هل الرعاية الصحية عن بُعد آمنة من الناحية الفعلية؟

يرى الكثيرون في التطبيب عن بُعد أحد أبهى إنجازات التقدم العلمي: يمكنك ببساطة الحصول على استشارة طبية خلال خمس دقائق دون أن تبرح مكانك. لكن، ثمة جانب خفي للأمر…

تُباع البيانات الطبية في الأسواق السوداء أو الرمادية بأسعار تفوق قيمة بيانات البطاقات الائتمانية أو حسابات التواصل الاجتماعي بعشرات الأضعاف. وخلافًا لبطاقة الائتمان التي يمكنك حظرها واستبدالها، لا يمكنك ببساطة إعادة ضبط تاريخك الطبي. وتظل معلوماتك من اسم وتاريخ ميلاد وعنوان ورقم هاتف ورقم التأمين والتشخيصات ونتائج الفحوصات والخطط العلاجية، محتفظة بقيمتها لسنوات طويلة؛ مما يجعلها منجم ذهب لكل شيء، بدءًا من التسويق الموجه وصولاً إلى الابتزاز أو الاحتيال أو سرقة الهوية.

ومع صعود الذكاء الاصطناعي، امتلئت شبكة الإنترنت بمواقع وهمية تدعي تقديم خدمات طبية، بينما صُممت في الحقيقة لغرض التنقيب المكثف عن المعلومات السرية لضحايا غير مدركين للمخاطر. وسنتعمق اليوم في تفاصيل البيانات الطبية المعرضة للخطر، ولماذا يسعى المخترقون للحصول عليها، وكيف يمكنك ردعهم وإيقافهم عند حدهم.

أثمن من بطاقات الائتمان

يحوّل المحتالون البيانات الطبية المسروقة إلى أرباح، سواء عبر البيع بالجملة أو التجزئة. وعادةً ما تكون خطوتهم الأولى هي ابتزاز الشركات التي تعرضت للاختراق لطلب فدية (في الواقع، في عام 2024، كانت 91% من تسريبات البيانات الصحية المرتبطة بالبرامج الضارة في الولايات المتحدة ناتجة عن هجمات طلب الفدية). لكن لاحقًا، تُستخدم البيانات المسربة في شن هجمات شخصية دقيقة. وتسمح للمخترقين ببناء ملف طبي شامل للضحية، يشمل الأدوية التي يشتريها ومعدل استهلاكها والعلاجات طويلة الأمد، لبيعها لشركات الأدوية الكبرى أو المسوقين، أو لاستخدامها في هجمات تصيد احتيالي موجهة كعرض علاج مبتكر زائف. ويمكنهم حتى ابتزاز مريض بشأن تشخيصات حساسة، أو استخدام المعلومات للحصول على أدوية خاضعة للرقابة بشكل احتيالي. علاوة على ذلك، تسعى شركات التأمين بنهم خلف هذه البيانات. ويجرون تحليلات لهذه التفاصيل بغرض رفع أقساط التأمين على المرضى أو حتى رفض تقديم التغطية تمامًا. باختصار، هناك الكثير من الطرق التي يمكنهم من خلالها استخدام هذه البيانات ضدك.

ما مدى سوء الأمر حقا؟

وقعت أكبر عملية اختراق للبيانات الطبية في التاريخ في فبراير 2024، عندما تمكنت مجموعة الاختراق BlackCat من اختراق أنظمة شركة Change Healthcare. وتعد هذه الشركة ذراعًا لمجموعة UnitedHealth Group، التي تعالج حوالي 15 مليار معاملة تأمين سنويًا، وتلعب دور الوسيط المالي بين المرضى ومقدمي الرعاية الصحية وشركات التأمين.

