كل المقالات

تحقيق في تسريب بيانات مرضى ولادة بعد إرسالها إلى بريد شخصي: درس بريطاني لمسؤولي أمن المعلومات

عمر حسن11 يوليو 2026 في 4:21 م4 دقيقة للقراءة
تحقيق في تسريب بيانات مرضى ولادة بعد إرسالها إلى بريد شخصي: درس بريطاني لمسؤولي أمن المعلومات

أبرز النقاط

  • موظف في هيئة صحية بريطانية نقل بيانات 150 مريضة ولادة إلى بريده الشخصي دون تصريح
  • البيانات المسربة تضمنت أسماء كاملة وتواريخ ميلاد وأرقام NHS ومعلومات علاجية حساسة
  • الحادثة تكشف أن التهديد الداخلي يمثل 67% من خروقات بيانات الرعاية الصحية في بريطانيا

أعلنت هيئة NHS Forth Valley الصحية في اسكتلندا عن فتح تحقيق داخلي بعد اكتشاف قيام أحد موظفيها بنقل جدول بيانات يحتوي معلومات شخصية لنحو 150 امرأة استفدن من خدمات الولادة إلى عنوان بريده الإلكتروني الشخصي. الحادثة التي كشفتها صحيفة Falkirk Herald تضيف فصلاً جديداً إلى سجل خروقات البيانات المتكررة في منظومة الصحة البريطانية، وتطرح تساؤلات جوهرية حول فعالية ضوابط منع تسريب البيانات (DLP) في المؤسسات الصحية.

Advertisement

ما البيانات التي تسربت وما خطورتها؟

أوضح المتحدث باسم NHS Forth Valley أن الجدول المُرسل احتوى على بيانات معظمها غير قابل للتعريف المباشر، لكنه تضمن أيضاً سطوراً تحتوي معلومات حساسة لعدد من المريضات. وبحسب ما أُبلغت به إحدى المتضررات، شملت البيانات: الأسماء الكاملة، تواريخ الميلاد، أرقام NHS التعريفية، معلومات العلاج خلال الحمل، وعدد أطفال كل مريضة.

150 امرأة
عدد المريضات اللواتي تأثرت بياناتهن بالتسريب

الهيئة أكدت أنها تواصلت مباشرة مع المتضررات، وأبلغت مكتب مفوض المعلومات البريطاني (ICO) وشرطة اسكتلندا. الموظف المعني ادعى حذف البيانات من جهازه الشخصي، ولا توجد حتى الآن أدلة على مشاركتها مع أطراف أخرى.

لماذا نُقلت البيانات أصلاً؟

في تفصيل لافت، أُبلغت إحدى المريضات أن الموظف نقل البيانات لأغراض تحليلية، وأنه موظف مؤهل بالكامل في وظيفة غير سريرية وليس متدرباً مبتدئاً. هذه النقطة تحديداً تُقلق مسؤولي أمن المعلومات: الخطر لا يأتي دائماً من قراصنة خارجيين أو موظفين جدد، بل من كوادر ذات صلاحيات واسعة تتجاوز البروتوكولات الأمنية بدافع تسهيل العمل.

  • نقل البيانات إلى بريد شخصي يُخرجها من نطاق سيطرة المؤسسة ومراقبتها
  • حتى لو لم تُشارك البيانات، فإن وجودها على جهاز غير مؤمّن يُعد خرقاً بموجب GDPR
  • غياب أدوات DLP الفعّالة سمح بخروج البيانات دون تنبيه فوري

نمط متكرر: خروقات البريد الإلكتروني في NHS

هذه ليست حادثة منعزلة. القطاع الصحي البريطاني يعاني من سجل مثقل بخروقات البريد الإلكتروني التي تتراوح بين الإهمال البسيط والكوارث المعلوماتية:

  • NHS Highland وChelsea and Westminster: كشفا بيانات مرضى HIV عند استخدام CC بدلاً من BCC في مراسلات جماعية
  • NHS Digital: سربت مئات العناوين البريدية في دعوات لفعالية أمن سيبراني — المفارقة المؤلمة
  • Cambridge University Hospitals: أرفقت بيانات زائدة في ردود طلبات حرية المعلومات بين 2020 و2021
67%
نسبة خروقات بيانات الرعاية الصحية في بريطانيا الناجمة عن تهديدات داخلية (عرضية أو متعمدة) وفق تقارير ICO
Advertisement

العقوبات المحتملة بموجب GDPR

يملك مكتب مفوض المعلومات صلاحية فرض غرامات تصل إلى 17.5 مليون جنيه إسترليني أو 4% من الإيرادات السنوية العالمية للمؤسسة المخالفة، أيهما أعلى. لكن في حالات NHS، غالباً ما يكتفي المكتب بالتوبيخ الرسمي (reprimand) نظراً للطبيعة العامة للخدمة، مع إلزام المؤسسة بخطة تصحيحية مُلزمة.

