تبدأ العديد من خروقات بيانات الرعاية الصحية بسرقة بيانات اعتماد غير الموظف. واحدة جديدة تقرير من Health-ISAC يشرح كيف يمكن لأنظمة الرعاية الصحية سد هذه الفجوة من خلال التعامل مع هوية الطرف الثالث باعتبارها دورة حياة مُدارة.
يستمر استغلال الموردين في الارتفاع. وتربط أرقام SecurityScorecard المذكورة في التقرير 35.5% من الانتهاكات بوصول طرف ثالث، مع استيعاب الرعاية الصحية 24.2% من هذه الهجمات.
التقرير يختزل المشكلة إلى واقع بنيوي. تعتمد أنظمة الرعاية الصحية على شبكة شركاء واسعة لإدارة منصات التصوير ومعالجة المطالبات وصيانة الأجهزة المتصلة والتعامل مع عمليات دورة الإيرادات. كل علاقة تتطلب الوصول، وقد لاحظ المهاجمون ذلك. تستهدف مجموعات مثل Scattered Spider الآن الشركاء الأصغر حجمًا على وجه التحديد، نظرًا لأن هذه الشركات غالبًا ما تكون أقل نضجًا أمنيًا من الأنظمة التي تعمل بها. يظل التنازل عن بيانات الاعتماد هو نقطة الدخول الأكثر شيوعًا، حيث يمثل 50٪ إلى 80٪ من الانتهاكات، اعتمادًا على الدراسة.
الحوكمة تأتي أولاً
ويقول التقرير إن الحوكمة القوية هي الأساس لجميع الضوابط الأخرى. وبدون ذلك، ستصبح الحلول الفردية غير متوازنة مع مرور الوقت. تنظم المبادئ التوجيهية توصياتها حول أربعة مبادئ للحوكمة تنطبق على الموردين، وعلى نحو متزايد، على وكلاء الذكاء الاصطناعي الذين يقومون الآن بالصيانة الروتينية.
أدنى امتياز هو مركزي. لا يحتاج الفني الذي يقوم بتحديث نظام السجلات الصحية الإلكترونية إلى منصات الفوترة أو البريد الإلكتروني أو التطبيقات غير ذات الصلة. يجب أن تكون الأدوار مصممة بشكل وثيق للعمل الذي يتعين القيام به. يعمل التحكم في الوصول المستند إلى الدور على توسيع هذا المبدأ ليشمل مجموعات الأذونات المصممة لكل طرف ثالث. وتؤكد المراجعات المنتظمة أن هذه الأذونات تظل مناسبة، في حين يشير التسجيل المستمر إلى أي محاولة للوصول إلى الأنظمة خارج الحدود المتفق عليها.
ويحث التقرير أيضًا أنظمة الرعاية الصحية على تضمين تقييمات السلامة في المشتريات وتكرارها سنويًا. قبل التوقيع، يجب على المؤسسات التأكد من أن البائع يدعم المصادقة متعددة العوامل، ومراجعة شهادات SOC 2 أو HITRUST أو ISO 27001 حيثما يكون ذلك مناسبًا، وتضمين الجداول الزمنية للإبلاغ عن الانتهاك في العقد. ومن المهم أيضًا تحديد هوية موثوقة للغاية. ويجد التقرير زيادة في عدد الجهات الأجنبية التي تستخدم هويات مسروقة أو مصطنعة للحصول على وظائف من البائعين. لقد أصبح التحقق من الهوية التعاقدية بمثابة ضمانة عملية.
الاتحاد كأقوى سيطرة
وقال التقرير إن الهوية الموحدة جنبًا إلى جنب مع المصادقة المقاومة للتصيد الاحتيالي هي أفضل نهج يمكن أن تتبعه منظمة الرعاية الصحية. يتيح الاتحاد للشريك استخدام بيانات الاعتماد التي يعتمد عليها بالفعل في أنظمته الخاصة، مما يلغي الحاجة إلى تخزين كلمة مرور منفصلة مع نظام الرعاية الصحية أو نسيانها من قبل الفني. تقوم البروتوكولات القياسية مثل SAML أو OIDC بنقل التأكيد بمجرد توفير الأدوار.
المكاسب الأمنية واضحة، حيث أثرت هجمات التصيد الاحتيالي وهجمات المصادقة متعددة العوامل (MFA) بشدة على مقدمي خدمات الطرف الثالث في السنوات الأخيرة. تضمن الأساليب المقاومة للتصيد الاحتيالي، مثل رموز المرور الخاصة بالجهاز أو المتزامنة، فشل هذه الهجمات تمامًا. بعض المؤسسات ليست مستعدة لتوحيد كل شريك، لذا يسلط التقرير الضوء على التدابير المؤقتة مثل مطابقة الأرقام في تطبيقات المصادقة، بناءً على إرشادات من CISA. تضيف مصادقة الوكيل مشكلة جديدة حيث تظل معايير مصادقة وكلاء الذكاء الاصطناعي غير ناضجة. تجعل هذه الفجوة الامتيازات الأقل والأدوار المحددة والتسجيل أكثر أهمية أينما يعمل الوكلاء.
