امنیت سایبری؛ پیشران سلامت پایدار در عصر دیجیتال

گروه سلامت و دارویی برکت: در دهه اخیر، انقلاب دیجیتال چنان ژرف و فراگیر بر صنایع مختلف اثر گذاشته که هیچ حوزه‌ای از پیامدهای آن در امان نمانده است؛ حوزه سلامت و داروسازی نیز از این قاعده مستثنی نیست. از تولید داروهای هوشمند گرفته تا تجویزهای دیجیتالی و مدیریت داده‌های بالینی، همه چیز در حال تغییر بنیادین است. اما در کنار این پیشرفت‌ها، تهدیدهایی پنهان اما خطرناک نیز ظهور کرده‌اند: حملات سایبری، نشت داده‌های بیماران، و دستکاری در فرمول‌های دارویی. اهمیت امنیت سایبری دیگر صرفاً در حفظ داده‌ها خلاصه نمی‌شود؛ بلکه ارتباط مستقیم با اعتماد عمومی، سلامت بیماران، و اعتبار نهادهای دارویی دارد.

در همین راستا، در این گزارش تلاشمان این است تا نشان دهیم چگونه امنیت سایبری به بخشی جدایی‌ ناپذیر از پایداری و اعتبار صنعت دارو تبدیل شده و چرا باید آن را نه به‌ عنوان هزینه‌ای اضافی، بلکه سرمایه‌ای راهبردی تلقی کرد.

زیربنای تئوریک؛ وقتی داده‌ سلامت، زیرساخت حیاتی محسوب می‌شود

برای فهم جایگاه امنیت سایبری در صنعت دارو، باید ابتدا به چارچوب‌های نظری مراجعه کنیم که می‌توانند نگاه ما را از صرف تکنولوژی فراتر ببرند. در اینجا، نظریه زیرساخت‌های حیاتی اطلاعاتی (CII) نقطه شروع ماست. این نظریه تأکید دارد که سامانه‌ هایی مانند زنجیره تأمین دارو، بانک‌های اطلاعات بیماران یا سامانه‌های توزیع دیجیتال دارو، به‌ قدری در سلامت عمومی نقش دارند که اختلال در آن‌ها می‌تواند فاجعه‌ آفرین باشد.

در همین راستا، نظریه امنیت انسانی نیز لایه‌ ای عمیق‌تر از تحلیل را فراهم می‌کند؛ جایی که حفاظت از داده‌ها نه‌تنها به‌عنوان ابزار فنی، بلکه به‌ مثابه حق انسانی برای حریم خصوصی، سلامت و دسترسی ایمن به درمان شناخته می‌شود.

همچنین مفاهیم جدیدی چون اعتماد دیجیتال، حاکمیت داده، و اخلاق هوش مصنوعی مکمل این نگاه هستند؛ مفاهیمی که به ما می‌گویند بازیگران اصلی دارویی، تنها با رمزنگاری قوی یا فایروال‌ های گران‌ قیمت، امنیت ایجاد نمی‌کنند؛ بلکه باید ساختاری ایجاد کنند که اعتماد عمومی، شفافیت و پاسخگویی را نیز پوشش دهد.

وقتی دارو، هدف حمله می‌شود؛ نگاهی به چشم‌انداز تهدیدات سایبری

در سال‌های اخیر، شرکت‌های دارویی و بیمارستان‌های بزرگ در کشورهای پیشرو حوزه سلامت، به‌ ویژه در آسیا، بارها قربانی حملات سایبری پیچیده‌ای شده‌اند. یکی از نمونه‌های بارز آن، حمله سایبری به شرکت داروسازی Dr. Reddy’s Laboratories در هند بود که در سال ۲۰۲۰ و هم‌ زمان با آغاز آزمایش‌های انسانی واکسن کرونا در این شرکت رخ داد.

