בחודש מאי, מתקפת סייבר גדולה השביתה את הפעילות הקלינית במשך כמעט חודש ב-Ascension, ספק שירותי בריאות הכולל 140 בתי חולים ברחבי ארה"ב מעקב אחר הבעיה באמצעות תוכנות כופר זדוניות שהדביקו מחשב של עובד.
מערכות הבריאות מציעות יעדים עסיסיים לפשעי סייבר בגלל הנתונים האישיים, הפיננסיים והבריאותיים בעלי הערך שהם מחזיקים. סקר שנערך בשנת 2023 בקרב אנשי מקצוע בתחום טכנולוגיית מידע בריאות ואבטחת IT דיווח כי 88% מהארגונים שלהם חוו בממוצע 40 התקפות במהלך השנה הקודמת.
פגיעות מרכזית אחת הייתה המורכבות הגוברת של מערכות ה-IT שלהם, אומר Hüseyin Tanriverdi, פרופסור חבר לניהול מידע, סיכונים ותפעול בטקסס מקומבס. זה תוצאה של עשרות שנים של מיזוגים ורכישות שיצרו מערכות רב-חוליות גדולות יותר ויותר.
לאחר מיזוג, הם לא בהכרח מייצרים סטנדרטיזציה של הטכנולוגיה ותהליכי הטיפול שלהם. למערכת הבריאות יש בסופו של דבר מורכבות רבה, עם מערכות IT שונות, תהליכי טיפול שונים מאוד ומבני ממשל שונים".
Hüseyin Tanriverdi, פרופסור חבר לניהול מידע, סיכונים ותפעול בטקסס מקומבס
אבל מורכבות יכולה להציע גם פתרון לבעיות כאלה, הוא מוצא במחקר חדש. עם המחברים המשותפים Juhee Kwon מאוניברסיטת סיטי בהונג קונג ו-Ghiyoung Im מאוניברסיטת לואיסוויל, הוא אומר ש"סוג טוב של מורכבות" יכולה לשפר את התקשורת בין מערכות שונות, תהליכי טיפול ומבני ממשל, ולהגן טוב יותר עליהם מפני סייבר אירועים.
מורכב מול מסובך
תוך שימוש בנתונים מ-445 קבוצות ריבוי בתי חולים המשתרעות על פני 2009 עד 2017, הצוות בחן את התפיסה החוזרת על עצמה שמורכבות היא אויב הביטחון.
הם הבחינו בין שני מושגי IT בעלי צלילים דומים שהם המפתח לבעיה.
- סיבוך הוא מספר רב של אלמנטים במערכת המחברים וחולקים מידע בדרכים מובנות.
- מוּרכָּבוּת מתרחש כאשר מספר רב של אלמנטים מתחברים וחולקים מידע בדרכים לא מובנות -; כמו בשילוב מערכות לאחר מיזוגים ורכישות.
מכיוון שלמערכות מסובכות יש מבנים, אומר טנריוודי, קשה אך בר ביצוע לחזות ולשלוט במה שהם יעשו. זה לא אפשרי עבור מערכות מורכבות, עם הקשרים הלא מובנים שלהן.
Tanriverdi מצא שככל שמערכות הבריאות נעשו מורכבות יותר, הן הפכו פגיעות יותר. המערכות המורכבות ביותר -; עם המגוון הגדול ביותר של הפניות לשירותי בריאות מבית חולים אחד למשנהו -; היו בסבירות גבוהה ב-29% להפרה מהממוצע.
הבעיה, הוא אומר, היא שמערכות כאלה מציעות יותר נקודות העברת נתונים להאקרים לתקוף, ויותר הזדמנויות למשתמשים אנושיים לבצע שגיאות אבטחה.
הוא מצא פגיעויות דומות עם צורות אחרות של מורכבות, כולל:
- סוגים רבים ושונים של שירותים רפואיים המטפלים בנתוני בריאות.
- ביזור החלטות אסטרטגיות לבתי החולים החברים במקום קבלתן במרכז הארגוני.
קביעת תקני נתונים
החוקרים גם הציעו פתרון: בניית פלטפורמות ממשל נתונים כלל-ארגוניות, כמו מחסני נתונים מרכזיים, לניהול שיתוף נתונים בין מערכות מגוונות. פלטפורמות כאלה ימירו סוגי נתונים לא דומים לסוגי נתונים נפוצים, יבנו זרימות נתונים ויתקנו תצורות אבטחה.
"הם היו הופכים מערכת מורכבת למערכת מסובכת", הוא אומר. על ידי פישוט המערכת, הם יורידו עוד יותר את רמת הסיבוך שלה.
הוא בדק את השפעות אבטחת הסייבר של יצירת פלטפורמות כאלה. התוצאה, הוא מצא, הייתה שבמערכת המסובכת ביותר, הם יצמצמו את הפרות עד 47%.
ריכוז ממשל הנתונים מצמצם את הדרכים של האקרים להיכנס, אומר Tanriverdi. "עם פחות נקודות גישה ובקרות אבטחת סייבר מפושטות ומוקשות, יש סיכוי נמוך יותר שגורמים לא מורשים יקבלו גישה לא מורשית לנתוני המטופלים".
הוא ממליץ להשלים את הבקרות הטכניות בבקרות אנושיות חזקות יותר: הכשרת משתמשים בפרקטיקות של אבטחת סייבר וויסות טוב יותר למי יש גישה לחלקים שונים של המערכת.
טנריוודי מכיר בפרדוקס בגישתו. השקעה בשכבה חדשה של טכנולוגיה עשויה להכניס יותר מורכבות IT בהתחלה. אבל בטווח הארוך, זה סוג טוב של מורכבות המאלף את הקיים -; ומסוכן יותר -; סוגים של מורכבות.
"העוסקים צריכים לאמץ את מורכבות ה-IT, כל עוד זה נותן מבנה לזרימות מידע שהיו בעבר אד-הוק", הוא אומר. "טכנולוגיה מפחיתה את סיכוני אבטחת הסייבר אם היא מאורגנת ומנוהלת היטב".