عندما يتعلق الأمر بالرعاية الصحية، فإن الأمن السيبراني يمكن أن يكون حرفياً الفرق بين الحياة والموت. لتنسيق رعاية المرضى، أو تقديم السجلات الصحية الإلكترونية الصحيحة للعاملين الطبيين المناسبين، أو حماية المعلومات الحساسة، يجب أن تظل المستشفيات والمختبرات ومقدمي الرعاية الصحية الآخرين متصلة بالإنترنت ومتصلة ومؤمنة.
هذا هو السبب في أن خدمة الصحة الوطنية (NHS) الجديدة المتطلبات التي تنفذها جميع الكيانات المصادقة متعددة العوامل (MFA) معلمًا مهمًا للغاية. أنا لا أقول ذلك نيابة عن RSA فقط: هذا أمر شخصي. أنا من المملكة المتحدة ولا يزال لدي عائلة هناك. من خلال تطبيق MFA، ستستمر هيئة الخدمات الصحية الوطنية في الحفاظ على سلامة المعلومات الصحية الحساسة للغاية لمرضاها (بما في ذلك عائلتي).
تحدد سياسة MFA قواعد ومتطلبات تنفيذ المصادقة متعددة العوامل عبر مؤسسة أو نظام ما. والهدف من ذلك هو ضمان وصول المستخدمين المصرح لهم فقط إلى الأنظمة أو البيانات، مما يقلل من مخاطر الوصول غير المصرح به وخرق البيانات والهجمات الإلكترونية. تحدد سياسة المصادقة متعددة العوامل (MFA) المحددة جيدًا المستخدمين الذين يجب عليهم المصادقة عبر عوامل متعددة، وطرق المصادقة التي سيتم استخدامها، والظروف التي تتطلب المصادقة متعددة العوامل، مثل الوصول إلى البيانات الحساسة أو تنفيذ إجراءات عالية الخطورة. تتضمن السياسة أيضًا عادةً إرشادات حول الامتثال والإنفاذ والتحديثات المنتظمة للتكيف مع التهديدات الأمنية الناشئة.
وعلى الرغم من أن هذه السياسة خاصة بهيئة الخدمات الصحية الوطنية، إلا أنها أيضاً جزء من اتجاه عالمي أوسع نطاقاً. ويأتي شرط هيئة الخدمات الصحية الوطنية الجديد في أعقاب تفويضات في الولايات المتحدة لـ تحسين الأمن السيبراني في البلاد. وبالمثل فإن الاتحاد الأوروبي NIS2 يهدف التوجيه إلى إنشاء "مستوى عالٍ مشترك من الأمن السيبراني" بين جميع الدول الأعضاء. حوادث مثل Log4j, الحرب في أوكرانيا, و الهجمات الإلكترونية التي ترعاها الدول جميعهم وضعوا الأمن السيبراني في مقدمة أولوياتهم في جميع أنحاء العالم: لم يكن من المهم أكثر من أي وقت مضى أن تركز جميع المؤسسات على تقوية دفاعاتها. وهذا ينطبق بشكل خاص على الرعاية الصحية، وهذا هو السبب في أنني أشعر بالتشجيع الشديد لأن هيئة الخدمات الصحية الوطنية تأخذ الأمن السيبراني على محمل الجد.
ولكن بالنسبة لنظام كبير ومعقد مثل NHS، سيتطلب الأمر عملاً حقيقياً لتنفيذ المصادقة متعددة العوامل في الوقت المناسب للوفاء بالموعد النهائي في فبراير 2024 لإثبات خطط التنفيذ، أو الموعد النهائي في يونيو 2024 للامتثال الكامل. لذا، دعونا نلقي نظرة على سبب أهمية المصادقة متعددة العوامل في مجال الأمن السيبراني، ونراجع متطلبات سياسة المصادقة متعددة العوامل الخاصة بهيئة الخدمات الصحية الوطنية، ونناقش القدرات التي يجب أن تعطيها صناديق هيئة الخدمات الصحية الوطنية ومجالس الرعاية المتكاملة والهيئات التابعة لوزارة الصحة والرعاية الاجتماعية ومقدمي الرعاية الصحية الآخرين الأولوية.
