وحدة الأمن السيبراني

لماذا أصبح القطاع الصحي هدفًا لعمليات القرصنة؟

في الوقت الذي تحشد فيه المؤسسات الصحية كل جهودها الممكنة لمواجهة فيروس كورونا المستجد، تعرضت منظمة الصحة العالمية وعددٌ من المستشفيات والمؤسسات الطبية لقرصنةٍ واختراقٍ وهجماتٍ سيبرانيةٍ بحثًا عن المعلومات المتصلة بعلاجات واختبارات ولقاحات الفيروس. فقد تصدرت تلك المعلومات أولويات الأجهزة الأمنية، لتتنوع على خلفيتها أسباب وأشكال استهداف المؤسسات الصحية، لتتطلب بدورها سبلًا للمكافحة، جنبًا إلى جنب مع مكافحة فيروس كورونا المستجد. آليات القرصنة تعددت سبل وآليات استهداف المؤسسات الصحية بل والعاملين بها لتشمل ما يلي: 1- ادعاء القراصنة والمتسللين أنهم مسئولون في منظمة الصحة العالمية، أو معهد الصحة العامة في الولايات المتحدة، أو مراكز السيطرة على الأمراض والوقاية منها،…

د. رغدة البهي
رئيس وحدة الأمن السيبراني

في الوقت الذي تحشد فيه المؤسسات الصحية كل جهودها الممكنة لمواجهة فيروس كورونا المستجد، تعرضت منظمة الصحة العالمية وعددٌ من المستشفيات والمؤسسات الطبية لقرصنةٍ واختراقٍ وهجماتٍ سيبرانيةٍ بحثًا عن المعلومات المتصلة بعلاجات واختبارات ولقاحات الفيروس. فقد تصدرت تلك المعلومات أولويات الأجهزة الأمنية، لتتنوع على خلفيتها أسباب وأشكال استهداف المؤسسات الصحية، لتتطلب بدورها سبلًا للمكافحة، جنبًا إلى جنب مع مكافحة فيروس كورونا المستجد.

آليات القرصنة

تعددت سبل وآليات استهداف المؤسسات الصحية بل والعاملين بها لتشمل ما يلي:

1- ادعاء القراصنة والمتسللين أنهم مسئولون في منظمة الصحة العالمية، أو معهد الصحة العامة في الولايات المتحدة، أو مراكز السيطرة على الأمراض والوقاية منها، أو مسئولون حكوميون؛ من أجل سرقة بيانات المستخدمين الشخصية.

2- أعلنت مواقع الويب الاحتيالية عن إتاحة معداتٍ مضادةٍ لفيروس كورونا المستجد، والتي تبين لاحقًا أنها مزيفة. كما ادعى المهاجمون حاجتهم إلى البتكوين لتمويل الأبحاث الدوائية.

3- يقوم المتسللون بإنشاء مواقع ويب وبريد إلكتروني مزيفٍ باستخدام شعار منظمة الصحة العالمية ووزارات الصحة في الحكومات الوطنية. ومن ثم، تحظى الرسائل المرسلة باهتمام المواطنين ظنًّا منهم أنهم يتلقون معلوماتٍ رسميةً حول فيروس كورونا المستجد.

4- استهداف الأطباء والعاملين في المؤسسات الصحية عبر رسائل إلكترونية وهمية يحمل بعضها برامجَ ضارة (تصيد احتيالي)، وهي الرسائل التي تبدو كأنها مرسلةً من الدعم الفني أو فريق الأمن التقني التابع لتلك المؤسسات. وقد تتضمن تنبيهاتٍ متعلقةً بفيروس كورونا. وقد تخبر الأطباء المستهدفين بأن هناك حلقةً نقاشيةً أو ندوةً مغلقةً تتعلق بطرق الوقاية وإجراءاتها أو خرائط انتشار المرض، وتطلب منهم الضغط على الرابط المرفق، لينقلهم إلى مواقع أخرى وهمية، تُمكّن القراصنة من تنزيل برامج ضارة وقرصنة البيانات الشخصية.

5- استهداف أنظمة المستشفيات الخاصة والحكومية بهجمات فدية. فقد شهد كثيرٌ من المستشفيات والمرافق الطبية حول العالم عمليات اختراقٍ ومطالباتٍ بفديةٍ منذ بداية عمليات الإغلاق، وهو ما حذّرت منه شركة “أكرونيس” Acronis المتخصصة في الأمن السيبراني، بعد أن كشفت عن تعدد برامج الفدية الإلكترونية في أوروبا، بنسبة تصل إلى 7% في الأسبوع الأخير من فبراير الماضي. 

