كريستوفر بلامر، كبير مهندسي الأمن السيبراني، دارتموث هيلث
أمضى كريستوفر بلامر عشر سنوات كمقاول للأمن السيبراني للبحرية الأمريكية لدعم برنامج صيانة الغواصات. وهو الآن مهندس أول للأمن السيبراني في Dartmouth Health. وكان التحول صادما. وقال بلامر: “كان تأمين الأسرار النووية أسهل من تأمين الرعاية الصحية”. “وهذا صحيح فقط لأن الحكومة تخبرك بما يجب عليك فعله.”
في عالم الدفاع، تصف التفويضات الفيدرالية الصارمة كل جانب من جوانب العمليات الأمنية. الرعاية الصحية لا تقدم هذا الوضوح. وينظم قانون HIPAA حماية المعلومات الصحية للمرضى، ولكن هناك مساحة واسعة من الأنظمة والأجهزة والعمليات تقع خارج هذه المظلة القانونية ويتم الدفاع عنها وفقًا لتقدير كل منظمة وميزانيتها. والنتيجة: 6000 مستشفى في جميع أنحاء البلاد تعمل بمستويات متفاوتة من النضج في مجال الأمن السيبراني، مع افتقار بعضها إلى موظف أمني واحد بدوام كامل. بدأ بلامر مسيرته المهنية في مجال الرعاية الصحية باعتباره الموظف الإلكتروني الوحيد الذي يعمل بدوام كامل في مستشفى أصغر، لذا فهو يتحدث من منطلق خبرته عندما يصف العزلة التي يواجهها متخصصو الأمن في المؤسسات التي تعاني من نقص الموارد.
البودكاست: العب في نافذة جديدة | تحميل (المدة: 54:19 — 37.3 ميجابايت)
الاشتراك: أبل بودكاست | سبوتيفي
فجوة الضعف
تعزز ثغرة React2Shell الأخيرة حقيقة غير مريحة لفرق أمن النظام الصحي: العثور على المكونات المخترقة المخفية في البيئات المعقدة يظل عملية يدوية ومضنية. وقارنها بلامر بأزمة Log4J، مشيرًا إلى أنه بعد أشهر من ظهور هذه الثغرة الأمنية في عناوين الأخبار لأول مرة، اكتشف فريقه ثغرة أمنية أخرى في Log4J. لم يشكل النظام خطرًا قابلاً للاستغلال نظرًا لموقعه العميق في الشبكة، لكن استمراره يوضح مدى استمرار الكشف على مستوى المكونات. يمكن للفرق الأمنية الأكثر قدرة والمجهزة جيدًا تحديد هذه المشكلات بكفاءة؛ قد لا يعرف مستشفى ريفي بدون أفراد أمن متخصصين أنه تعرض للخطر.
ترتبط المشكلة ارتباطًا مباشرًا بالوعود المتوقفة لـ SBOMs. لقد أثار مفهوم قائمة مكونات الصنف (BOM) الخاصة بالبرنامج مناقشات الصناعة حول المعايير وآليات التسليم لسنوات، ولكن نادرًا ما يتحقق الاعتماد التشغيلي. أدوات الأمان المنتشرة على نطاق واسع في البرامج الناضجة لم تفعل الكثير لمعالجة تحديد المكونات الفردية على مستوى الإصدار. وقال بلامر: “معظم فرق الأمن لا تعرف ما هي النتيجة النهائية لتفعيل SBOM لأننا لا نستطيع حتى معرفة التسليم بعد”.
بالنسبة للأجهزة الطبية، اقترح نهجًا بديلاً: معيار على مستوى الصناعة من شأنه أن يسمح للأجهزة بجرد مكوناتها الخاصة ونقل تلك المعلومات إلى محطة استماع مركزية. تتجنب الأنظمة الصحية إجراء فحوصات أمنية غزوية على أجهزة التنفس الصناعي وأجهزة الأشعة السينية وغيرها من المعدات المرتبطة بالمرضى. يمكن لمرفق خفيف الوزن على الجهاز يتم تشغيله شهريًا توفير بيانات المكونات على مستوى الإصدار دون المساس بأمان الجهاز. ويعكس هذا المفهوم معايير بيانات الرعاية الصحية الحالية مثل HL7 وFHIR، والتي تتيح إمكانية التشغيل البيني من خلال اتفاقية مشتركة. سيكون تنسيق مثل هذا المعيار عبر نظام بيئي واسع من الشركات المصنعة للأجهزة أمرًا صعبًا للغاية، ولكن البديل الحالي المتمثل في تنزيل SBOMs يدويًا من مواقع البائعين بعد كل كشف عن ثغرة أمنية جديدة هو ببساطة أمر لا يمكن الدفاع عنه.