توفر المصادقة متعددة العوامل طبقة إضافية من الأمان تساعد على التأكد من أن المستخدم هو نفسه. فبدلاً من طلب عنوان بريد إلكتروني وكلمة مرور فقط، تتطلب المصادقة متعددة العوامل أن يقدم المستخدمون عاملاً إضافياً - مثل إدخال رمز التحقق أو الاستجابة لإشعار فوري أو استخدام مفتاح أمان أو تقديم معلومات بيومترية - لتسجيل الدخول.
يمكن أن يكون لإضافة هذه الطبقة الإضافية من الأمان تأثير هائل. إن توفير كلمة مرور وبريد إلكتروني لا يكفي ببساطة لإيقاف معظم خروقات البيانات: إن تقرير تحقيقات اختراق البيانات لعام 2023 الصادر عن شركة فيرايزون وجد أن 74% من جميع الاختراقات تنطوي إما على "خطأ أو إساءة استخدام الامتيازات أو استخدام بيانات اعتماد مسروقة أو هندسة اجتماعية". وجد التقرير أيضًا أن بيانات الاعتماد المسروقة أصبحت نقطة الدخول الأكثر شيوعًا للاختراقات" على مدار السنوات الخمس الماضية.
والأمر لا يقتصر فقط على أن المزيد من الاختراقات تبدأ بكلمات مرور مخترقة - بل إن هذه الاختراقات تميل أيضًا إلى أن يكون لها تأثير أكبر. إن تقرير تكلفة اختراق البيانات الصادر عن شركة IBM لعام 2023 وجدت أن الاختراقات التي بدأت ببيانات اعتماد مسروقة أو مخترقة استغرقت 308 أيام لاكتشافها واحتوائها في المتوسط، مما يجعلها واحدة من أكثر نواقل الهجوم الأولية تكرارًا وأطولها أمدًا وأغلاها تكلفة.
يُعد تنفيذ سياسة مصادقة قوية متعددة العوامل (MFA) أمراً بالغ الأهمية في حماية المعلومات الحساسة بشكل استباقي. مع تزايد تعقيد التهديدات الإلكترونية، لم يعد الاعتماد على كلمات المرور فقط للمصادقة كافياً. تتطلب سياسة المصادقة متعددة العوامل (MFA) الشاملة من المستخدمين التحقق من هويتهم من خلال عوامل متعددة، مما يقلل بشكل كبير من احتمالية الوصول غير المصرح به، حتى في حالة اختراق بيانات الاعتماد. من خلال فرض المصادقة المصادقة المصغّرة عبر جميع نقاط الوصول، لا تعزز المؤسسات وضعها الأمني فحسب، بل تتماشى أيضاً مع أفضل الممارسات ومتطلبات الامتثال، مما يضمن حماية قوية ضد التهديدات الإلكترونية المتطورة ويقلل من تأثير الاختراقات المحتملة.
أوصي بأن يستخدم الممارسون العامون والمستشفيات والمختبرات سياسة هيئة الخدمات الصحية الوطنية MFA كوسيلة للتصدي للتهديد الحقيقي للهجمات الإلكترونية، وألا ينظروا إليها كإجراء آخر "لوضع علامة في الصندوق" يحتاجون إلى إكماله. لأن الأنظمة الرقمية لهيئة الخدمات الصحية الوطنية تتعرض بالفعل للهجوم:
- في عام 2023، وجدت إحدى شركات الأمن السيبراني أن "الملايين من الأجهزة الطبية في المستشفيات التابعة لصندوق الخدمات الصحية الوطنية... معرضة تمامًا لهجمات الفدية من قبل عصابات الجريمة الإلكترونية"
- في عام 2023 أيضًا، أفادت التقارير أن نقابة BlackCat / ALPHV لبرمجيات الفدية الخبيثة قد استولت على 7 تيرابايت من بيانات المرضىمن صندوق Barts Health NHS Trust، أحد أكبر مجموعات المستشفيات في المملكة المتحدة
- وفي الإطار الزمني نفسه، فإن جامعة مانشستر عن "اختراق بيانات أكثر من مليون مريض في هيئة الخدمات الصحية الوطنية"