وقد تجلى بعض تلك الآليات في عددٍ من الحالات التي أتى في مقدمتها إيطاليا؛ حيث أفادت بعض شركات الأمن السيبراني الرائدة بتلقي بعض المواطنين رسائل إلكترونيةً مزيفةً من حسابٍ يزعم أنه مسئول في منظمة الصحة العالمية، وتضمنت برمجيةً خبيثةً تُسمى “تريكبوت” Trickbot لتسرق معلوماتٍ سرية. كما أكدت شركة “فاير آي” FireEye -الرائدة عالميًّا في مجال الأمن السيبراني- امتلاكها أدلةً على استغلال بعض الجماعات (في: روسيا، والصين، وكوريا الشمالية) للفوضى الناجمة عن فيروس كورونا المستجد لاستهداف الحكومات الوطنية، لا سيما في الولايات المتحدة، واليابان، وإيطاليا. 

ويُعد استهداف وزارة الصحة والخدمات الإنسانية الأمريكية HHS المثال الأبرز والأكثر وضوحًا على استهداف المؤسسات الصحية الحكومية؛ إذ استُهدفت الأخيرة بهجومٍ سيبرانيٍ في 15 مارس الماضي، بالتزامن مع اتخاذ الولايات المتحدة إجراءاتٍ جديدةً للحد من تفشي الفيروس، بهدف إبطاء أنظمتها الإلكترونية، وتقويض جهودها لمكافحته. وهو الأمر الذي لا يزال قيد التحقيق، وإن أكدت المؤشرات الأولية فشل الهجوم في تحقيق الأهداف المرجوة منه.

وفي بيانٍ لها، أكدت وزارة الصحة والخدمات الإنسانية الأمريكية أن الهدف من الهجوم هو محاولة إغراق خوادمها بملايين الطلبات على مدار عدة ساعات. وقالت المتحدثة باسمها “كايتلين أوكلي” إنها تحقق في “زيادة كبيرة في النشاط” على البنية التحتية السيبرانية. وإن أكدت استمرار عمل الأنظمة كافّةً بكامل طاقتها؛ إذ تمتلك وزارة الصحة والخدمات الإنسانية الأمريكية بنيةً تحتيةً عمادها الضوابط الأمنية القائمة على المخاطر، والتي تُراقَب باستمرارٍ من أجل اكتشاف ومعالجة التهديدات السيبرانية المحتملة، وسد الثغرات ونقاط الضعف.

اختراق منظمة الصحة العالمية

وفقًا لوكالة “رويترز”، حاول القراصنة المحترفون أو ما يسمى “نخبة القراصنة” Elite Hackers اختراق منظمة الصحة العالمية في مارس الماضي، مستغلين انشغال المنظمة بمحاربة فيروس كورونا المستجد، في وقتٍ تزايدت فيه معدلات الجريمة السيبرانية بمقدار الضعف على خلفية تفشيه. وفي هذا الإطار، قال رئيس أمن المعلومات بمنظمة الصحة العالمية “فلافيو أجيو” إن هوية المتسللين غير واضحة، وإن جهودهم باءت بالفشل. لكنه حذّر من تزايد محاولات قرصنة منظمة الصحة العالمية بصورةٍ ملحوظة. كما أكد تحفظه على الرسائل التي أرسلها القراصنة عبر البريد الإلكتروني كافّة.

ويُشير خبير الأمن السيبراني “ألكساندر أوربيليس” إلى قيام مجموعةٍ من المتسللين بتنشيط موقعٍ ضارٍ يُحاكي نظام البريد الإلكتروني الداخلي لمنظمة الصحة العالمية في 13 مارس الماضي، في محاولةٍ للهجوم المباشر عليها. وعلى الرغم من صعوبة تحديد مصدر الهجوم بدقة؛ إلا أنه اشتبه في مجموعةٍ متطورةٍ من القراصنة تُعرف باسم DarkHotel التي تقوم بعمليات تجسسٍ سيبرانيٍ منذ عام 2007.

وفي الوقت ذاته، أكدت بعض شركات الأمن السيبراني (مثل: “بيت ديفندر” الرومانية، و”كاسبرسكي” الروسية) تعقبها عددًا من عمليات DarkHotel السابقة في شرق آسيا، وهي المنطقة التي تأثرت بشكلٍ خاصٍ بفيروس كورونا المستجد. وقد شملت أهدافها الموظفين الحكوميين ورجال الأعمال في دولٍ مثل: الصين، وكوريا الشمالية، واليابان، والولايات المتحدة. غير أن ذلك لا يؤكد مسئوليتها عن الهجوم على منظمة الصحة العالمية، وإن أكدت الشركتان استخدام البنية التحتية الخبيثة للويب لاستهداف منظماتٍ صحيةٍ وإنسانيةٍ أخرى في الأسابيع الأخيرة. 

