تحقيق في تسريب بيانات مرضى ولادة بعد إرسالها إلى بريد شخصي: درس بريطاني لمسؤولي أمن المعلومات

أبرز النقاط
- موظف في هيئة صحية بريطانية نقل بيانات 150 مريضة ولادة إلى بريده الشخصي دون تصريح
- البيانات المسربة تضمنت أسماء كاملة وتواريخ ميلاد وأرقام NHS ومعلومات علاجية حساسة
- الحادثة تكشف أن التهديد الداخلي يمثل 67% من خروقات بيانات الرعاية الصحية في بريطانيا
أعلنت هيئة NHS Forth Valley الصحية في اسكتلندا عن فتح تحقيق داخلي بعد اكتشاف قيام أحد موظفيها بنقل جدول بيانات يحتوي معلومات شخصية لنحو 150 امرأة استفدن من خدمات الولادة إلى عنوان بريده الإلكتروني الشخصي. الحادثة التي كشفتها صحيفة Falkirk Herald تضيف فصلاً جديداً إلى سجل خروقات البيانات المتكررة في منظومة الصحة البريطانية، وتطرح تساؤلات جوهرية حول فعالية ضوابط منع تسريب البيانات (DLP) في المؤسسات الصحية.
ما البيانات التي تسربت وما خطورتها؟
أوضح المتحدث باسم NHS Forth Valley أن الجدول المُرسل احتوى على بيانات معظمها غير قابل للتعريف المباشر، لكنه تضمن أيضاً سطوراً تحتوي معلومات حساسة لعدد من المريضات. وبحسب ما أُبلغت به إحدى المتضررات، شملت البيانات: الأسماء الكاملة، تواريخ الميلاد، أرقام NHS التعريفية، معلومات العلاج خلال الحمل، وعدد أطفال كل مريضة.
الهيئة أكدت أنها تواصلت مباشرة مع المتضررات، وأبلغت مكتب مفوض المعلومات البريطاني (ICO) وشرطة اسكتلندا. الموظف المعني ادعى حذف البيانات من جهازه الشخصي، ولا توجد حتى الآن أدلة على مشاركتها مع أطراف أخرى.
لماذا نُقلت البيانات أصلاً؟
في تفصيل لافت، أُبلغت إحدى المريضات أن الموظف نقل البيانات لأغراض تحليلية، وأنه موظف مؤهل بالكامل في وظيفة غير سريرية وليس متدرباً مبتدئاً. هذه النقطة تحديداً تُقلق مسؤولي أمن المعلومات: الخطر لا يأتي دائماً من قراصنة خارجيين أو موظفين جدد، بل من كوادر ذات صلاحيات واسعة تتجاوز البروتوكولات الأمنية بدافع تسهيل العمل.
- نقل البيانات إلى بريد شخصي يُخرجها من نطاق سيطرة المؤسسة ومراقبتها
- حتى لو لم تُشارك البيانات، فإن وجودها على جهاز غير مؤمّن يُعد خرقاً بموجب GDPR
- غياب أدوات DLP الفعّالة سمح بخروج البيانات دون تنبيه فوري
نمط متكرر: خروقات البريد الإلكتروني في NHS
هذه ليست حادثة منعزلة. القطاع الصحي البريطاني يعاني من سجل مثقل بخروقات البريد الإلكتروني التي تتراوح بين الإهمال البسيط والكوارث المعلوماتية:
- NHS Highland وChelsea and Westminster: كشفا بيانات مرضى HIV عند استخدام CC بدلاً من BCC في مراسلات جماعية
- NHS Digital: سربت مئات العناوين البريدية في دعوات لفعالية أمن سيبراني — المفارقة المؤلمة
- Cambridge University Hospitals: أرفقت بيانات زائدة في ردود طلبات حرية المعلومات بين 2020 و2021
العقوبات المحتملة بموجب GDPR
يملك مكتب مفوض المعلومات صلاحية فرض غرامات تصل إلى 17.5 مليون جنيه إسترليني أو 4% من الإيرادات السنوية العالمية للمؤسسة المخالفة، أيهما أعلى. لكن في حالات NHS، غالباً ما يكتفي المكتب بالتوبيخ الرسمي (reprimand) نظراً للطبيعة العامة للخدمة، مع إلزام المؤسسة بخطة تصحيحية مُلزمة.
