IMLebanon

موجة من الذعر في قطاع الرعاية الصحية

Anthem
كارا سكانيل وجينا تشون

هجوم عبر الإنترنت على شركة التأمين الصحي الأمريكية آنثيم – يعتقد أن مصدره الصين – أثار موجة من الذعر في جميع أنحاء قطاع الرعاية الصحية، الذي شهد اختراق القراصنة لأكثر من 100 مليون سجل طبي في عام 2015.

في كانون الثاني (يناير) الماضي، لاحظ مسؤول في شركة التأمين الصحي آنثيم استعلاما معقدا بشكل غير عادي يعمل على شبكة الكمبيوتر. بدا الأمر وكأن زميلا كان مسؤولا عن ذلك، ولكن كشف فحص سريع أنه كان قادما من مكان آخر.

وبعد دقائق، كانت شركة آنثيم في وضع الأزمة. يعتقد المحققون أن القراصنة كانوا من الصين، وكانوا يعملون دون أن يتم اكتشافهم داخل شبكة الشركة منذ عدة أشهر. لقد تمكنوا من الوصول إلى الشبكة عن طريق خداع الموظف، للضغط على بريد إلكتروني احتيالي كان متخفيا، ليبدو وكأنه رسالة داخلية.

باستخدام صلاحيات المسؤول، قام المتسللون بتمشيط قاعدة بيانات شركة آنثيم التي تحتوي على أسماء وأرقام الضمان الاجتماعي وتواريخ الميلاد لأكثر من 78 مليون شخص، من الذين كانوا مسجلين في خطط التأمين منذ عام 2004.

اختراق شركة آنثيم أرسل موجة من الذعر خلال قطاع الرعاية الصحية، حيث إنه كشف معلومات العملاء الشخصية التي تتسم بأكبر قدر من الحساسية والقيمة، وكشف عن مدى عدم الاستعداد الذي كانت عليه صناعة الصحة، عند تعرضها للتهديدات من مجرمي الإنترنت المتطورين على نحو متزايد – ومن بلدان مختلفة.

استطاع القراصنة الوصول إلى 100 مليون سجل صحي – 100 مرة أكثر من أي وقت مضى – في العام الماضي. ثمانية من أكبر عشرة اختراقات في أي نوع من أنواع شركات الرعاية الصحية حدثت هذا العام، وفقا لوزارة الصحة والخدمات الإنسانية.

سارعت شركات التأمين إلى التعاقد مع شركات أمن الفضاء الإلكتروني لتنظيف أنظمتها. وقد أعلنت كل من شركات بريميرا بلو كروس، وكيرفيرست بلوكروس بلوشيلد، وإكسيلس هيلث بلان، عن انتهاكات تمس 22 مليون شخص على الأقل في المجموع منذ آذار (مارس) الماضي، بما في ذلك اختراقات تعود إلى أكثر من عام. وقال محققون لصحيفة “فاينانشيال تايمز” إنهم يعتقدون أن بعض الاختراقات ترتبط وتعود إلى الصين.

تواجه شركات التأمين تحقيقات متعددة من الأجهزة التنظيمية الرسمية المسؤولة عن التأمين، ومن النيابة العامة، وقد يواجه البعض غرامات لعدم الامتثال لقوانين خصوصية بيانات الدولة، في حين أن وكالات إنفاذ القانون الفيدرالية تحقق لمعرفة من هم وراء هذه الاختراقات.

قالت ديفين ماكجراث، نائبة مدير خصوصية المعلومات الصحية في مكتب الصحة والخدمات الإنسانية للحقوق المدنية: “بالنسبة لكثير من الشركات غالبا ما يكون هذا الأمر أقل أولوية مما ينبغي. وحيث إن تركيزها في كثير من الأحيان ينصب على أشياء أخرى كثيرة، فهذا يوجد نقطة ضعف أعتقد أن كثيرا من المتسللين اكتشفوها”. وأضافت: “نشهد بعض المناطق المتسقة جدا من عدم الامتثال في جميع المجالات”.