این حمله، باعث اختلال در زیرساخت‌ های فناوری اطلاعات شرکت و توقف موقت فعالیت‌ های حیاتی در چندین واحد تولیدی شد. حملاتی از این دست، نشان می‌دهند که هکرها به‌ دنبال اطلاعاتی فراتر از داده‌های مالی هستند؛ آن‌ها به‌ دنبال دست‌ یابی به فرمول‌های نوین دارویی، داده‌های بالینی، اطلاعات ژنتیکی بیماران و حتی نقشه‌های تحقیق و توسعه‌اند.

با توجه به جایگاه رو‌ به‌ رشد هند به‌ عنوان یک قطب تولید داروی جهانی، این تهدیدها دارای پیامدهای ژئوپلیتیکی نیز هستند. بازیگران خرابکار گاهی نه به‌دنبال سود مالی، بلکه به‌ دنبال اخلال در زنجیره تأمین جهانی دارو یا سرقت فناوری رقابتی هستند. در چنین بستری، امنیت سایبری نه‌ تنها ابزاری برای محافظت از زیرساخت‌هاست، بلکه تبدیل به عاملی کلیدی برای حفظ جایگاه کشورها و هلدینگ‌های دارویی در اقتصاد جهانی شده است.

هوش مصنوعی؛ هم شمشیر، هم سپر در امنیت اطلاعات دارویی

هوش مصنوعی (AI) ابزار قدرتمندی برای صنعت دارو است، از کشف دارو گرفته تا تشخیص بیماری. اما، در حوزه امنیت، نقش آن دوگانه و گاهی پارادوکسیکال است. از یک‌سو، الگوریتم‌های یادگیری ماشین توانایی تحلیل ترافیک مشکوک، پیش‌بینی حملات و رمزنگاری پویا را فراهم می‌کنند. از سوی دیگر، همان فناوری می‌تواند توسط هکرها برای شناسایی نقاط ضعف و حتی طراحی حملات خودکار استفاده شود.

اگر هلدینگ‌ها یا شرکتهای دارویی در استفاده از هوش مصنوعی برای امنیت پیش‌قدم نباشند، ریسک آن وجود دارد که توسط AI مهاجم مورد حمله قرار گیرند

به بیان دیگر، اگر هلدینگ‌ها یا شرکتهای دارویی در استفاده از هوش مصنوعی برای امنیت پیش‌قدم نباشند، ریسک آن وجود دارد که توسط AI مهاجم مورد حمله قرار گیرند. در نتیجه، پیاده‌ سازی هوش مصنوعی در حوزه امنیت باید با نظارت سخت‌گیرانه، اخلاق‌محوری و استانداردهای شفاف همراه باشد؛ نه صرفاً به‌عنوان روندی تکنولوژیک، بلکه به منزله راهبردی جامع برای تاب‌ آوری دیجیتال!

حاکمیت داده در تله تفاوت‌های قانونی؛ چالش امنیت در فضای چندقانونی

با گسترش جهانی‌سازی و دیجیتالی‌شدن زنجیره تأمین دارو، شرکت‌های دارویی در معرض یک واقعیت پیچیده قرار گرفته‌اند: مدیریت داده‌هایی که از مرزهای سیاسی عبور می‌کنند اما در چارچوب‌های حقوقی ناهمگون گرفتار می‌شوند. برای مثال، یک هلدینگ دارویی که هم‌ زمان در چین، هند و کشورهای اروپایی فعالیت می‌کند، با مجموعه‌ای از قوانین متضاد مواجه می‌شود. در حالی که چین تحت چارچوب قانون امنیت داده (DSL) و قانون حفاظت اطلاعات شخصی (PIPL) عمل می‌کند که کنترل شدید بر انتقال داده به خارج از کشور اعمال می‌نمایند، اروپا با GDPR تمرکز خود را بر رضایت فردی، شفافیت پردازش و حقوق دیجیتال شهروندان گذاشته است.