على مدار تسعة أيام، تغلغل المهاجمون بحرية داخل الأنظمة الداخلية لشركة Change Healthcare، وسحبوا ستة تيرابايت من البيانات السرية قبل إطلاق برنامج طلب الفدية الخاص بهم في النهاية. واضطرت شركة UnitedHealth إلى فصل مراكز بيانات الشركة تمامًا عن شبكة الإنترنت لوقف انتشار برنامج التشفير، وانتهى بهم الأمر بدفع فدية قدرها 22 مليون دولار للمبتزين. وتسبب الهجوم في شلل فعلي لنظام الرعاية الصحية الأمريكي. وتم تعديل عدد الضحايا ثلاث مرات: من 100 مليون إلى 190 مليونًا، ليتوقف الإحصاء النهائي عند رقم صادم وهو 192.7 مليون شخص، مع تقدير إجمالي الأضرار بنحو 2.9 مليار دولار. أما السبب وراء هذا الحادث الضخم – الذي تناولناه بالتفصيل في منشور سابق – فكان ببساطة… غياب المصادقة ثنائية العوامل على بوابة وصول لسطح المكتب عن بُعد.

قبل ذلك، بدأت شركة Cerebral الناشئة والمتخصصة في الصحة النفسية بدمج أدوات تتبع خاصة بجهات خارجية مباشرة في موقعها وتطبيقاتها. ونتيجة لذلك، تسربت بيانات 3.2 مليون مريض – بما في ذلك الأسماء والتاريخ الطبي والوصفات الطبية ومعلومات التأمين – إلى LinkedIn وSnapchat وTikTok. وعلى إثر ذلك، فرضت هيئة التجارة الفيدرالية الأمريكية (FTC) غرامة قدرها 7.1 مليون دولار على الشركة، وأصدرت حظرًا غير مسبوق على استخدام البيانات الطبية لأغراض إعلانية. ومن الجدير بالذكر أن الشركة ذاتها تصدرت العناوين سابقًا لإرسالها بطاقات بريدية ترويجية لعملائها دون أظرف، مما كشف أسماء المرضى وصياغات جعلت من السهل على أي شخص تخمين تشخيصهم الطبي.

لماذا تعد الرغاية الصحية عن بُعد ضعيفة للغاية؟

لنلقِ نظرة على نقاط الضعف الرئيسية في خدمات الرعاية الصحية عن بُعد.

• أدوات التتبع الإعلاني في التطبيقات الطبية. غالبًا ما تكون أدوات التتبع التابعة لعمالقة التقنية مثل Facebook وTikTok وSnapchat وغيرها مدمجة في منصات الرعاية الصحية عن بُعد، مما يؤدي إلى تسريب بيانات المرضى للمعلنين دون علم المستخدمين على الإطلاق.
• قنوات الاتصال غير الآمنة. يلجأ بعض الأطباء أحيانًا إلى التواصل مع المرضى عبر تطبيقات المراسلة العادية بدلاً من المنصات الطبية المعتمدة. ورغم ما يوفره ذلك من سهولة، إلا أنه يضع العيادة تحت طائلة المسؤولية القانونية، ويُعرض المريض لمخاطر أمنية.
• الثغرات الأمنية في المنصات. تُعد منصات التطبيب عن بُعد عرضة لهجمات الويب الكلاسيكية، مثل حقن قواعد بياناتSQL التي تتيح للمخترقين سحب سجلات المرضى بالكامل، واختطاف الجلسات، واعتراض البيانات عندما يكون تشفير الاتصال ضعيفًا أو معدومًا.
• ضعف تدريب العاملين. أظهرت أبحاثنا أن 30% من الأطباء واجهوا حوادث اختراق لبيانات المرضى تحديدًا خلال جلسات الرعاية الصحية عن بُعد، كما أن 42% من الطواقم الطبية لا يدركون في الواقع الكيفية التي يتم بها حماية بيانات مرضاهم.
• الأجهزة الطبية القديمة. تستخدم الكثير من الأدوات الطبية القابلة للارتداء (مثل أجهزة مراقبة القلب أو أجهزة قياس ضغط الدم) بروتوكولاً قديمًا لنقل البيانات يُعرف باسم “MQTT”. وهذا البروتوكول مليء بالثغرات التي قد تسمح للمخترقين ليس فقط بسرقة المعلومات الحساسة، بل وحتى بالتدخل في آلية عمل الجهاز نفسه.

