أمن المعلومات في المؤسسات الصحية بقلم:المهندس اسماعيل بابكر
أمن المعلومات هو حماية البيانات ونظم المعلومات من الوصول أو الاستخدام أو الإفصاح أو التعطيل أو التعديل أو التدمير غير المصرح به ويتحقق أمن المعلومات من خلال ضمان سرية المعلومات وسلامتها وتوافرهاوفي مجال الرعاية الصحية تعني السرية والسلامة والتوافر ما يلي:
• السرية : أي عدم إتاحة المعلومات الصحية الإلكترونية أو الكشف عنها للأشخاص أو العمليات غير المصرح بها.
• السلامة : أي عدم تغيير أو تدمير المعلومات الصحية الإلكترونية بطريقة غير مصرح بها.
• التوافر : أي أن تكون المعلومات الصحية الإلكترونية متاحة وجاهزة للاستعمال عند الطلب من قبل الشخص المصرّح له بذلك.
وهناك إجراءات وقائية
تنقسم لأمن المعلومات في مجال الرعاية الصحية إلى إجراءات إدارية، ومادية وتقنيةوهذه أمثلة على كل منها:
1 -إجراءات وقائية إدارية
• التقييم المستمر للأخطار التي تتعرض لها بيئة تكنولوجيا المعلومات الصحية في المؤسسة.
• التقییم المستمر لفعالیة الإجراءات الوقائية الخاصة بالمعلومات الصحیة الإلكترونیة.
• وضع عمليات تفصيلية لعرض وإدارة المعلومات الصحية الإلكترونية.
• تدريب الموظفين على استخدام تكنولوجيا المعلومات الصحية لحماية المعلومات الصحية الإلكترونية بصورة مناسبة.
• الإبلاغ عن المخالفات الأمنية وضمان تواصل عمليات تكنولوجيا المعلومات الصحية.
2 – إجراءات وقائية مادية
• نظم الإنذار المكتبية.
• تخصيص مكاتب مقفلة تحتوي على المعدات الحاسوبية التي يتم فيها تخزين المعلومات الصحية الإلكترونية.
3 – إجراءات وقائية تقنية
• تنصيب المعدات الحاسوبية بشكل آمن (مثل فحص الفيروسات والجدران النارية) والتطبيقات والتقنيات المعتمدة التي تقوم بتخزين أو تبادل المعلومات الصحية الإلكترونية.
• تحديد ضوابط الوصول إلى تكنولوجيا المعلومات الصحية والمعلومات الصحية الإلكترونية (مثل الحسابات الإلكترونية المصرح بها).
• تشفير المعلومات الصحية الإلكترونية.
• تدقيق عمليات تكنولوجيا المعلومات الصحية.
• إجراء النسخ الاحتياطي لتكنولوجيا المعلومات الصحية (مثل إجراء نسخ احتياطية منتظمة من المعلومات الصحية الإلكترونية إلى خادم حاسوبي آخر)
الأمن السيبراني و الرعاية الصحية
يمثل الاتصال بالإنترنت ضرورة لإجراء العديد من الأنشطة التي قد تمثل جزءا من استخدام السجلات الصحية الإلكترونية والبيانات الصحية للمرضى. إن تبادل بيانات المرضى إلكترونيا، وتقديم المطالبات إلكترونيا، وتوليد سجلات إلكترونية لطلبات فحص المرضى، والوصفات الطبية الإلكترونية كلها أمثلة على الأنشطة التي تتم عبر الإنترنت وتعتمد على ممارسات الأمن السيبراني لحماية النظم والمعلومات. يشير الأمن السيبراني Cybersecurity إلى الطرق التي تستهدف كشف ومنع الهجمات على أي نظام حاسوبي والمعلومات المتضمنة فيه أو الوصول غير المصرح له ويستهدف الأمن السيبراني حماية البيانات أو أي شكل من الأصول الرقمية المخزنة في حاسوب أي جهة أو في أي جهاز يحتوي على ذاكرة رقمية.
الوقاية من الهجمات السيبرانية
ثمة إجراءات يمكن اتخذها لحماية المؤسسات الصحية من الهجمات السيبرانية، منها:
• رفض طلبات الموظفين لأخذ الحواسيب المحمولة التي تحتوي على بيانات المرضى غير المشفرة إلى المنزل.
• إزالة الأقراص الصلبة من الحواسيب القديمة قبل التخلص منها.
• عدم إرسال أي بريد إلكتروني يحتوي على البيانات الصحية للمرضى إذا لم تكن مشفرة.
• التأكد من وجود الخادم الحاسوبي server في غرفة لا يصل إليها إلا الموظفون المصرح لهم.
• توعية موظفي المؤسسة الصحية بوجود حاجة لمراقبة دخولهم إلى الشبكة بشكل عشوائي.
• فحص خادم السجلات الصحية الإلكترونية للمؤسسة بصفة دورية بحثا عن الفيروسات والبرامج الضارة.
تركيب التطبيقات لحماية الشبكات من الشركات المعتمدة عالميا وذات ترخيص معتمد.