الدمج والسياق ومشكلة التحذير
يشهد مشهد بائعي أمن أنظمة الرعاية الصحية عمليات دمج مكثفة، حيث تسارع الشركات إلى التحول إلى منصات متكاملة. ويرى بلامر قيمة في هذا الاتجاه بالنسبة للمؤسسات الصغيرة ذات الموارد المحدودة التي تستفيد من الأدوات الموحدة. بالنسبة للبرامج الأكثر نضجًا، فإن الديناميكيات تنطوي على مخاطر. غالبًا ما يخفف الموردون الذين يسعون إلى التكامل عبر فئات منتجات متعددة من قوتهم الأصلية. وقال بلامر: “بينما أقدر هذه المحاولة لتكون حلاً بأربع أو خمس أدوات، عليك أن تتذكر ما الذي فعلته بشكل جيد والذي وضعك على الخريطة”. “أعطني ذلك.”
وقد أدى النهج الأفضل في فئته، والذي سيطر على قرارات الشراء لسنوات، إلى خلق بيئة تشغيل مجزأة حيث تصل الإشارات من منصات متعددة غير ذات صلة، وتتطلب إجراءات الاستجابة أدوات مختلفة، ويفتقر القياس عن بعد إلى الاتساق. يعد بلامر أكثر انفتاحًا على دمج الأنظمة الأساسية، خاصة وأن واجهات برمجة التطبيقات (APIs) قد نضجت بما يكفي لسد فجوات التكامل بين الأدوات. المفتاح هو التأكد من أن الموردين الذين يقومون بتوسيع محافظ منتجاتهم يحافظون على جودة القدرات التي أكسبتهم مكانة في السوق. وحذر من أن التكامل الذي يتم تنفيذه بشكل سيء أمر ضار ومفيد في نفس الوقت.
التعب التنبيه يجعل التحدي أكبر. تولد كل أداة في برنامج أمني ناضج سلسلة من التنبيهات، وتكافح الفرق ذات العدد القليل من الموظفين لفصل التهديدات الحقيقية عن الضوضاء. وشدد بلامر على أنه يجب عليك البدء من الأعلى: ركز على التنبيهات الثلاثة ذات أعلى موثوقية وعواقب أولاً، ثم انتقل إلى الأسفل. يعد وضع بيانات الثغرات الأمنية في سياقها أكبر صعوبة في هذه العملية؛ إن مجرد وجود مكون في بيئة ما ليس سببًا كافيًا للقلق دون فهم الشروط المحددة المطلوبة للاستغلال. تجري Dartmouth Health تحليلاً لتأثير الأعمال لتصنيف كل وظيفة تنظيمية حسب مدى أهميتها ومن ثم تحديد الأولويات الأمنية وفقًا لذلك. تتطلب الثغرة الأمنية في النظام الذي يدعم معظم العمليات السريرية الأساسية اهتمامًا فوريًا؛ نفس الثغرة الأمنية على نظام معزول مع تأثير يذكر لا. ستختلف حسابات كل مستشفى، وهذا هو بالضبط السبب الذي يجعل بلامر يقدر التمرين كأداة لاتخاذ القرار سيتبعها فريقه.