الرسائل العشوائية والتصيد الاحتيالي في الرعاية الصحية عن بُعد

لا يقتصر الاهتمام بالمجال الطبي على المخترقين فحسب، بل يمتد ليشمل مرسلي الرسائل العشوائية والمحتالين أيضًا. وهم يروجون “لخدمات طبية” بعروض تبدو مغرية لدرجة لا تُصدق، ويرسلون رسائل بريد إلكتروني عن تغييرات مزعومة في تأمينك الصحي، أو يسوقون “لتقاليد علاجية من الهيمالايا القديمة”. وبالطبع، تؤدي جميع الروابط التي يرسلونها إلى مواقع ويب مشبوهة تعرض سلعًا أو خدمات مشكوكًا في صحتها.

إذا انتهى بك المطاف في أحد مواقع التصيد الاحتيالي هذه، فسيحاول المحتالون استنزاف كل ذرة من معلوماتك الخاصة: صور بطاقة هويتك وبوليصة تأمينك ووصفاتك الطبية، وأحيانًا حتى… صورًا فوتوغرافية لأجزاء من جسدك يُفترض أنها تحتاج إلى رعاية طبية. ومن هناك، يمكن تسريب هذه البيانات وبيعها على شبكة الإنترنت المظلم – أو استخدامها في عمليات ابتزاز وهجمات تصيد احتيالي لاحقة. لمعرفة المزيد عن آلية عمل خط تجميع البيانات في العالم السفلي، راجع مقالنا بعنوان ماذا يحدث للبيانات المسروقة عن طريق التصيد الاحتيالي؟

كقاعدة عامة، عادة ما تتجاهل مواقع العيادات الوهمية قسم سياسة الخصوصية، وتنهال عليك بعروض “اليوم فقط” التي تبدو مغرية لدرجة لا تُصدق. ومع ذلك، بمساعدة الذكاء الاصطناعي، أصبح إنشاء موقع ذي مظهر احترافي لا يمكن تمييزه عن المواقع الحقيقية أمرًا في غاية السهولة: لم تعد بحاجة لمهارات التصميم أو حتى إتقان لغة الضحية. ولهذا السبب تحديدًا، نوصي باستخدام حزمة الأمان الشاملة الخاصة بنا– المصممة لاكتشاف الرسائل العشوائية والاحتيال والتصيد الاحتيالي، وتحذيرك من مواقع الويب المزيفة قبل دخولك إليها.