این ناهم‌خوانی قانونی می‌تواند به چالشی استراتژیک برای هلدینگ‌های دارویی تبدیل شود. انتقال بین‌المللی داده‌های مربوط به بیماران، اطلاعات تحقیقاتی یا فرمول‌های دارویی نیازمند سازگاری دقیق با مقررات داخلی کشورهاست؛ در غیر این‌صورت، شرکت‌ها با ریسک توقیف داده‌ها، جریمه‌های سنگین، یا حتی محرومیت از بازار مواجه می‌شوند. نبود یک استاندارد امنیتی بین‌المللی نه‌تنها مانع بهینه‌سازی فرایندها می‌شود، بلکه زمینه‌ساز سوءبرداشت‌های قانونی و فشارهای نظارتی ناهمگن نیز هست.

راه‌حل این وضعیت، نه عقب‌نشینی از دیجیتالی‌سازی، بلکه طراحی یک معماری حقوقی منعطف، انطباق‌پذیر و چندلایه در درون سازمان است که بتواند هم‌زمان با الزامات متنوع کشورهای مختلف هماهنگ باشد. تنها در این صورت است که امنیت سایبری، تبدیل به یک مزیت رقابتی پایدار خواهد شد، نه باری بر دوش توسعه بین‌المللی.

پیشنهادات سیاستی؛ نقشه‌راهی برای سلامت دیجیتال ایمن

۱. تدوین چارچوب امنیت سایبری اختصاصی برای صنعت دارو

امنیت اطلاعات در صنعت دارو نیازمند چارچوبی تخصصی، فراتر از استانداردهای عمومی آی تی مانند ISO 27001 یا NIST است. یک هلدینگ دارویی باید با شناسایی زنجیره‌های حیاتی در فرایند خود،از تحقیق و توسعه (R&D) تا عرضه و خدمات پس از فروش، چارچوبی بومی‌سازی‌شده و صنعت‌محور برای امنیت اطلاعات طراحی کند. این چارچوب باید به‌طور خاص، موارد زیر را پوشش دهد:

• محافظت از داده‌های فرمولاسیون و نتایج آزمایش‌های بالینی؛

• امنیت سامانه‌های تجویز و توزیع دیجیتال دارو (e-prescription & e-pharmacy)؛

• رمزنگاری و ایزوله‌سازی پایگاه‌های داده حساس در فضای ابری؛

• مقابله با حملات سایبری به تجهیزات هوشمند داروسازی (IoT Devices).

این چارچوب می‌تواند در قالب یک سند داخلی سیاست‌گذاری (Cybersecurity Governance Framework) تدوین و توسط یک کمیته دائمی امنیت دیجیتال متشکل از متخصصان امنیت اطلاعات، داروسازی، حقوق سلامت و مدیران فناوری، اجرا و پایش شود. طراحی چنین سازوکاری، سرمایه‌گذاری بلندمدتی برای کاهش ریسک‌های عملیاتی و حقوقی هلدینگ به‌شمار می‌رود.

۲. پایش مستمر تهدیدات با استفاده از هوش مصنوعی بومی‌سازی‌شده

استفاده از الگوریتم‌های یادگیری ماشین (Machine Learning) و تشخیص ناهنجاری (Anomaly Detection) در پیش‌بینی و شناسایی تهدیدات سایبری به‌سرعت در حال فراگیر شدن است. اما برای صنایع حساس مانند دارو، این ابزارها باید با محیط فرهنگی، زبان فنی، ساختار اطلاعاتی، و سبک حملات رایج در منطقه جغرافیایی هدف تطبیق یابند. یک مدل هوش مصنوعی وارداتی، بدون درک صحیح از الگوهای محلی، ممکن است به هشدارهای غلط (False Positives) یا تشخیص‌های ناقص منجر شود.

برای مثال، در یک کشور آسیایی که حملات فیشینگ از طریق شبکه‌های بومی انجام می‌شود، ابزار AI باید توان تحلیل ارتباطات بومی، زبان و کانال‌های خاص حمله را داشته باشد.

هلدینگ‌ها باید با همکاری مراکز تحقیقاتی یا استارت‌آپ‌های تخصصی امنیت، اقدام به توسعه ابزارهای AI بومی‌سازی‌شده، مقیاس‌پذیر و سازگار با سیاست‌های داخلی داده‌ها کنند. این ابزارها می‌توانند به شکل مداوم شبکه‌ها، ایمیل‌ها، سامانه‌های ابری و نقاط پایانی (Endpoints) را پایش کرده و حتی در صورت شناسایی تهدید، واکنش خودکار (Automated Response) انجام دهند.

