روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛ صنعت بهداشت آمریکا برای هکرهای صنعتی حکم معدن طلا را دارد. برای کسانی که قصدشان اعمال چنین حملاتی است، تحت کنترل درآوردن سیستم‌های بیمارستانی کاری نان و آبدار به نظر می‌رسد. با وجود نقض‌‌های امنیتی در طول سال‌های متمادی، این صنعت هنوز هم آنطور که باید در نحوه‌ی واکنش‌دهی به چنین حملاتی ضعیف است و در مواردی که حملات کاملاً ناگهانی حادث می‌شوند دست و پای خود را گم کرده و در نهایت عدم آمادگی اقدام می‌کند.

وزارت بهداشت و خدمات انسانی آمریکا (HHS) بعد از این همه سال اکنون آستین‌ها را بالا زده و می‌خواهد راهکاری جدی برای حل این مسئله اتخاذ کند. این آژانس اوایل سال جاری، واحد امنیت سایبری جدیدی بازگشایی کرد که به طور خاص روی صنعت بهداشت و سلامتی تمرکز دارد. این واحد در اصل کمک می‌کند تا این صنعت در حوزه‌ی امنیت سایبری، از گزند اقدامات مخرب هکرها در امان بماند. نام این واحد جدید، HC3 مخفف عبارت "مرکز هماهنگی امنیت اطلاعات در بخش بهداشت" می‌باشد.

واکنش‌دهی صنعت بهداشت و سلامتی به هکرها

بحران امنیت سایبری در سال 2015 به اوج خود رسید (143 میلیون گزارش از داده‌های نقض‌شده). متأسفانه این کابوس تمام‌شدنی نبود..... شاید این نقض‌ها -پس از آن سال- دیگر در مقیاس‌های چشمگیر رخ نداده باشند؛ اما در عوض جای خود را به حملات باج‌افزاری داده‌اند. در ژانویه‌ی 2016، مرکز پزشکی منطقه‌ای Titus در تگزاس در پی یک حمله‌ی باج‌افزاری دسترسی‌اش را به گزارشات سلامتی الکترونیک و داده‌های بیماران خود تماماً از دست داد. هکرها سوابق پزشکی را رمزگذاری کرده بودند و اکنون از این مرکز پزکشی تقاضای باجِ بیت‌کوینی داشتند. پزشکان و پرستاران تا هفته‌ها پس از این حمله اطلاعات بیمار را روی جداول کاغذی پیاده می‌کردند.

دو هفته بعد، همین ماجرا برای مرکز پزشکی Hollywood Presbyterian در لس‌آنجلس رخ داد. هکرها بیش از 3 میلیون دلار بیت‌کوین باج خواسته بودند و اگر این مبلغ به آن‌ها داده نمی‌شد اطلاعات بیماران را رمزگشایی نمی کردند. در همان حال، جوزف بناولونتا، دستیار مأمور ویژه اقدامات سایبری و ضداطلاعاتی سازمان  FBI گفت: «ساده‌ترین چیز باج دادن است و خیلی‌ها هم این کار را می‌کنند.  مبلغ پولی که مجرمان سایبری از این باج‌ها می‌گیرند نجومی است و همه‌ی اینها هم تقصیر مؤسسات و سازمانست که از ترسشان بلافاصله اقدام به پرداخت پول تقاضا شده می‌کنند».

حملات باج‌افزاری همچنان سال به سال بیشتر می‌شوند. در سال 2018، باج‌افزاری Allscripts را گرفتار خود کرد. در طی این حمله بیش از 1500 سازمان ارائه‌دهنده دیگر به سوابق پزشکی بیماران دسترسی نداشتند (این رکوردها توسط هکرها به مدت یک‌ هفته قفل شده بود).

طبق بررسی‌های اخیر، حملات باج‌افزاری در بخش بهداشت و سلامت از 2017 به 2018 رشد سه برابری داشته است. واحد جدید HC3 تلاش خواهد کرد تا با رویه‌های نوین جلوی این حملات را بگیرد. برای انجام این کار می‌بایست ابتدا طرحی واضح از مسایلی که قرار است مورد بررسی قرار گرفته شوند تهیه گردد. البته در این مسیر با چالش‌هایی نیز مواجه خواهد شد زیرا:

صنعت مراقبت‌های بهداشتی و سلامت راحت به دام می‌افتد

بررسی‌های ملی مراقبت‌های بهداشتی سال 2018 حاکی از این می‌باشد که تنها 45 درصد این تجارت از فریم‌ورک امنیت سایبری NIST (موسسه‌ی ملی استانداردها و تکنولوژی) استفاده می‌کنند. علاوه بر این، بیش از نیمی از تمام دستگاه‌های پزشکی اینترنتی در معرض دستکاری‌های امنیتی قرار دارند.

صنعت مراقبت‌های بهداشتی و سلامت هدفی سودآور است

اطلاعات و سوابق پزشکی این روزها بیشتر از اطلاعات مالی در دراک وب به فروش می‌رسند. سوابق پزشکی می‌توانند برای حمایت از کلاهبرداری‌های مالیاتی و بیمه‌ای مورد استفاده قرار گیرند.

مجرمان سایبری همچنان به سازمان‌های مراقبت‌های بهداشت و سلامتی چشم دوخته‌اند زیرا هک کردن آن‌ها هم راحت و هم سودآور است. در عوض خساراتی که به این سازمان‌ها زده می‌شود هم واقعی است و هم بسیار جدی. آن‌ها سه سال است که برای نشان دادن واکنش‌های در جا و دقیق منتظر همکاری دولت‌اند؛ اما همچنان در این میدان کارزار دست و پا می‌زنند. مسئولین امور مراقبتی بهداشتی می‌بایست خود به تنهایی و به صورت کاملاً مستقل امنیت شبکه‌ای خود را با استفاده از راهکارهای زیر بالا ببرند:

• پیاده‌سازی ساختار "صفرِ اطمینان" (Zero Trust)

فیشینگ، دلیل اصلی حمله‌ی سایبری است. شبکه‌های صفر اطمینان کارشان این است که همه‌ی ترافیک‌های شبکه‌ای را تهدیدی بالقوه فرض می‌کنند و با این کار، میزان خسارتی را که یک هکر اطلاعاتی می‌تواند وارد کند محدود می‌سازد.

• ارتقای حساسیت دیجیتال

کارمندان ضعیف‌ترین لینک های هر شبکه‌ای اینترنتی‌اند. دخیل کردن کارمندان در هر بخش می‌تواند حکم فرصت طلایی برای هکرها داشته باشد. با آموزش دادن به کارمندان می‌توان جلوی بسیاری از اقدامات هکری را گرفت. در حقیقت کارمندان می‌بایست اهمیت و حساسیت جهان دیجیتال را درک کنند.

• سرمایه‌گذاری در راه‌حل‌های قویِ بک‌آپ

وقتی باج‌افزاری شبکه‌ را مبتلا می‌کند، رهبران آی‌تی برای ریستور کردن دسترسی خود به سوابق بیماران شروع به بک‌آپ گرفتن از سیستم‌هایشان می‌کنند. هر قدر این بک‌آپ‌ها در بازه‌ی زمانی کوتاه‌تری گرفته شوند در زمان نیاز، ارزشمندتر خواهند بود. سرعت در بک‌آپ‌گیری نیازمند داشتن راه‌حلی قوی است.