الإدارة الأمنة لـ"انترنت الأشياء" في قطاع الرعاية الصحية

بقلم: جان تروجون، نائب الرئيس، والرئيس التقني لهندسة البرمجيات والمبيعات العالمية في "أڤايا"

تتطلع مستشفيات المنطقة في الوقت الحالي إلى استخدام الحلول التقنية بشكل استباقي لغرض توفير الرعاية الصحية المتقدمة وتحسين الأداء العام. ومن هذا المنظور، فقد أصبح بإمكاننا توقع رؤية الإجراءات المتبعة ضمن قطاع الرعاية الصحية تعتمد بشكل أكبر على مفهوم "الشبكات" وتجسيدها كـ"مساعد أساسي"، لتلعب بذلك دوراً كبيراً في تقديم رعاية صحية على أعلى المستويات.

لنتخيل بأن هناك "سرير ذكي" قادر و بشكل تلقائي على مراقبة كفاءة نوم المريض ومعرفة ما إن كان المريض مستلقٍ على السرير أو ذاهب للمشي، ولنتخيل أيضا لو أن الأجهزة و المعدات الطبية قادرة على قياس كافة الإحصائيات الحيوية للمريض بشكل دوري ومنظم ومن ثم تقوم بتسجيل البيانات وإصدار التقارير في الوقت المناسب ونقلها إلى الكادر الطبي المختص. لم يقف الأمر عند هذا الحد، بل يمكننا رؤية أجهزة الإنعاش الوريدية وأجهزة التصوير وأجهزة قياس نسبة السكر في الدم وغيرها من الأجهزة التي لا تحصى، تعمل بشكل تلقائي و تناسقي لغرض إدراج البيانات المستنتجة في السجل الصحي الإلكتروني للمريض.

ومع كل هذه التخيلات والرؤى فإن وقت حدوثها ليس بعيداً! بل أصبحت أمراً واقعاً ومطبقاً بالفعل، حيث أشار تقرير  نشرته مؤسسة البيانات الدولية "IDC" العام الماضي بأن الحلول النقالة للشركات و التي تشمل الأجهزة النقالة والشبكات اللاسلكية، وغيرها من خدمات الحوسبة المتنقلة سوف تخترق أكثر من 80٪ من منظمات الرعاية الصحية  في الشرق الأوسط وأفريقيا بحلول عام 2017، وأضاف التقرير بأن الواقع يوضح بأن أكثر من ثلث منظمات الرعاية الصحية قامت بتفعيل و استخدام الأجهزة الصحية الذكية مسبقاً. ولعل نتائج هذا التقرير  غير  مدهشة.

ومن ناحية أخرى يعتبر أمن تكنولوجيا المعلومات من أكثر القضايا التي تقلق مدراء قسم تقنية المعلومات العاملين في منظمات الرعاية الصحية، وعلى الرغم من أننا نشهد مبادرات رئيسية للاستفادة من التكنولوجيا لتحسين الرعاية الصحية في المنطقة فــلا بــدّ أن نفهم التحديات والمخاطر التي قد تترتب من استخدام التكنولوجيا. حيث أن التخطيط الشبكي الدقيق يعتبر بمثابة حاجة رئيسية لنجاح عملية تبني التكنلوجيا.

وبالفعل، إن تقنيات الأجهزة الرقمية المتصلة بالشبكات هي السائدة حاليا في المستشفيات، حيث أن عدد كبير ومتزايد من الأطباء و الممرضات قد قاموا بهجر لوحات الورق و القلم واتجهوا إلى أجهزة الاتصالات المرتبطة بشبكات الواي فاي و الأجهزة اللوحية "التابلت"، ومع ذلك يجب أن ننوه إلى حقيقة مهمة وهي أن كلما اندفعنا في إدخال أجهزة الاتصالات المرتبطة بالشبكة كلما زادت نسبة خلق مخاطر إضافية عند بعض الشركات. حيث أن خلق شبكة بشكل غير محمي و مضمون سوف يؤدي إلى جعل أجهزة الاتصالات المستخدمة ضمن هذه الشبكة مكشوفة.

إن مفهموم " الأمن " بكافة جوانبه يعتبر قضية أساسية للأعمال و الشركات وليست قضية تقنية. من المعروف أن قصص القرصنة و قراصنة الإنترنت تتصدر عناوين الأخبار بكشل دوري، حيث أن ثغرات قطاعات الأعمال بكافة أشكالها و التي قد تم اختراقها مسبقا، أصبحت مكشوفة ومعرضة للخطر مما يجعل منها إحدى الوجهات الرئيسية للقراصنة. وفي هذا الإطار ، فإن الواقع يظهر أن قطاع الرعاية الصحية أصبح إحدى القطاعات الذي يحتوي على معلومات في غاية الحساسية و الأهمية مما جعل منه هدف قيم وغني لدى قراصنة العصر.