الذكاء الاصطناعي على جانبي المعركة
على الجانب الهجومي للأمن السيبراني، كان للذكاء الاصطناعي بالفعل تأثير ملموس. لقد تحسنت جودة حمولات التصيد الاحتيالي بشكل كبير على مدى العامين أو الثلاثة أعوام الماضية، مع وجود أخطاء نحوية أقل، وتنسيق أكثر إقناعًا، وهندسة اجتماعية متطورة بشكل متزايد. وأشار بلامر إلى اكتشافه لثغرة أمنية في Gmail في يونيو 2023، عندما استغل أحد المهاجمين ثغرة في تنفيذ Google لمعيار مصادقة البريد الإلكتروني BIMI لإرسال رسائل تصيد تحتوي على أحرف التحقق من العلامة التجارية المشروعة. وقد أثار هذا الحدث اهتمام وسائل الإعلام العالمية وأدى إلى تغييرات في البنية التحتية في Google وMicrosoft وغيرها من شركات التكنولوجيا الكبرى، مما سلط الضوء على كيفية قيام المهاجمين بالبحث المستمر في أنظمة المصادقة بحثًا عن نقاط الضعف.
وعلى الجانب الدفاعي، تظل مساهمة الذكاء الاصطناعي أقرب إلى الحياد. وصف بلامر، الذي يصنف ضمن أفضل 3% من مستخدمي ChatGPT في جميع أنحاء العالم، نفسه بأنه طالب متعطش للتكنولوجيا. لقد شهد نجاح وفشل عمليات تكامل الذكاء الاصطناعي في المنتجات الأمنية. لا تزال عمليات التنفيذ الناجحة تتطلب إشرافًا بشريًا كبيرًا؛ يعتمد الذكاء الاصطناعي بشكل افتراضي على التوصيات الحذرة والمفرطة في الحماية ويكافح مع الفروق التنظيمية الدقيقة اللازمة لرفض الإيجابيات الكاذبة بثقة. إن مشاكل تحليل البيانات السلوكية العميقة التي تريد فرق الأمن أن يحلها الذكاء الاصطناعي – الكشف عن الإشارات إلى الوجهات ذات المظهر الشرعي، وتحديد العمليات المجوفة التي تقوم بتسرب البيانات عبر القياس عن بعد للشبكة – لا تزال خارج النطاق الحالي. تمتد الفجوة بين التوقعات والواقع إلى ما هو أبعد من الرعاية الصحية، لكن المستشفيات تشعر بوجودها بشكل حاد بالنظر إلى المخاطر التي ينطوي عليها الأمر.
خذها بعيدا
- انضم إلى Health ISAC أو منظمة إقليمية لمشاركة المعلومات لتتمكن من الوصول إلى معلومات التهديدات والتعاون بين الأقران والقوة الشرائية للمجموعة المحتملة للحلول الأمنية.
- قم بإجراء تحليل تأثير الأعمال لتصنيف الوظائف التنظيمية بناءً على مدى أهميتها، ثم استخدم النتائج لتحديد أولويات تقييم نقاط الضعف، ونمذجة التهديدات، وحالات الاستخدام الأمني.
- تقييم دمج البائعين بعناية: تفيد المنصات الفرق ذات الموارد المحدودة، ولكن يجب على البائعين الذين يتوسعون إلى فئات متعددة الحفاظ على التميز في قدراتهم الأساسية.
- دفع معايير الصناعة حول الإبلاغ الذاتي عن مكونات الأجهزة الطبية لمعالجة فجوة تشغيل SBOM.
- إعطاء الأولوية لوضع نقاط الضعف في سياقها على تصنيفها؛ إن وجود مكون في بيئتك لا يعني الكثير دون معرفة الشروط المطلوبة للاستغلال.
- تعامل مع تكاملات الذكاء الاصطناعي في مجال الأمن بتوقعات واقعية. تتطلب التطبيقات الحالية إشرافًا بشريًا كبيرًا وتعمل بشكل أفضل كأدوات مستهدفة لحل مشكلات محددة ومحددة جيدًا.
إن فجوة التوقعات، على حد تعبير بلامر، تستحق استعارة يدركها قادة سلامة الرعاية الصحية. ويقول: “نحن لسنا بحاجة إلى الذكاء الاصطناعي باعتباره مجموعة أدوات كاملة”. “نحتاج فقط إلى أن تكون تلك الأداة الجيدة حقًا التي يمكن لأي شخص ذكي حقًا التلويح بها والقيام ببعض الأعمال الجادة حقًا.”