۳. ایجاد اتاق بحران سایبری سلامت

در مواجهه با تهدیدات پیچیده و ناگهانی سایبری، واکنش سریع، هماهنگ و چندلایه ضروری است. به همین دلیل، پیشنهاد می‌شود هلدینگ‌ها یک اتاق بحران دیجیتال یا «مرکز فرماندهی امنیت سایبری سلامت» طراحی و عملیاتی کنند. این اتاق باید سناریوهای مختلف حمله را از پیش مدل‌سازی کرده باشد، مانند:

• نفوذ به سامانه‌های داخلی از طریق بدافزارهای ناشناس؛

• قفل شدن اطلاعات بیماران در پی حمله باج‌افزاری (Ransomware)؛

• نشت اطلاعات حیاتی از طریق آسیب‌پذیری‌های API؛

• اختلال در زنجیره تأمین دارو به‌دلیل حمله به شرکای خارجی.

در این مرکز، تیم‌هایی از بخش‌های حقوقی، IT، روابط عمومی، تولید، و حتی خدمات مشتریان باید در هماهنگی کامل عمل کنند. ایجاد این ساختار و انجام تمرین‌های شبیه‌سازی (Cyber Drills) برای افزایش آمادگی در مواقع بحران، می‌تواند میزان آسیب‌پذیری واقعی هلدینگ را به‌طور چشمگیری کاهش دهد.

۴. آموزش سایبری تخصصی برای کارکنان حوزه سلامت و دارو

طبق آمار جهانی، بیش از ۷۰٪ رخنه‌های امنیتی به‌دلیل خطای انسانی، کلیک‌های اشتباه یا عدم آگاهی کاربر رخ می‌دهد. در صنعت دارو، این خطر بیشتر است زیرا کاربران (پزشکان، داروسازان، پرسنل درمانی) به‌طور معمول متخصص IT نیستند و با مفاهیم امنیت دیجیتال آشنایی محدودی دارند.
در این راستا، باید یک برنامه آموزشی ساختارمند در سطح سازمانی طراحی شود که شامل موارد زیر باشد:

• شناسایی پیام‌های فیشینگ، ایمیل‌های آلوده، و سایت‌های جعلی؛

• آشنایی با اصول حفاظت از داده‌های بیماران طبق قوانین داخلی و بین‌المللی؛

• تمرین واکنش در برابر شرایط بحرانی مانند رمزگذاری باج‌ افزاری یا قفل اطلاعات.

علاوه بر آموزش‌های پایه، لازم است برای سطوح مدیریتی و فناوری، آموزش‌های پیشرفته‌تر مانند مدیریت بحران دیجیتال، تحلیل ریسک و تدوین سیاست‌های امنیت داده نیز برگزار شود. تکرار این آموزش‌ها به‌صورت دوره‌ای (هر شش ماه یک‌بار)، یکی از ارکان فرهنگ‌سازی امنیت سایبری در سازمان محسوب می‌شود.

۵. همکاری بین‌المللی برای تدوین استاندارد جهانی امنیت داده‌های سلامت

در نبود یک استاندارد فراگیر جهانی برای امنیت داده‌های دارویی، شرکت‌ها با قوانین گاه متناقض کشورها روبه‌رو هستند. این وضعیت در شرایط بحرانی مانند همه‌گیری کووید-۱۹، بیش از پیش خود را نشان داد. همکاری بین‌المللی در قالب ائتلاف‌های صنعتی، انجمن‌های تخصصی و مشارکت با سازمان‌هایی مانند WHO، ISO و OECD می‌تواند به ایجاد یک چارچوب مشترک کمک کند.

این استاندارد باید:

• حداقل الزامات امنیتی برای تبادل بین‌المللی داده سلامت را مشخص کند؛

• مکانیزم‌های رمزنگاری و احراز هویت سازگارپذیر با فناوری‌های مختلف را تعریف نماید؛

• مسئولیت حقوقی شرکت‌ها در موارد افشای داده، حمله یا خرابی را روشن کند.