حالة استخدام واحدة تظهر النموذج في الممارسة العملية. لقد تحول نظام الرعاية الصحية الذي كان يقوم في السابق بإنشاء حسابات محلية لكل فني من موردي التصوير إلى الوصول الموحد، مما يسمح للفنيين بالمصادقة من خلال تسجيل دخول صاحب العمل الخاص بهم. يتحقق نظام الرعاية الصحية من الهوية عبر اتصال موثوق به، ويمنح الوصول فقط إلى الأنظمة التي يتطلبها الدور، ويسجل كل جلسة. يظل المورد مسؤولاً عن التحقق من موظفيه وتعطيل الحسابات عند مغادرة الموظفين.
بناء الجدران حول وصول الموردين
يمنح تجزئة الشبكة أنظمة الرعاية الصحية طبقة من الاحتواء عندما تكون عمليات التحقق من الهوية وحدها غير كافية. يعرض التقرير تفاصيل المزود الإقليمي الذي زود مقدمي دورة الإيرادات تاريخياً بوصول واسع النطاق عن بعد عبر VPN. يمكن أن تؤدي عملية تسجيل دخول واحدة مخترقة إلى كشف أجزاء كبيرة من الشبكة الداخلية. قام الموفر بإعادة تصميم البيئة حول منطقة خاصة مقيدة لحركة مرور البائعين.
وبموجب النموذج الجديد، يتصل موظفو البائع عبر بوابة آمنة. فهو يرسلهم فقط إلى شريحة خاضعة للرقابة، حيث يمكنهم الوصول إلى تطبيق الفوترة ولا شيء غير ذلك. تظل الأنظمة السريرية ومنصات السجلات الصحية الإلكترونية والمعدات الطبية وبيئات البحث معزولة تمامًا. وعندما اكتشف فريق الأمان التابع للموفر لاحقًا أن حسابات البائعين كانت تقوم بالفحص إلى أنظمة أخرى، استمرت عملية التجزئة. ظل النشاط محدودًا، وتم إطلاق التنبيهات واستمرت رعاية المرضى أثناء قيام الفريق بالتحقيق.
كما أن التقسيم يعزز اللوائح. احصل على وصول واضح إلى البطاقات التي تلبي الحد الأدنى من المتطلبات الضرورية. يستطيع المدققون رؤية حدود واضحة بين شبكات مقدمي الخدمة والشبكات السريرية، وتصبح الاستجابة للحوادث أسهل لأن الخطوط محددة جيدًا.
خذها بعيدا
- التعامل مع هوية الطرف الثالث باعتبارها دورة حياة كاملة، من بداية العقد إلى إنهاء العقد.
- امنح كل بائع ووكيل للذكاء الاصطناعي أقل قدر من الامتيازات، مع أدوار مصممة للعمل المتعاقد عليه.
- اجعل الهوية الموحدة ذات المصادقة المقاومة للتصيد الاحتيالي هي الهدف الافتراضي لوصول الشريك.
- استخدم مطابقة الأرقام وغيرها من وسائل حماية MFA المتوسطة حيث لا يكون الاتحاد الكامل ممكنًا بعد.
- قم بتقييم هوية المورد والنضج الأمني أثناء الشراء وإعادة الاعتماد سنويًا بشروط قابلة للتنفيذ.
- قم بتقسيم اتصالات البائعين إلى مناطق محظورة بحيث لا يمكن لبيانات الاعتماد المخترقة الوصول إلى الأنظمة السريرية.
القاسم المشترك بين حالات الاستخدام الثلاث هو أن عناصر التحكم تعمل بشكل أفضل عندما تعزز بعضها البعض. وكما يخلص التقرير، فإن تعقيد تكنولوجيا المعلومات في مجال الرعاية الصحية يجعل شراكات الطرف الثالث أمرًا لا مفر منه، وتضمن ضوابط الهوية المناسبة ألا تصبح هذه الشراكات نقطة الدخول الأكثر استغلالًا في الصناعة.
-1.png "من العيادات الريفية إلى التعافي عن بعد: كيف تعمل الرعاية الصحية عن بعد على تحويل الرعاية الصحية الأمريكية")
:quality(85):upscale()/2026/06/10/723/n/49351773/91b04c206a298f44014578.10431863_.jpg "يعد الحوار الملون في Love Island أمرًا مهمًا.")