ويمكن القول إن الهدف الأساسي من وراء الهجوم هو سرقة كلمات المرور لعددٍ من موظفي منظمة الصحة العالمية -على الرغم من صعوبة تحديد هويتهم إلى حدٍّ بعيد- من ناحية، وقرصنة المعلومات المتعلقة بالعلاجات والاختبارات واللقاحات المتعلقة بفيروس كورونا التي لا تقدر بثمنٍ وتعد أولويةً للدول المتضررة وأجهزة الاستخبارات من ناحيةٍ ثانية. 

واللافت للنظر، تزايد محاولات انتحال صفة المنظمة في وقتٍ تزايدت فيه حوادث الأمن السيبراني بصورةٍ كبيرة. وهو الأمر الذي تنبهت له منظمة الصحة العالمية بالفعل، وتجلى في التحذير الذي أطلقته في فبراير الماضي، والذي لفت إلى خطورة توظيف اسمها وادعاء انتماء القراصنة إليها، في محاولةٍ منهم لسرقة الأموال والمعلومات الحساسة من المستخدمين. 

عوامل مفسِّرة

لقد فرضت جائحة كورونا تحدياتٍ جديدةً على بيئة الأعمال. ومع تزايد الاتجاه إلى العمل عن بعد، تزايدت المخاطر السيبرانية بالتبعية. وأصبحت مرافق الرعاية الصحية أكثر عرضة للمخاطر بالنظر لدورها المحوري الراهن من ناحية، وتزايد استهدافها سلفًا بهجمات الفدية التي تبتز الأموال، وتخرق البيانات، وتؤدي لانقطاع الخدمة من ناحيةٍ أخرى.

وبشكلٍ عام، يرجع تعرض المؤسسات الصحية لهجماتٍ بمعدلاتٍ عاليةٍ إلى جملةٍ من الأسباب التي يأتي في مقدمتها: استغلال القراصنة والمتسللين أزمة فيروس كورونا المستجد لسرقة البيانات المصرفية، واستهداف البنية التحتية الحكومية. فوفقًا لبعض خبراء الأمن السيبراني، يهدف المتسللون في روسيا والصين وكوريا الشمالية إلى استغلال الأزمة الراهنة لاستهداف حكوماتٍ معادية. ويرجع السبب الأهم في محاولة قرصنة البيانات والمعلومات القيمة المتعلقة بالفيروس.

ففي الولايات المتحدة على سبيل المثال، تراقب أنظمة المراقبة الصحية حالات الإصابة، بما في ذلك شبكة مراقبة الإنفلونزا في مركز السيطرة على الأمراض. ويتم إجراء جميع الاختبارات تقريبًا على المستوى المحلي أو الإقليمي؛ حيث تقوم وكالات الصحة العامة بتجميع وتحليل البيانات. وقد توقف عددٌ من العيادات والمختبرات عن تقديم النتائج إلى مركز السيطرة على الأمراض، ليحتفظ بالبيانات ويحللها بواسطة البرمجيات المختلفة.

وتتمتع البرمجيات المستخدمة في تتبع الأمراض بقدرتها على الوصول إلى السجلات الطبية الإلكترونية التي تُدمج في شبكةٍ من الأجهزة الرقمية في العيادات أو المستشفيات. ومن الناحية النظرية، يمكن استخدام أحد الأجهزة المتصلة بشبكة مستشفى ما لاختراق قاعدة بيانات فيروس كورونا بالكامل في مركز السيطرة على الأمراض نفسه. ويمكن تفسير تزايد الهجمات السيبرانية في ضوء استغلال القراصنة لأخطاء البرمجيات بهدف الوصول غير المصرح به إلى خوادم المختبرات أو التدخل في الاتصالات الرقمية بين المختبرات ومركز السيطرة على الأمراض. 

وجديرٌ بالذكر أن الممارسة العملية شهدت بالفعل بعض نماذج وحالات اختراق أنظمة المستشفيات؛ ففي إطار دراستهم المتخصصة في الأمن السيبراني، تمكن باحثو جامعة بن جوريون الإسرائيلية من اختراق شبكة “الواي فاي” العامة لأحد المستشفيات. وعلى خلفية ذلك، تمكنوا من الولوج إلى قواعد بياناتها وأنظمتها التشخيصية، وتمكنوا من السيطرة على قاعدة البيانات المتعلقة بصور الأشعة غير المشفرة. ونجحوا بالفعل في نقل بعض البرامج الخبيثة لها؛ ليغيروا بذلك نتائج الفحوصات المقطعية لبعض المرضى الأصحاء كي تؤكد الإصابة بأورامٍ خبيثةٍ غير موجودة.