تحقق وزارة الصحة والخدمات الإنسانية في الانتهاكات، وامتنعت عن التعليق عليها على وجه التحديد. ويتعين على شركات الرعاية الصحية بموجب قوانين الخصوصية في كثير من البلدان، بما فيها الولايات المتحدة والمملكة المتحدة، حماية البيانات الشخصية، ولكنهم كانت هناك جوانب خلل في الحفاظ على الأمن الأساسي، وذلك وفقا لما تقوله الأجهزة المنظمة.

في المملكة المتحدة، لم تكن هناك أي حالات اختراق مبلغ عنها في الخدمات الصحية الوطنية، ولكن تم تغريمها 1.3 مليون جنيه استرليني من مكتب مفوض المعلومات، الذي يجري عمليات تدقيق نيابة عن الحكومة بشأن خصوصية البيانات. الغرامات هي في معظمها بسبب الإهمال: مثل فقدان أجهزة كمبيوتر محمولة، وملفات تركت في محل بقالة، وسجلات تركت في محطة للحافلات.

هذا العام قال كريستوفر جراهام، من مكتب مفوض المعلومات: “تمتلك دائرة الخدمات الصحية بعض المعلومات الشخصية المتاحة الأكثر حساسية، ولكن بدلا من أن تقود الطريق في كيفية العناية بتلك المعلومات، الخدمات الصحية الوطنية هي واحدة من الدوائر الأسوأ أداء. وهذا هو سبب رئيسي للقلق”.

وكان قد تم منح مكتب مفوض المعلومات سلطة جديدة هذا العام لإجراء عمليات المراجعة الإلزامية لأنظمة الخدمات الصحية القومية. وقال متحدث باسم الخدمات الصحية القومية: “إن حماية أمن البيانات عبر الحكومة، خاصة في إطار النظام الصحي يمثل أولوية قصوى”. كما هو الحال في المملكة المتحدة، ترى شركات الرعاية الصحية الأمريكية أن أغلبية الانتهاكات لبياناتها تقع في فئات من أجهزة الكمبيوتر المحمولة المفقودة أو نتيجة للوصول غير المناسب للأنظمة من قبل أشخاص موجودين داخل الشركات.

وبما أنه يتم الاحتفاظ بمزيد من المعلومات بشكل إلكتروني – وهي فكرة تدعمها بقوة الحكومة الأمريكية لجعل السجلات الصحية منقولة بصورة أكبر – ازدادت الاختراقات الإلكترونية.

في بعض المستشفيات، الأطباء الذين غالبا ما يكونون جزءا من الإدارة يقاومون منذ فترة طويلة التدابير الإلكترونية التي يعتقدون أنها يمكن أن تبطئ أو تتداخل مع رعاية المرضى.

وقالت ماكجراث التابعة لوزارة الصحة والخدمة الإنسانية إن هذا عذر شائع، لكنها قالت إن الأمر الذي يثير القلق أكبر من ذلك بكثير هو أن كثيرا من الشركات لا تشفر بياناتها.

وقد تفاقمت هذه المشكلة بسبب المئات من عمليات الاندماج في المستشفيات التي حدثت على مدى السنوات القليلة الماضية، ما أدى إلى وجود أنظمة متعددة لتكنولوجيا المعلومات في مجموعة المستشفى الواحد في كثير من الأحيان. غالبا ما يتم تجاهل الأمن السيبراني كأولوية.

وقال بريان بالما، نائب الرئيس الأعلى في “خدمات سيسكو المتقدمة” في الأمن السيبراني: “إنها صناعة مجزأة جدا حيث إنه لا يوجد هناك هذا العدد الكبير من اللاعبين الذين يقودون القطاع بأكمله على النحو الذي نجده في الخدمات المالية والأمن السيبراني”. وأضاف: “هذا لا يحدث في مجال الرعاية الصحية”.

مع تعرض هوامش الربح في الرعاية الصحية للضغط، لا يتم تخصيص سوى نحو 3 في المائة من ميزانية تكنولوجيا المعلومات لأمن الإنترنت، وفقا للمختصين. أيضا يتم تقاسم عديد من جوانب الرعاية الصحية للمرضى في شبكة مستشفيات واحدة. وهذا يعني أنه يمكن للقراصنة الذين يبحثون عن بيانات المرضى أيضا تعطيل المعدات المنقذة للحياة مثل التنفس التي تعمل على الشبكة نفسها.