ما الدروس المستفادة لمسؤولي أمن المعلومات؟
- تفعيل حلول DLP قادرة على رصد ومنع إرسال ملفات تحتوي بيانات حساسة إلى نطاقات بريدية خارجية
- تصنيف البيانات (Data Classification) إلزامي: أي ملف يحتوي معرفات شخصية يجب أن يُعامل كـ Confidential
- التدريب وحده لا يكفي: الموظف هنا كان مؤهلاً وفهم على الأرجح المخاطر، لكنه تجاوز القواعد
- المراجعة الدورية للصلاحيات: من يحتاج فعلاً إلى تصدير بيانات جماعية من الأنظمة السريرية؟
رأي Logicity
هذه الحادثة تؤكد أن أدوات منع تسريب البيانات (DLP) لم تعد رفاهية حتى للمؤسسات العامة. حلول مثل Microsoft Purview (متضمن في Microsoft 365 E5) أو Symantec DLP (الآن جزء من Broadcom) أو Forcepoint DLP توفر طبقة حماية ضد السيناريو الذي حدث هنا. التكلفة تتفاوت: Purview يأتي ضمن اشتراك E5 بنحو 57 دولاراً شهرياً للمستخدم، بينما Forcepoint وSymantec يتطلبان تسعيراً مخصصاً للمؤسسات. الاستثمار في هذه الأدوات أقل تكلفة بكثير من غرامة ICO واحدة أو فقدان ثقة المرضى.
الأثر النفسي على المتضررات
إحدى الأمهات الجدد المتأثرات أخبرت صحيفة Falkirk Herald بأنها تعاني من قلق حاد بعد علمها بأن بياناتها الشخصية خرجت عن سيطرة المؤسسة الصحية. هذا البعد الإنساني كثيراً ما يُغفل في النقاشات التقنية: خرق البيانات ليس مجرد مخالفة تنظيمية، بل انتهاك للثقة التي يضعها المرضى في مقدمي الرعاية خلال لحظات ضعفهم.
الأسئلة الشائعة
ما نوع البيانات التي تسربت في حادثة NHS Forth Valley؟
تضمنت البيانات المسربة أسماء كاملة، تواريخ ميلاد، أرقام NHS التعريفية، معلومات علاج الحمل، وعدد أطفال المريضات.
هل يمكن أن تُفرض غرامات على NHS بسبب هذا التسريب؟
نعم، يملك مكتب مفوض المعلومات البريطاني صلاحية فرض غرامات تصل إلى 17.5 مليون جنيه إسترليني بموجب GDPR، لكنه غالباً يكتفي بالتوبيخ مع خطة تصحيحية للمؤسسات العامة.
كيف يمكن منع تسريب البيانات عبر البريد الإلكتروني؟
من خلال تفعيل حلول DLP مثل Microsoft Purview أو Symantec DLP التي ترصد وتمنع إرسال ملفات تحتوي بيانات حساسة إلى نطاقات خارجية.
ما نسبة خروقات البيانات الصحية الناجمة عن تهديدات داخلية؟
تشير تقارير ICO إلى أن 67% من خروقات بيانات الرعاية الصحية في بريطانيا تُعزى إلى تهديدات داخلية سواء عرضية أو متعمدة.
هل هذه أول حادثة تسريب بريد إلكتروني في NHS؟
لا، فقد سبقتها حوادث مشابهة في NHS Highland وChelsea and Westminster وNHS Digital وCambridge University Hospitals.
هل تحتاج مساعدة في التطبيق؟
إذا كنت تبحث عن تقييم لجاهزية مؤسستك الصحية لمتطلبات حماية البيانات أو اختيار حل DLP مناسب، تواصل مع فريق Logicity للحصول على استشارة متخصصة.
عمر حسن
كاتب تقني وابتكار
أُنتِج هذا المقال بمساعدة الذكاء الاصطناعي وراجعه فريق التحرير في لوجيسيتي. اعرف المزيد في سياسة التحرير.
مقالات ذات صلة
تصفح الكل
البرلمان البريطاني يضغط على NHS للتخلي عن Palantir قبل 2027: هل تواجه صفقات البيانات الضخمة مصيراً مشابهاً في الخليج؟
طالبت لجنة الصحة والرعاية الاجتماعية في مجلس العموم البريطاني الحكومة بالبدء فوراً في التخطيط لمرحلة ما بعد Palantir، داعيةً إلى استغلال بند الإنهاء المبكر في عقد منصة البيانات الموحدة (Federated Data
اقرأ أيضاً

ideaForge تجمع 500 كرور روبية عبر طرح خاص للمؤسسات: كيف تعيد الهند رسم خريطة صناعة الطائرات المسيّرة
أنهت شركة ideaForge Technology الهندية المتخصصة في تصنيع الطائرات المسيّرة جولة طرح خاص للمؤسسات (QIP) يوم الجمعة 10 يوليو، محققةً تمويلاً بقيمة 500 كرور روبية هندية (نحو 60 مليون دولار) من مجموعة من




