية في مجال الرعاية الصحية تستمر في الزيادة من حيث العدد والشدة"، مجلة HIPAA، سبتمبر 2024
  6. [6]
    تم اختراق كل شيء؟ تأثيرات هجمات برامج الفدية على المستشفيات والمرضى؛ https://go.microsoft.com/fwlink/?linkid=2292916
  7. [7]
    هجوم برامج الفدية مرتبط بانقطاعات في أقسام الطوارئ المجاورة في الولايات المتحدة؛ هجوم برامج الفدية مرتبط بانقطاعات في أقسام الطوارئ المجاورة في الولايات المتحدة | طب الطوارئ | JAMA Network Open | JAMA Network
  8. [8]
    https://go.microsoft.com/fwlink/?linkid=2293508
  9. [9]
    "هجوم Ascension Ransomware يضر بالتعافي المالي"، مجلة HIPPA، 20 سبتمبر 2024
  10. [10]
    "كشف بيانات المرضى في هجوم تصيد على مركز صحة جامعة كاليفورنيا في سان دييغو"، مجلة HIPAA،  13 مارس 2024
  11. [11]
    "هجوم برامج الفدية كان عاملاً رئيسيًا في قرار إغلاق مستشفى ريفي في إلينوي"، مجلة HIPPA، 14 يونيو 2023
  12. [12]
    "هجمات برامج الفدية في مجال الرعاية الصحية تستمر في الزيادة من حيث العدد والشدة"، مجلة HIPAA، سبتمبر 2024
  13. [13]
    https://go.microsoft.com/fwlink/?linkid=2293219
  14. [14]
    كان هناك المزيد من عمليات اندماج المستشفيات في عام 2023، والضائقة المالية تدفع المزيد من الصفقات (chiefhealthcareexecutive.com)
  15. [15]
    التشغيل البيني وطرق التبادل بين المستشفيات في عام 2021 | HealthIT.gov
  16. [16]
    تقرير الدفاع الرقمي لشركة Microsoft لعام 2024، صفحة 27
  17. [17]
    قياس التحليل الذكي للمخاطر من Microsoft، 2024
  18. [18]
    "كتالوج الثغرات الأمنية المستغلة المعروفة"، CISA، 2024
  19. [19]
    https://go.microsoft.com/fwlink/?linkid=2293016
  20. [20]
    بيانات التحليل الذكي للمخاطر من Microsoft حول التهديدات الإلكترونية في قطاع الرعاية الصحية، 2024
  21. [21]
    https://go.microsoft.com/fwlink/?linkid=2293213
برامج الفدية الضارة الجريمة الإلكترونية

مزيد من الأمان

دليل النظافة للمرونة المرونة الإلكترونية

تظل السلامة الإلكتروني الأساسية هي أفضل طريقة للدفاع عن هويات المؤسسة وأجهزتها وبياناتها وتطبيقاتها وبنيتها التحتية وشبكاتها ضد 98% من جميع المخاطر عبر الإنترنت. اكتشف النصائح العملية في الدليل الشامل.
تعرّف على المزيد

مكافحة المتسللين داخل المستشفيات الذين عطلوا المستشفيات وعرضوا الأرواح للخطر

تعرّف على أحدث المخاطر الناشئة من بيانات المخاطر وأبحاث Microsoft. احصل على تحليل للاتجاهات وإرشادات قابلة للتنفيذ لتقوية خط دفاعك الأول.
تعرّف على المزيد

التغذية من اقتصاد الثقة: الاحتيال بالهندسة الاجتماعية

استكشف مشهداً رقمياً متطوراً حيث تمثل الثقة عملة وثغرة أمنية في الوقت نفسه. اكتشف أساليب الاحتيال في مجال الهندسة الاجتماعية التي يستخدمها المهاجمون عبر الإنترنت كثيراً، وراجع الاستراتيجيات التي يمكن أن تساعدك في تحديد مخاطر الهندسة الاجتماعية المصممة للتلاعب بالطبيعة البشرية والتغلب عليها.
تعرّف على المزيد

متابعة الأمان من Microsoft