ظهور تهديد جديد

تغير التهديد هذا العام مع ظهور اختراقات يقول المحققون إنها ترتبط بالصين.

قال تشارلز كارمكال، محقق مع “مانديانت”، وهي شركة أمن الفضاء الإلكتروني: “نحن نعلم عن جماعات تهديدات متعددة تعمل خارج الصين، التي انخرطت في هجمات في قطاع الرعاية الصحية”. تم التعاقد مع “مانديانت” من قبل كل من شركتي آنثيم، وبريميرا وغيرهما.

وقال كارمكال: “في حين أننا نعتقد أننا نعرف هويتهم من منظور تنظيمي، إلا أنه لا يمكننا أن نعلم من الذي كلفهم القيام بذلك. السؤال الكبير هو: هل هم قراصنة يعملون لمصلحة غيرهم، أم هل الحكومة الصينية طلبت منهم القيام بذلك؟”

نفت الحكومة الصينية أنها متورطة في عمليات الاختراق. وقال أشخاص مطلعون على حالات الاختراق إن المحققين الأمريكيين يعتقدون أن قراصنة في الصين استهدفوا شركات التأمين في الولايات المتحدة، بما في ذلك “آنثيم”، لمعرفة كيف يتم إعداد التغطية الطبية وقواعد بيانات التأمين. السجلات هي أيضا قيمة لأغراض استخباراتية.

وكان التصدي لتحديات الرعاية الصحية أولوية قصوى للحكومة الصينية، التي تواجه سكانا في عمر الشيخوخة ومن الميسورين من الذين يطالبون برعاية أفضل.

قال ديمتري ألبيروفيتش، المؤسس المشارك لـ”كراودسترايك”، الذي رفض الحديث تحديدا عن خرق شركة آنثيم: “الصين مهتمة جدا بأي شيء من شأنه مساعدتهم في الأمراض التي يتعاملون معها والتغيرات في السكان”. وأضاف: “على سبيل المثال، مرض السكري هو مشكلة كبيرة في الصين لذلك فهم يستهدفون الشركات في هذا المجال”.

وعدت الصين جميع مواطنيها بتوفير إمكانية حصول الجميع على الرعاية الصحية بحلول عام 2020. وفي الوقت الراهن، فإن نصيب الفرد من الإنفاق على الرعاية الصحية في الصين لا يزال متخلفا كثيرا عن البلدان المتقدمة، ونظام الرعاية الصحية مليء بالفساد والرشاوى.

والصناعة هي أيضا هدف جذاب للمجرمين الذين يبيعون البيانات الصحية الشخصية في السوق السوداء. السجلات الطبية هي أكثر قيمة بكثير من أرقام بطاقات الائتمان لأنها غالبا ما تستغرق وقتا أطول للكشف عنها، وبذلك فإن البيانات لديها صلاحية أطول. بيانات مثل أرقام الضمان الاجتماعي يمكن استخدامها في مجموعة متنوعة من الخطط ابتداء من الاحتيال لاسترداد الضريبة، والاحتيال في مجال التأمين أو الاحتيال في الرعاية الطبية.

قال كارل ليونارد، وهو محلل لدى “لرايثيون ويب سنس”، وهي شركة أمنية، إنه يمكن شراء سجل بطاقة الائتمان مقابل نحو دولار في السوق السوداء”، ولكن “السجل [الطبي] الكامل لشخص واحد يراوح بين 200 دولار و2000 دولار”.

وأضاف: تم إغراق السوق ببيانات بطاقات الائتمان المسروقة، لذلك “سجلات الرعاية الصحية تجذب المتميزين الآن”.

المحققون لا يعتقدون أنه قد تم بيع المعلومات من عملية اختراق شركة آنثيم في الأسواق السوداء. ومع ذلك، فقد استهدف قراصنة آخرون ضحايا هجوم “آنثيم” برسائل البريد الإلكتروني الوهمية التي تبدو وكأنها من شركة آنثيم أو توفر حماية للائتمان. وتهدف هذه الرسائل لسرقة البيانات التي يمكن بيعها للمجرمين، وذلك وفقا لما يقوله أشخاص مطلعون على القضية.

