يوضح تقريران جديدان صدرا في أبريل 2026 كيف أن الفجوة في المسؤولية المشتركة بين الشركات المصنعة للأجهزة وأنظمة الرعاية الصحية ومقدمي الخدمات السحابية تكشف عن رعاية المرضى.
أدى هجوم برامج الفدية في عام 2021 على خدمة سحابية واحدة للأجهزة الطبية إلى تعطيل علاج السرطان في أكثر من 170 منشأة. اثنان جديدان ميتري تحذر التقارير التقنية من أن هذا التتالي سيصبح روتينيًا مع انتقال صانعي الأجهزة إلى السحابة.
يشير تقييم مخاطر الأمن السيبراني الصادر عن MITRE في أبريل 2026 إلى اختياري الحادث بمثابة نذير للفشل السحابي. عندما تنخفض الموارد السحابية، يمكن أن تتوقف الأجهزة عن العمل أو تتصرف بشكل غير صحيح، مما قد يؤدي إلى التشخيص الخاطئ أو المعالجة غير الصحيحة أو المعالجة الزائدة أو التأخير في الرعاية. ونتيجة لذلك، فإن تأثير هجوم واحد يمكن أن يمتد إلى عشرات أو مئات المنظمات.
إن التحول في الأدوار التشغيلية يجعل إدارة هذا الخطر أكثر صعوبة. تقوم الشركات المصنعة للأجهزة الطبية تقليديًا بتزويد الأجهزة التي تستخدمها مؤسسات الرعاية الصحية على شبكاتها الخاصة. ومع ذلك، مع التصميمات السحابية الأصلية، تصبح الشركة المصنعة مشغلًا جزئيًا ويوجد مزود سحابي تحت كليهما. بالإضافة إلى ذلك، لا يتم تنظيم مقدمي الخدمات السحابية كموردي الأجهزة الطبية، مما يشكل مخاطر نظامية قد لا تعالجها التقييمات الحالية بشكل كامل.
ولتحقيق هذه الغاية، يوصي التقرير باتفاقيات مستوى الخدمة التي توضح المسؤوليات، وتحدد مدى التوفر، وتتطلب خطط طوارئ. سيسا, نيستونشرت وكالة الأمن القومي إرشادات أمنية سحابية يشير إليها التقرير كنقاط بداية. في نهاية المطاف، يجب على الشركات المصنعة التصميم لمواجهة عدم توفر السحابة من خلال التخزين المؤقت المحلي، والبنى الهجينة، والنسخ الاحتياطي عبر المناطق.
تؤدي رؤية الذكاء الاصطناعي والكم وSBOM إلى تفاقم المشكلة
يؤدي الذكاء الاصطناعي والتعلم الآلي إلى تفاقم مشكلة السحابة وإضافة مشاكلهما الخاصة. على وجه الخصوص، تعتمد العديد من قدرات الذكاء الاصطناعي على البنية التحتية السحابية للتدريب والاستدلال، خاصة عندما لا تتمكن الأجهزة من تشغيل النماذج محليًا. وبالتالي، يجب أن يتناول تقييم المخاطر لجهاز الذكاء الاصطناعي التبعيات السحابية، بالإضافة إلى تهديدات الذكاء الاصطناعي مثل تسميم البيانات، والحقن السريع، والمدخلات العدائية.
تثير الطبيعة غير المتوقعة للذكاء الاصطناعي التوليدي المزيد من المخاوف. يمكن أن تؤثر الهلوسة، وهي مخرجات معقولة ولكنها غير صحيحة، على سلوك الجهاز وسلامة المريض، بما في ذلك التشخيص الخاطئ أو التغييرات المفقودة في حالة المريض. يمكن لحواجز الحماية والتوليد المعزز للاسترجاع والفرق الحمراء أن تقلل من المخاطر. ومع ذلك، يصف التقرير هذه الدفاعات بأنها جديدة وسريعة التطور وبدون ضمانات قوية.
ويضيف التشفير ما بعد الكمي طبقة ثالثة. ويعني تهديد الحصاد الآن وفك التشفير لاحقًا أنه يمكن فك تشفير البيانات المشفرة التي يتم التقاطها اليوم بمجرد وجود كمبيوتر كمي قوي. أصدرت NIST أول معايير تشفير ما بعد الكم مكتملة في أغسطس 2024 وتخطط لعدم السماح بالخوارزميات الضعيفة الحالية بحلول عام 2035. وبناءً على ذلك، توصي MITRE بخطة استراتيجية مرحلية تتضمن تحديد الأهداف وجرد التشفير وتخصيص الموارد وأدوات الكشف الآلي.
أ ورقة ميتري البيضاء الثانيةنُشر أيضًا في أبريل 2026، ويناقش أدوات الرؤية التي تجعل كل هذا قابلاً للإدارة. تقوم وحدات مكونات مكونات البرنامج بتتبع المكونات الموجودة داخل الجهاز، بما في ذلك الأجهزة الافتراضية والحاويات والخدمات السحابية الأصلية. ومع ذلك، وجدت MITRE تناقضات كبيرة في الطريقة التي يتم بها إنشاء SBOMs وتحليلها عبر الأدوات، مما يؤدي إلى إبطاء إدارة الثغرات الأمنية. وعلى وجه التحديد، يجب على الشركات المصنعة الحفاظ على “مصدر الحقيقة” المركزي بأسماء أساسية للموردين والمكونات والإصدارات والمعرفات الفريدة.
خذها بعيدا
- تتطلب خطط الطوارئ وشروط التوفر في اتفاقيات مستوى الخدمة مع موفري الخدمات السحابية
- قم بتضمين المكونات السحابية في SBOMs ونماذج التهديد، وليس فقط التعليمات البرمجية المحلية
- قم بتطبيق مبدأ الامتياز الأقل على مكونات الذكاء الاصطناعي وتعامل مع تبعيات الذكاء الاصطناعي كطبقة مخاطرة سحابية منفصلة
- ابدأ بخطة ترحيل مرحلية ما بعد الكم تتضمن مخزون التشفير وبروتوكولات التحقق من الصحة
- تصميم الأجهزة التي تعمل عند عدم توفر الخدمات السحابية من خلال التخزين المؤقت والبنيات المختلطة والنسخ الاحتياطية الإقليمية
- توفير مصدر أساسي للحقيقة لبيانات SBOM حتى تتمكن إدارة الثغرات الأمنية من البقاء على قيد الحياة عند ترحيل الأداة
يشير تقريران من MITRE إلى أن نموذج المسؤولية المشتركة يجب أن يمتد ليشمل موردي الخدمات السحابية والذكاء الاصطناعي والتشفير. وبخلاف ذلك، سينتهي الأمر بالشلال التالي المصمم على طراز إليكتا في نظام بيئي غير مُجهز.