- في عام 2022، أعلنت شركة إن إتش إس أدفانسد مزود خدمات تكنولوجيا المعلومات في هيئة الخدمات الصحية الوطنية (NHS Advanced) أنها ستستغرق "من ثلاثة إلى أربعة أسابيع للتعافي الكامل" بعد أن تعرضت هجوم الفدية الخبيثة, ؛ أجبرت تلك الهجمة العاملين في المجال الطبي على تدوين ملاحظات الرعاية "بالقلم والورقة" لأسابيع، مما أدى بدوره إلى إنشاء "ستة أشهر للمعالجة والإدخال" الأعمال اليدوية المتراكمة
- إن المركز الوطني للأمن السيبراني (NCSC) أشارت إلى أن الجهات الفاعلة التي ترعاها الدولة "استهدفت... هيئة الخدمات الصحية الوطنية خلال ذروة الجائحة"
يمكنني الاستمرار. سواء كانت هجمات طلب الفدية، أو هجمات اختراق الحسابات، أو الهندسة الاجتماعية، أو التصيد الاحتيالي البسيط، يحاول مجرمو الإنترنت وضع أيديهم على حسابات المستخدمين وبيانات المرضى، أو تعطيل العمليات إلى الحد الذي يضطر المستشفيات إلى دفع الفدية. لأن حياة الناس على المحك حقًا: في عام 2020، عطلت الجهات التخريبية أنظمة مستشفى دوسلدورف الجامعي في ألمانيا. أثناء الهجوم، حاول الأطباء نقل مريض إلى مستشفى آخر لتلقي الرعاية. توفي المريض أثناء عملية النقل، مما يشير إلى "أول حالة معروفة لفقدان الحياة" نتيجة لهجوم فيروس الفدية الخبيث.
تعمل شركة RSA مع القطاع الصحي منذ عقود. هذا العام، أصدرنا هذا العام القدرات التي ستساعد في الحفاظ على أمن السجلات الصحية الإلكترونية، ونحن ندرك أن تأمين الأنظمة الطبية يتطلب من المؤسسات معالجة متطلبات الامتثال وتحصين نفسها ضد الهجمات الإلكترونية.
أعتقد أن سياسة المصادقة متعددة العوامل (MFA) الخاصة بهيئة الخدمات الصحية الوطنية في إنجلترا تقوم بعمل جيد في إعطاء الأولوية لهدف قابل للتحقيق: إن تطبيق المصادقة متعددة العوامل هو أمر أساسي في الأمن السيبراني، كما أن توجيهات السياسة التي تنص على أن المصادقة متعددة العوامل يجب أن "تُفرض على جميع وصول المستخدمين عن بُعد إلى جميع الأنظمة" و"أن تُفرض على جميع وصول المستخدمين المميزين إلى الأنظمة المستضافة خارجياً" ستساعد في تأمين عدد كبير من المستخدمين وحالات الاستخدام عالية الخطورة.
الحاجة إلى تطبيق MFA على نطاق أوسع
ومع ذلك، أعتقد أن التفويض يجب أن يذهب إلى أبعد من ذلك وأن يمتد ليشمل جميع المستخدمين. تُعرّف هيئة الخدمات الصحية الوطنية "المستخدم المتميز" على أنه "مسؤول الأنظمة أو الذي لديه وظائف متعلقة بالأمن". أتوقع أن هدفهم من تأمين المسؤولين أولاً هو منع اختراق حساباتهم وتنفيذ التغييرات الأمنية على مستوى النظام.
إذا كان الأمر كذلك، فهذه خطوة أولى معقولة - طالما أنها ليست الخطوة الأخيرة. لا يزال التوقف مع المستخدمين المميزين الذين يصلون إلى الأنظمة الخارجية أو المستخدمين عن بُعد يترك الكثير من الثقة في النظام. إن مجرمي الإنترنت بارعون جداً في العثور على الثغرات في النظام الأمني واستغلالها لمصلحتهم الكاملة - وترك المصادقة المصادقة المصغرة لأي مستخدمين لا يتمتعون بوظائف متعلقة بالأمان أو المستخدمين الداخليين هو ثغرة كبيرة جداً.
فهم مخاطر الهجمات الداخلية
تميل المؤسسات إلى وضع معظم دفاعاتها حول الحسابات ذات القيمة الأعلى والاستعداد للدفاع عن نفسها من الهجمات الخارجية؛ هذا التفكير يفشل في إدراك أن العديد من الهجمات تتطور داخليًا بعد اختراق حساب من المستوى الأدنى. يبدأ عدد قليل جدًا من الهجمات باختراق بيانات الاعتماد الإدارية.