نصائح الأمان لمرضى الرعاية الصحية عن بُعد

• قم بإعداد بريد إلكتروني مخصص للخدمات الطبية. وإذا تسرب هذا العنوان نتيجة اختراق إحدى العيادات، سيكون من الصعب جدًا على المحتالين تتبع بقية تفاصيل حياتك الرقمية.
• تجنب استخدام تسجيل الدخول باستخدام حسابات Google أو Apple أو وسائل التواصل الاجتماعي لمواقع الرعاية الصحية عن بُعد. يجعل الفصل بين الأمور ربط بياناتك الطبية بحساباتك الشخصية أمرًا في غاية الصعوبة.
• تحقق جيدًا من المنصة المستخدمة في استشارتك الطبية. إذا اقترحت العيادة إجراء مكالمة أو دردشة عبر تطبيق مراسلة عادي، فهذا مؤشر خطر. ويعتبر استخدام بوابة مرضى آمنة ومشفرة توفرها العيادة الخيار الأكثر أمانًا بفارق كبير.
• لا ترسل الوثائق الطبية أبدًا عبر تطبيقات الدردشة أو وسائل التواصل الاجتماعي. احرص دائمًا على تحميل نتائج المختبرات والأشعة والسجلات الطبية من خلال بوابة المرضى الرسمية التابعة للعيادة.
• استخدم كلمة مرور فريدة ومعقدة لكل حساب. يجب أن يكون لكل من البوابة الحكومية، وحساب تسجيل الدخول للعيادة، وتطبيق حجز المواعيد الطبية كلمة مرور مستقلة. ويستطيع برنامج Kaspersky Password Manager توليدها وتخزينها جميعًا من أجلك؛ وتمسح هذه البرامج قواعد بيانات التسريبات بانتظام، وتنبهك في حال تعرض أي من حساباتك للاختراق.
• قم بتشغيل المصادقة ثنائية العوامل. وابدأ أولاً بالخدمات الحكومية والمؤسسات الطبية. ونوصي باستخدام تطبيقات المصادقة بدلاً من رسائل النصية القصيرة (SMS): تعتبر أكثر أمانًا وتحافظ على سرية هويتك تمامًا. ويستطيع Kaspersky Password Manager مساعدتك في هذا الأمر أيضًا.
• شارك المعلومات الضرورية فقط. لا تشعر بأنك ملزم بملء كل حقل اختياري في التطبيقات الطبية أو مواقع الويب. وكلما قلّت البيانات التي يخزنها أي موقع، قلّت المعلومات المعرضة للتسريب.
• كن حذرًا بشأن مشاركة معلوماتك الصحية على وسائل التواصل الاجتماعي أو تطبيقات الدردشة. ويبرع المحتالون في استغلال الأشخاص عندما يكونون في حالة ضعف. على سبيل المثال، في عام 2024، تمكن مخترقون من كسب ثقة مطور أداة XZ Utils الذي كان قد نشر علنًا عن شعوره بالاحتراق الوظيفي والاكتئاب. وأقنعوه بالتخلي عن التحكم في أداته، ومن ثم قاموا بتلغيمها بتعليمات برمجية ضارة. ونظرًا لأن أداة XZ Utils تُستخدم في عدد هائل من أنظمة Linux وتؤثر على بروتوكول OpenSSH المسؤول عن الاتصال عن بُعد بالخوادم، كانت هذه الهجمة كفيلة بتدمير جزء ضخم من الإنترنت لولا اكتشافها في الوقت المناسب.
• تجنب تثبيت تطبيقات الرعاية الصحية عن بُعد من مطورين مجهولين. وتحقق من المراجعات، وخصص دقيقة لإلقاء نظرة سريعة على سياسة الخصوصية، فحتى المنصات الكبرى قد تشارك بياناتك مع أطراف خارجية.
• راقِب سجلاتك الطبية باستمرار. وقد تكون وصفات الأدوية الغريبة، أو زيارات الأطباء التي لم تقم بها، أو العقاقير التي لم تسمع بها من قبل، مؤشرات على تعرض حسابك للاختراق.
• اضبط إعدادات أجهزتك الصحية وحدّثها بانتظام. وترسل كل من أجهزة تتبع اللياقة البدنية وأجهزة مراقبة ضغط الدم والموازين الذكية وأجهزة تتبع النشاط البيانات إلى الويب. وتعد الإعدادات غير الصحيحة أو الثغرات الأمنية غير المصححة بمثابة باب مفتوح لخروقات البيانات.

ما الذي يجب أن تعرفه أيضًا عن حماية بياناتك الصحية عبر الإنترنت:

• نزيف البيانات: الثغرات الأمنية في تطبيقات الصحة النفسية
• لماذا يبني سماسرة البيانات ملفات شخصية عنك، وكيف تمنعهم من فعل ذلك
• كيف يمكن أن تؤدي الدردشة مع روبوت إلى مأساة
• الخصوصية في تطبيقات الصحة الإنجابية
• خمس مشكلات تواجه الرعاية الصحية عن بُعد