پیوستن به چنین ابتکاراتی، هم ریسک قانونی فعالیت در بازارهای چندگانه را کاهش می‌دهد، و هم وجهه جهانی برند هلدینگ را به‌عنوان یک بازیگر مسئول و پیشرو ارتقا می‌بخشد.

۶. شفافیت، پاسخ‌گویی و سیاست اطلاع‌رسانی مسئولانه در زمان رخنه اطلاعاتی

پنهان‌کاری در زمان رخنه امنیتی، تنها به تشدید بحران و از دست رفتن اعتماد مشتریان و نهادهای نظارتی منجر می‌شود. شرکت‌ها باید سیاستی شفاف و پیش‌دستانه برای اطلاع‌رسانی در مواقع بروز حمله طراحی و اجرا کنند. این سیاست می‌تواند شامل مراحل زیر باشد:

• ارزیابی سریع دامنه و سطح نفوذ؛

• اطلاع‌رسانی فوری به نهادهای نظارتی و قانونی ذی‌ربط؛

• اعلام عمومی با لحن حرفه‌ای، مسئولانه و شفاف (ترجیحاً در ۴۸ ساعت اول)؛

• ارائه راهکار به مشتریان برای کاهش آسیب‌های شخصی؛

• مستندسازی و گزارش‌نویسی دقیق برای جلوگیری از تکرار.

در دنیای دیجیتال امروز، اعتراف شفاف به خطا، نشانه بلوغ و صداقت سازمانی تلقی می‌شود. وجود پروتکل افشای مسئولانه (Responsible Disclosure Policy)، نه‌تنها از آسیب‌های حقوقی و رسانه‌ای جلوگیری می‌کند، بلکه برند هلدینگ را به‌عنوان شرکتی پاسخ‌گو و قابل‌اعتماد معرفی می‌کند.

در جهانی که فرمول‌های دارویی، داده‌های بیماران و سامانه‌های توزیع، همگی در بستر دیجیتال جابه‌جا می‌شوند، کوچک‌ترین نقص امنیتی می‌تواند به تهدیدی برای جان انسان‌ها، اعتماد اجتماعی و بقای سازمان‌های دارویی بدل شود

نتیجه‌گیری

امنیت سایبری در صنعت داروسازی، دیگر یک دغدغه حاشیه‌ای یا فنی محسوب نمی‌شود؛ بلکه به‌ مثابه یک مؤلفه حیاتی در زنجیره سلامت عمومی و پایداری اقتصادی است. در جهانی که فرمول‌های دارویی، داده‌های بیماران و سامانه‌های توزیع، همگی در بستر دیجیتال جابه‌جا می‌شوند، کوچک‌ترین نقص امنیتی می‌تواند به تهدیدی برای جان انسان‌ها، اعتماد اجتماعی و بقای سازمان‌های دارویی بدل شود.

این گزارش نشان داد که تهدیدات سایبری نه‌تنها در قالب حملات فیشینگ یا باج‌افزارها، بلکه در اشکال پیچیده‌تری مانند جاسوسی صنعتی، خرابکاری زنجیره تأمین یا بهره‌برداری از خلأهای حقوقی بین‌المللی در حال گسترش‌اند. مقابله با این تهدیدات، مستلزم نگاهی کل‌نگر، آینده‌نگر و چندلایه است: از تدوین سیاست‌های اختصاصی گرفته تا آموزش نیروی انسانی، سرمایه‌گذاری در هوش مصنوعی بومی و تعامل سازنده در سطح بین‌المللی.

در نهایت، امنیت سایبری را باید نه صرفاً به‌عنوان هزینه، بلکه سرمایه‌ای راهبردی برای دوام، رقابت‌پذیری و حفظ شأن انسانی صنعت دارو دانست. آینده سلامت دیجیتال، آینده‌ای است که در آن حفاظت از داده، بخشی از حفاظت از زندگی است.