أمن المعلومات في المنشأت الصحية

صناعة الرعاية الصحية هي دائما من المتبنين الأوائل للتكنولوجيا. إن ظهور التكنولوجيا في العقود الأخيرة قد ساعد الصناعة الطبية على تقديم وسائل مساعده أفضل لرعاية مرضاها. حيث جودة الرعاية كانت دائماً الموجه للتكنولوجيا الحديثة نحو صناعة طبية أفضل.

واجهة منشآت الرعاية الصحية عدد من التحديات لتحولها لتطبيق أمن المعلومات. ومن هذه التحديات أنها تبنت الجديد من التقنيات لأنظمتها ودائما التقنيات الجديدة تتبعها مشاكل غير معروفه تظهر مع الوقت. إذا لم تعالج, يمكن لهذه النتائج في كثير من الأحيان إبطال الفوائد المكتسبة من اعتمادها في وقت مبكر. وأحد عوائق أمن المعلومات هو أن كثيراً من نظم الرعاية الصحية تركز على الجانب الخدمي الصحي وتهمل المخاطر الأمنية.

إن جل ما يرتكز ويهتم به أمن المعلومات في منشآت الرعاية الصحية هو الحفاظ على خصوصية وسرية ملفات المرضى. في حال تطبيق النظم وترابطها يجب العناية وبشده على كافة التحديثات المضافة إلى هذه النظم. وحيث أن مرافق الرعاية الصحية  تعمل على مدى أربع وعشرين ساعة فإنها بحاجه لتوافر المعلومات بشكل مستمر مما يتطلب حمايتها لأهميتها القصوى. وحمايتها من الهجوم على أنظمتها من( الفيروسات والديدان وتشتيت توزيع الخدمات) والتي شلت العديد من نظم معلومات المنظمات. هذه قد إثارة الوعي حول تقديم أمن المعلومات لتوفير هذه النظم.

يمكن تصنيف المستخدمين للنظام إلى الفئات التالية:

. المستخدم العادي: لا يستطيع أن يرى إلا ملفات والنتائج الصادرة عن مجموعته, وكذالك تمرير الملفات إلى المشرف عليه.

. المستخدم النافذ: هو الذي يستطيع الوصول وصولاً كاملًا إلى جميع الملفات.

. مسئول النظام: هو الذي يستطيع عرض كافة البيانات من قاعدة البيانات ويستطيع الوصول لكافة الملفات بالإضافة إلى إضافة مستخدمين جدد أو إلغاء مستخدمين.

. موظف أمن المعلومات: المسئول عن التطوير والحفاظ على السياسات الفعالة والمعايير المصممة للحفاظ على أمن جميع المعلومات,المراجعة المنتظمة لجميع النظم لضمان الأمن و تحديد مجالات التحسين ,توفير أمن المعلومات لكافة أقسام ,تنسيق وتصميم وتقييم وتنفيذ نظم لحماية و مراقبة سلامة المعلومات ونظم البيانات, تطوير وتوجيه التدريبات الأمنية لكل العاملين, تنسيق الجهود للاستجابة وإعادة حل الحوادث الأمنية ووضع خطط للكوارث التي يمكن أن تصيب الأجزاء الحساسة للنظام.

إلا أن التصنيف الأخير للمستخدمين لا ‘يطبق إلا في الدول المتقدمة والتي تُعنى بتكوين فريق خاص بأمن المعلومات ويعرف بفريق أمن تقنية المعلومات حيث تقسم المهام, فعلى سبيل المثال فريق لدعم سطح المكتب, فريق لشبكة البنية التحتية, فريق لخوادم ويندوز, فريق ملقمات اليونكس و فريق نظام دعم العيادات.

لكن السؤال هنا كيف يمكن تخفيف المخاطر المحتملة؟ وضع ضوابط المصادقة. الوصول الأول لنظام إنترنت لمرفق الرعاية الصحي يجب أن يقتصر على المستخدمين المرخص لهم مع حسابات منشطه حساسة ومغلقة وغير مصنفه على الشبكة المحلية. كذالك تعدد الطبقات الأمنية حيث يجب على المستخدمين المرخص لهم أولاً تسجيل الدخول لأنظمه أوليه لتأكيد تراخيصهم ثم الدخول بنجاح إلى النظام الرئيسي. إن كل المستخدمين المصرح لهم يجب أن يكونوا على علم باسم المستخدم وكلمة السر للدخول للنظام. كذالك تسجيل ومراجعة سجلات نشاط النظام والتي تتضمن النظام في حد ذاته وتطبيقات العمليات الجارية ونشاطات المستخدمين للنظام. بالاقتران بين الأدوات والإجراءات المناسبة, فإن مسارات مراجعة الحسابات يمكن أن توفر المعنى الحقيقي والمساعد في  إنجاز العديد من الأهداف الأمنية, بما في ذلك المسألة الفردية, إعادة بناء الأحداث, كشف التسلسل, تحديد هوية المشاكل, حماية البيانات والتي تتم على مستوين الأول ملقمات جدران الحماية والثاني ضمن قاعدة البيانات .

وتُمكن عملية حماية  مراجعة البيانات من وضع ضوابط  الوصول وترسيم الصلاحيات. لا يمكن للمستخدمين العاديين الوصول إلى مراجع الحسابات وبيانات سجل الأحداث كما لا يستطيعون إسناد الأوامر التي تتيح الوصول إلى البيانات ومراجع الحسابات. إن حسابات مستخدمي منشآت الرعاية الصحية يمكن إنشاؤها وتحديثها, تمكينها وتعطيلها من قبل إداريين مصرح لهم. ومن أجل أداء هذه الوظائف يجب تحديد فرد يكون مسئول عن النظام. الصلاحيات تأتي من رئيس قسم علاقات الموظفين والخدمات الصحية والولوج إلى بيانات معينه ومحدده هو منيط بتصنيف المستخدمين (المستخدم العادي, المستخدم النافذ, مسئول النظام) والإدارة.

 

الكاتب ayman

ayman

مواضيع متعلقة