وبما أن استخدام أجهزة الاتصال المرتبطة بالشبكات ماضٍ في التوسع فإن احتمالية حدوث هجوم ال "ميد جاك" "Medjack" تزداد أيضاً، حيث يحدث هذا النوع من الهجمات حينما تقوم القراصنة بإستغلال أنظمة التشغيل القديمة و الغير محمية مما يتيح له خلق فجوة انطلاق للتنقل ضمن الشبكة الداخلية بشكل غير محدود. وجرت العادة بأن من يقوم بتلك النوع من الهجمات يستهدف السجل الصحي الإلكتروني والنظم المالية، ولكن لبعض المتسلقين دوافع أخرى.  حيث من المعروف عن بعض القراصنة بأنهم يحاولون التلاعب بالنظم الحيوية الخاصة بالمستشفيات مثل أجهزة الإنعاش الوريدية و زرع القلب وتقنياتها المرتبطة، وذلك يأتي بسبب الثغرات الموجودة في الأجهزة و المعدات الطبية الموجودة في المستشفى.

تعد الشبكات واحدة من أكثر  العوامل التي تفتح المجال لهجمات القرصنة، وكل جهد أو  قرار يمس الشبكات يجب أن يصب في هدف حمايتها ولا يجب أن يزعزع عامل الحماية و الأمن عندها. فعلى سبيل المثال، الشبكات التقليدية تتيح للعديد من الأشخاص قابلية ربط الأجهزة بالشبكة دون أخذ إذن أية جهة مسؤولة ودون وجود أي رادع تقني، وللأسف إن بعض المدراء المختصين ليس لديهم أي فكرة عن ماهية هذه الأجهزة التي تتصل بالشبكة وبأي وقت قامت هذه الأجهزة بالإتصال.  ولذلك على منظمات الرعاية الصحية ضمان عدم استطاعة القراصنة الدخول للشبكة بهذه السهولة سواء بشكل سلكي أو لاسلكي.

و يجب التذكير بأن الهجمات تأتي بأشكال مختلفة كما أنها تطورت مع مرور الوقت. فمنها مثلا هجمات " Sneakernet" والتي تظهر عند استخدام الموظفين أو المرضى الأقراص المرنة "Floppy Disk"و أقراص التخزين "USB"  الخاصة بهم بحيث يأتون بها من بيوتهم وتكون معرضة مسبقا للفيروسات، ومن خلال هذه التصرفات اللاعشوائية و الغير مقصودة تبدأ شبكات و أجهزة المستشفيات بتعرضها للاضطرابات و المشاكل.

وفي عصرنا هذا، نرى أن المعضلة الأساسية تكمن في أن الأجهزة القابلة للارتباط بالشبكات و تطبيقات المستخدم النهائي أصبحت تتطور بسرعة أكبر من تلك الشبكات القديمة، كما أن النهج المتبع في استخدام نظام حماية الشبكات المعروف ب " firewall " لغرض تأمين وحماية بوابة الاتصال " Internet gateway " أصبح من الماضي. فالفكرة تكمن، بأن من خلال التقنيات القديمة الخاصة بإجرائيات الحماية و الوقاية الشبكية تتيح لأي شخص أن يقوم بربط جهازه بالشبكة بحيث يجعل كل الأجهزة الأخرى المرتبطة بالشبكة  مكشوفة و معرضة لهجمات القرصنة.

إن تقنية الشبكات المعروفة بـ"Software-defined networking " "الشبكات المُعرّفة بالتقنيات" تعتبر الجيل التالي للبنية التحتية في هندسة الشبكات. حيث تستطيع هذه التقنية بترسيخ عامل الأمن و الوقاية بشكل عميق، وتكمن ألية عمل هذه التقنية من خلال ضم عدة شبكات تحت مظلة واحدة بحيث تكون غير مرئية لأجهزة الإتصال، و يتم تحديد شبكة معينة تسمح بربط الأجهزة المصرح بها فقط بعد إتمام عملية التحقق منها وبنفس الوقت تكون هذه الشبكة منعزلة عن الأجهزة التي ليس لها علاقة بطبيعة عمل الشبكة ولا تسمح لها بالإرتباط. ومن شأن ذلك تعزيز  النظام الأمني للشبكة من خلال تقليل عدد الثغرات الأمنية و تقلص احتمالية حدوث هجوم عشوائي أو منظم.