وبدلاً من ذلك، يستخدم المهاجمون "مجموعة متنوعة من الأدوات لاجتياز بيئتك ثم يقومون بالتمحور حولها، بما في ذلك استخدام التصيد الاحتيالي وبيانات الاعتماد المسروقة للحصول على إمكانية الوصول وإضافة أبواب خلفية للحفاظ على هذا الوصول والاستفادة من نقاط الضعف للتحرك
بشكل جانبي"، وفقًا لتقرير تحقيقات اختراق البيانات لعام 2023 الصادر عن شركة Verizon. في حين أن المهاجمين سيحاولون الانتقال تدريجياً إلى الأعلى وتصعيد امتيازاتهم أثناء تقدمهم، إلا أنهم يبدأون باختراق الحسابات الأقل مستوى والأقل أماناً.
مساوئ سياسة MFA
وعلاوة على ذلك، على الرغم من أهمية تقنية MFA، إلا أنها ليست حلاً سحرياً. تحتاج المؤسسات إلى الاقتراب من الثقة الصفرية وجعل الأمن عنصراً حاسماً في كل عملية تجارية. انظر إلى مجموعة القرصنة BlackCat / ALPHV التي اخترقت صندوق Barts Health Trust: في هذا الخريف، تمكنت نفس المجموعة من التهرب من MFA من خلال الهندسة الاجتماعية لمكتب مساعدة تكنولوجيا المعلومات في مجموعة سيزارز للترفيه في لاس فيغاس، مما أدى إلى $15 مليون دفع الفدية.
لا تفهمني بشكل خاطئ: هناك الكثير مما يعجبني في سياسة المصادقة متعددة العوامل الخاصة بهيئة الخدمات الصحية الوطنية في إنجلترا. على سبيل المثال هو استخدامها لمعايير الصناعة: إذا اختارت مكاتب هيئة الخدمات الصحية الوطنية تنفيذ المصادقة البيومترية، توصي السياسة بمراجعة معيار NIST SP 800 SP-63B s5.2.3 و NCSC "أنظمة التعرف والتوثيق البيومترية. هذه الوثائق مفيدة للغاية - بالرجوع إليها، يمكن لموظفي الخدمات الصحية الوطنية بناء أفضل الممارسات في نشر نظام المصادقة المتعددة الأطراف.
إن دليل سياسة هيئة الخدمات الصحية الوطنية في إنجلترا يعطي الأولوية أيضًا للبراغماتية والمرونة، مشيرًا إلى أن "جميع الأساليب التقنية لمفهوم التوافق مع الذمة المالية مسموح بها حاليًا" وأنه لا ينبغي للمؤسسات أن تحاول إيجاد حل "مثالي": "بدلاً من ذلك، يجب عليك تنفيذ ما هو ممكن عمليًا، وتحسينه بمرور الوقت." تقول هيئة الخدمات الصحية الوطنية إن المؤسسات "يجب أن تختار عاملاً - أو على الأرجح عدة عوامل - بناءً على ظروف مؤسساتك ومستخدميك."
هذا النهج - عدم السماح للمثالي بأن يكون المثالي عدو الجيد وتحسين المصادقة الآلية مع مرور الوقت - ممتاز. على الأرجح، ستحتاج مؤسسات الخدمات الصحية الوطنية إلى دعم مجموعات مستخدمين متعددة تعمل في بيئات متعددة. علاوة على ذلك، سيحتاجون إلى سياسة MFA التي يمكن أن تتكيف مع مجموعات المستخدمين الجدد والبيئات الجديدة مع تطور احتياجات المؤسسة.
وللقيام بذلك، من الضروري أن تعطي هيئة الخدمات الصحية الوطنية الأولوية للحلول التي تدعم مجموعة من أساليب المصادقة الآلية اليوم، والتي تم تصميمها لتمتد عبر البيئات المحلية والمتعددة السحابية والهجينة. يمكن لموظفي NHS جرِّب برنامج ID Plus لمدة 45 يومًا لرؤية تلك القدرات في العمل.