تدابير المكافحة

أنشأت الحكومة البريطانية وحدةً مخصصةً في مكافحة حملات التضليل الخبيثة بشأن فيروس كورونا المستجد من قبل الدول المعادية ومجرمي الإنترنت. وأكدت العمل مع شركات التواصل الاجتماعي لدحض المزاعم الكاذبة أو المضللة بشأن المرض.

ولمواجهة التهديدات السيبرانية لمقدمي الرعاية الصحية العالميين، تقدم مجموعة “NCC” (المتخصصة في مجال الأمن السيبراني والتخفيف من المخاطر) معلوماتٍ استخباراتيةً مجانيةً متخصصةً إلى فرق الاستجابة لحالات الطوارئ الحاسوبية الوطنية، والمستشفيات، والمعاهد الوطنية للصحة العامة، للمساعدة في مواجهة التهديدات السيبرانية، كي يتمكنوا من تركيز جهودهم على رعاية المرضى.

إذ تُعد مجموعة NCC واحدةً من الشركات المتخصصة في الأمن السيبراني، ويتجاوز عدد عملائها 15 ألف عميل على مستوى العالم. وتهدف بالأساس لتقييم وتخفيف المخاطر السيبرانية المتطورة بل والاستجابة لها. وتستثمر في البحث والابتكار بواسطة 1800 زميل في 12 دولة. ولها تواجدٌ واسعٌ في أمريكا الشمالية، وأوروبا القارية، والمملكة المتحدة. وتنمو بشكلٍ مضطردٍ في منطقة آسيا، والمحيط الهادئ. ولها مكاتب في أستراليا وسنغافورة.

ومن خلال التسجيل في خدمات المجموعة، تُخطَر المؤسسات -على اختلافها- بالتهديدات المحتملة، وطبيعة وماهية القراصنة مصدر التهديد، والأساليب التي يجب استخدامها. وعليه، تتمكن المستشفيات من استخدام تلك المعلومات للوقوف على القراصنة والمتسللين في مرحلةٍ مبكرةٍ، بل واتخاذ خطواتٍ قابلة للتنفيذ لتحسين قدرتها على مواجهة التهديدات السيبرانية. 

وبجانب جمع المعلومات وتقديم التقارير وإتاحة التحديثات، ضمت مجموعة NCC -بالتعاون مع شركة “فوكس آي تي” Fox-IT الهولندية- فريقًا من محللي استخبارات التهديد المتخصصين للإجابة عن الأسئلة العامة والعاجلة التي قد تنشأ عن تقاريرها. وفي هذا السياق، قال “كريندميك” (رئيس فريق البحث والمخابرات في شركة فوكس-آي تي): إن أنظمة الرعاية الصحية في العالم تعتمد بشكلٍ متزايدٍ على التكنولوجيا. وعليه، لا بد من تمكين المؤسسات كي تتفرغ لتقديم الرعاية الصحية وتقديم الإرشادات بدون اضطراب.

كما قال “أولي وايتهاوس” (المدير الفني العالمي في مجموعة NCC): “إن مهمتنا كمنظمة هي جعل المجتمع أكثر أمنًا وأمانًا، وهو ما يتطلب دعم القطاعات الحيوية بما في ذلك الرعاية الصحية، ومساعدتها على الاستمرار في العمل بأمان. نحن فخورون بتقديم هذا للمساعدة”.ختامًا، يُتوقع استهداف مزيدٍ من الأطباء والمستشفيات والمؤسسات الصحية، وهو ما تزيد خطورته بالنظر إلى قدرته على الإضرار بالمرضى، وتزيد معه الحاجة لتأمين الخدمات الصحية ومنظمات الرعاية الاجتماعية كي تتمكن من مجابهة الهجمات السيبرانية أثناء تفشي الفيروس. ففي ظل الظروف العادية، هناك متسعٌ من الوقت كي يلاحظ مسئولو الصحة وجود أنماطٍ غير معتادةٍ في البيانات وتعقب المعلومات الخاطئة. ولكن مع تفشي الوباء، وفي ظل عشرات الآلاف من الحالات، يصعب تحري دقة البيانات المتاحة.

د. رغدة البهي
رئيس وحدة الأمن السيبراني