تأمين تقسيم الشبكات أمر  في غاية الأهمية. جرت العادة أن تتم عملية التقسيم من خلال استخدام شبكة المنطقة المحلية ال " Virtual LANs"، ويتيح هذا النوع التقليدي من التقسيم إلى جعل البيانات قابلة للتطاير و الإنتقال من الأجهزة المصرح بها إلى أجهزة وتطبيقات أخرى. في حين تعمل تقنية " Software-defined networking " على إدارة سلوك تدفق البيانات وخاصة في سياق مصطلح "انترنت الأشياء (IOT) ".

وللتعمق أكثر في مجال الرعاية الصحية، فمن المؤكد أن الشبكات الداخلية المنطوية تحت مظلة واحدة يجب أن تكون معزولة عن بعضها البعض. فعلى سبيل المثال ، يجب عزل الشبكة التي توفر بيانات التصوير الرنين المغناطيسي الخاصة بالمريض وتنقلها إلى قاعدة البيانات السجل الصحي الإلكتروني المتعلقة بالعميل عن تلك الشبكة الخاصة بالتعاملات المالية الإلكترونية المرتبطة بالنظام المالي العام الداخلي للمستشفى. ومن الطبيعي أن تكون كلتا الشبكتين معزولتين تماماً عن المستخدمين النهائين "الزوار"بكافة أشكالهم. حيث أن قائمة التطبيقات و الخدمات الموجودة في منظمات الرعاية الصحية عديدة وهناك ضرورة قسوة لفصلها عن بعض البعض وذلك لضمان أمنها وحمايتها.

ولحل هذه القضايا الأمنية و التوسعية يوجد طريقة فعالة تكمن من خلال تحقيق مفهوم "ضمان أمن تقسيم الشبكات". حيث يعمل هذا المنهج على تعزيز عملية حماية التكنولوجيا لغرض تسهيل الحصول على شبكات مجزئة ومعزولة بنطاق واسع ومتنوع، وبسط السيطرة على تلك الشبكات. فلا يمكن حدوث أي إتصال بين تلك الشبكات إلا بتصريح، و تكون عملية تدفق البيانات متوفرة فقط بين الأجهزة و التطبيقات المصرح لها ضمن نطاق الشبكة، مما يؤدي إلى تحييد إحتمالية خطر الهجمات.

ومن المعروف عن هذه المنظومة الكاملة بتسمية  "الشبكات الخفية" يمكن وصفها بأنها مزيج من العناصر المتناسقة تشكل خدمة فردية قابلة على العمل بشكل مستقل وتقدم امتيازات خاصة أو قيود محددة. إن إدارة الشبكات بإتباع مفهوم "الشبكات الخفية" يوفر العزلة اللازمة المطلوبة للشبكات لغرض ضمان أمن وحماية تطبيقات  وخدمات الرعاية الصحية. فببساطة يمكن القول بأن : "العزلة تردع القرصنة"

إن مصطلح "انترنت الأشياء (IOT) " يزداد فكرة تمكينه يوماً بعد يوم، وهو الجيل الجديد من الإنترنت الذي يتيح الترابط بين عدد شاسع من الأجهزة التي أيضا من شأنها التنوع بشكل هائل. وبتالي يجب العمل على تطوير تقنيات  تعزز أمن الشبكات من الهجمات و تطوير تقسيمها.

تَمْكِين الابتكارات الجديدة. إن وتيرة التقدم في تكنولوجيا الأجهزة  و الرعاية الطبية تعتبر هي الأعلى مستوى على الإطلاق مقارنة بغيرها، ولكن هذه الزيادة تأتي معها ارتفاع احتمالية الخروقات الأمنية على الرغم من وجود جهود واعية من قبل العاملين في هذا المجال في سد هذه الفجوة. وللأسف ، ينتج عن هذه الفجوة خلق سمعة سلبية تكون بمثابة مثبط للإبتكار. وفي بعض الأحيان، تقوم بعض المنظمات العاملة في هذا المجال بالإبتعاد عن توسيع استخدام أحدث التقنيات خوفا من معضلات عدم القدرة على حمايتها بالكفاءة المطلوبة وذلك من شأنه تأخير  التحسينات في مجال الرعاية الصحية و التي تعتبر عامل مصيري في حياتنا اليومية.

في عالم "انترنت الأشياء (IOT) "  المتمحور حول الرعاية الصحية يجب العمل على إيجاد التوازن بين حلول التقنيات الإبداعية وسرعة تبنيها من جهة و  بين مواجهة التحديات الأمنية الناتجة عن هذه الإبتكارات من جهة أخرى. و إيجاد هذا التوازن ليس بالمستحيل.