أتمتة نموذج “الثقة الصفرية” في القطاع الصحي.. من تقييم المخاطر إلى فرض السياسات الديناميكية دون إعادة تصميم الشبكة

أتمتة نموذج "الثقة الصفرية" في القطاع الصحي.. من تقييم المخاطر إلى فرض السياسات الديناميكية دون إعادة تصميم الشبكة
أتمتة نموذج "الثقة الصفرية" في القطاع الصحي.. من تقييم المخاطر إلى فرض السياسات الديناميكية دون إعادة تصميم الشبكة
شارك هذا الخبر

يواجه القطاع الصحي في 2025 تحديات أمنية غير مسبوقة مع تزايد هجمات القراصنة على الأنظمة التشغيلية (OT) ودمج البنى التحتية لتكنولوجيا المعلومات (IT) مع الأجهزة الطبية، مما وسع نطاق الهجمات المحتملة.

  • تعرض القطاع الصحي لانتهاكات قياسية في 2024، مع تسريب 133 مليون سجل طبي.

  • متوسط تكلفة الاختراق الواحد وصل إلى 11 مليون دولار، مما يجعله الأكثر كلفة بين جميع القطاعات.

  • 71% من الهجمات على المنشآت الصحية كانت عبارة عن برامج الفدية، تسببت في تعطيل الخدمات لمدة 11 يومًا في المتوسط.

إطار تنظيمي جديد: تشديد متطلبات الأمن السيبراني

أصدرت هيئة HIPAA في ديسمبر 2024 تحديثات لقواعد الأمان تلغي التمييز بين الإجراءات “المطلوبة” و”الاختيارية”، وتجعل تجزئة الشبكات إلزامية لجميع المنشآت الصحية.

  • المادة 45 CFR 164.312(a)(2)(vi) تُلزم بإنشاء حدود واضحة بين شبكات IT وOT.

  • إرشادات HHS 405(d) توصي بتطبيق ضوابط الوصول وتجزئة الشبكات لحماية البيانات الطبية الحساسة (ePHI).

الفجوة بين فرق الأمن وأجهزة الطب السريري

تعاني المستشفيات من انقسام بين:

  • فرق أمن تكنولوجيا المعلومات: تركز على إدارة الثغرات والامتثال.

  • فرق الهندسة الطبية: تُعطي أولوية لتشغيل الأجهزة وضمان سلامة المرضى.
    نتيجة لذلك، تظل العديد من الأجهزة الطبية (كأجهزة التصوير والمضخات) غير مرئية لفرق الأمن، مما يخلق ثغرات أمنية خطيرة.

حل متكامل: منصة Elisity و Armis Centrix™

دمجت Elisity (للتَجزئة الدقيقة) مع Armis (لاكتشاف الأصول) لإنشاء نظام أمني متكامل يعتمد على نموذج “الثقة الصفرية” دون الحاجة إلى إعادة هيكلة الشبكات.

1. اكتشاف الأصول الذكي

  • تكتشف المنصة جميع الأجهزة المتصلة (حتى غير المُدارة) دون الحاجة إلى وكلاء أو مسح ضار.

  • تُصنف الأجهزة تلقائيًا (مثل أجهزة MRI ومضخات الأدوية وأنظمة التهوية).

2. التجزئة الدقيقة القائمة على الهوية

  • تُطبق سياسات أمنية ديناميكية بناءً على هوية الجهاز ومستوى الخطورة.

  • لا تحتاج إلى أجهزة شبكات جديدة أو تغيير البنية التحتية الحالية.

3. أتمتة السياسات الأمنية

  • تحديث القواعد تلقائيًا مع تغير مستوى التهديد.

  • منع الحركة الجانبية للقراصنة داخل الشبكة (تمثل 70% من الاختراقات الناجحة).

دراسة حالة: نجاح Main Line Health

بعد تطبيق الحل، حققت Main Line Health (الفائزة بجائزة CIO 100 لعام 2025):

  • نشر النظام في ساعات دون تعطيل الخدمات الطبية.

  • رؤية شاملة لأكثر من 100,000 جهاز (طبي، IoT، OT).

  • تلبية متطلبات HIPAA وHiTrust بسهولة.

اتجاهات مستقبلية في أمن الرعاية الصحية

  1. الذكاء الاصطناعي للكشف التلقائي عن التهديدات.

  2. دمج IT وOT تحت إطار أمني موحد.

  3. تعزيز أمن سلسلة التوريد بعدما أصبحت مصدر 62% من الاختراقات.

  4. التوسع في نموذج “الثقة الصفرية” لمنع الانتشار الجانبي للهجمات.

الخاتمة: خطوات عملية لتعزيز الأمن

  • التقييم: تحليل البنية التحتية الحالية وفقًا للمعايير الجديدة.

  • التخطيط: وضع خطة مرحلية لتطبيق التجزئة الدقيقة.

  • التنفيذ: التعاون مع مزودي حلول متخصصة في القطاع الصحي.

“ننام بشكل أفضل الآن مع معرفتنا أننا حددنا بشكل كبير مخاطر هجمات الفدية.” — آرون وايزمان، CISO في Main Line Health

وسوم
محمد الشرشابي
محمد الشرشابي
المقالات: 84

اترك ردّاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *


The reCAPTCHA verification period has expired. Please reload the page.

إقرأ أيضًا

الرئيسية إرسل إيميل أتصل بنا أعلى الصفحة