تعتزم “آنثيم” إنفاق 130 مليون دولار على مدى عامين لتوفير حماية أفضل لشبكاتها من الانتهاكات. وقد أكدت الشركة للأجهزة المنظمة أنها عززت نظامها، وعملت على اتخاذ خطوات مثل تغيير كلمات السر لمدير السجلات الإلكترونية كل عشر ساعات، والتعاقد مع 55 مختصا من مختصي الأمن السيبراني.

«النظافة السيبرانية» السيئة

تكتيكات القراصنة تختلف، ولكن في كثير من الاختراقات الصحية فهم ينشئون أسماء الحقول التي تبدو مشابهة للمواقع التي تديرها شركات التأمين، التي أنشئت قبل الكشف عن الاختراق.

في كثير من الأحيان كان لدى المواقع الوهمية حرف واحد يختلف عن الموقع الأصلي أو استخدام الرقم “1” في مكان حيث يجب أن يكون حرف “L” في أسماء المواقع، وفقا لبحث أجرته شركتا الأمن السيبراني ثريت كونكت وسيمانتيك.

بالنسبة لشركة آنثيم، التي كانت تعرف سابقا باسم ويل بوينت، تم إنشاء الحقل تحت اسم www.we11point.com. كان هناك أيضا prennera.com لبريميرا، وEmpireB1ue.com لإمبير بلو وcaref1rst.com لشركة كير فيرست. وكان قد تم تتبع كل حقول الأسماء هذه إلى الصين.

عندما اكتشف مسؤول شركة آنثيم الاختراق في 27 كانون الثاني (يناير) الماضي، كان ذلك تماما في الوقت الذي كان يقوم فيه المتسللون باستخراج ملف كبير لبيانات المرضى. وقال شخص مطلع على الهجوم إنه يعتقد أن المتسللين دخلوا النظام منذ عدة أشهر، وبقوا تحت الرادار عن طريق تشغيل استعلامات متعددة على قاعدة البيانات لفهم الأمر قبل البدء في إزالة الملفات. استخدم القراصنة نمطا متكررا لاستخراج البيانات وتغييرا طفيفا في الاستعلام لتجنب الكشف. وبعد ذلك أزالوا البيانات ونقلوها إلى موقع مشترك مشفر، على غرار شركة دروب بوكس. اختار القراصنة موقع مشاركة مماثلا للموقع الذي استخدمته بالفعل شركة آنثيم، ما يجعل الكشف أكثر صعوبة. انتقدت شركة آنثيم لعدم وجود حق “النظافة السيبرانية” أو الحماية في المكان المناسب للحد من مخاطر الاختراق، أو تحديد نوعية المعلومات التي كانت عرضة إذا تم اختراق الشبكة.

نقلا عن التقرير الذي أنتجته “مانديانت”، دعوى قضائية أقامها العشرات من الأمريكيين المسجلين في خطط التأمين الصحي يدعون أن شركة آنثيم لم تنفذ بروتوكول المصادقة المؤلف من عاملين، وفشلت في مطالبة المستخدمين بتغيير كلمة المرور الخاصة بهم والسماح للموظفين بالوصول إلى المعلومات الشخصية التي تتجاوز نطاق عملهم.

وقد ادعى هؤلاء أن شركة آنثيم تجاهلت أيضا التنبيهات – بما في ذلك تنبيه استمر لشهر، وفقا للدعوى – وفشلت في تطبيق الأنظمة التي من شأنها مراقبة استخدام البيانات أو استخراجها. وتمتلك الشركة الآن اثنين من عوامل التوثيق لكبار المسؤولين عن نظامها.

في مراجعة في أيلول (سبتمبر) 2013 لشركة آنثيم قال المفتش العام لمكتب إدارة شؤون الموظفين الأمريكي إنه لدى شركات التأمين نقاط ضعف يمكن أن تعطي “بوابة لفيروس خبيث ونشاط قرصنة”.