ما الدروس المستفادة لمسؤولي أمن المعلومات؟

  • تفعيل حلول DLP قادرة على رصد ومنع إرسال ملفات تحتوي بيانات حساسة إلى نطاقات بريدية خارجية
  • تصنيف البيانات (Data Classification) إلزامي: أي ملف يحتوي معرفات شخصية يجب أن يُعامل كـ Confidential
  • التدريب وحده لا يكفي: الموظف هنا كان مؤهلاً وفهم على الأرجح المخاطر، لكنه تجاوز القواعد
  • المراجعة الدورية للصلاحيات: من يحتاج فعلاً إلى تصدير بيانات جماعية من الأنظمة السريرية؟
ℹ️

رأي Logicity

هذه الحادثة تؤكد أن أدوات منع تسريب البيانات (DLP) لم تعد رفاهية حتى للمؤسسات العامة. حلول مثل Microsoft Purview (متضمن في Microsoft 365 E5) أو Symantec DLP (الآن جزء من Broadcom) أو Forcepoint DLP توفر طبقة حماية ضد السيناريو الذي حدث هنا. التكلفة تتفاوت: Purview يأتي ضمن اشتراك E5 بنحو 57 دولاراً شهرياً للمستخدم، بينما Forcepoint وSymantec يتطلبان تسعيراً مخصصاً للمؤسسات. الاستثمار في هذه الأدوات أقل تكلفة بكثير من غرامة ICO واحدة أو فقدان ثقة المرضى.

الأثر النفسي على المتضررات

إحدى الأمهات الجدد المتأثرات أخبرت صحيفة Falkirk Herald بأنها تعاني من قلق حاد بعد علمها بأن بياناتها الشخصية خرجت عن سيطرة المؤسسة الصحية. هذا البعد الإنساني كثيراً ما يُغفل في النقاشات التقنية: خرق البيانات ليس مجرد مخالفة تنظيمية، بل انتهاك للثقة التي يضعها المرضى في مقدمي الرعاية خلال لحظات ضعفهم.

الأسئلة الشائعة

ما نوع البيانات التي تسربت في حادثة NHS Forth Valley؟

تضمنت البيانات المسربة أسماء كاملة، تواريخ ميلاد، أرقام NHS التعريفية، معلومات علاج الحمل، وعدد أطفال المريضات.

هل يمكن أن تُفرض غرامات على NHS بسبب هذا التسريب؟

نعم، يملك مكتب مفوض المعلومات البريطاني صلاحية فرض غرامات تصل إلى 17.5 مليون جنيه إسترليني بموجب GDPR، لكنه غالباً يكتفي بالتوبيخ مع خطة تصحيحية للمؤسسات العامة.

كيف يمكن منع تسريب البيانات عبر البريد الإلكتروني؟

من خلال تفعيل حلول DLP مثل Microsoft Purview أو Symantec DLP التي ترصد وتمنع إرسال ملفات تحتوي بيانات حساسة إلى نطاقات خارجية.

ما نسبة خروقات البيانات الصحية الناجمة عن تهديدات داخلية؟

تشير تقارير ICO إلى أن 67% من خروقات بيانات الرعاية الصحية في بريطانيا تُعزى إلى تهديدات داخلية سواء عرضية أو متعمدة.

هل هذه أول حادثة تسريب بريد إلكتروني في NHS؟

لا، فقد سبقتها حوادث مشابهة في NHS Highland وChelsea and Westminster وNHS Digital وCambridge University Hospitals.

ℹ️

هل تحتاج مساعدة في التطبيق؟

إذا كنت تبحث عن تقييم لجاهزية مؤسستك الصحية لمتطلبات حماية البيانات أو اختيار حل DLP مناسب، تواصل مع فريق Logicity للحصول على استشارة متخصصة.

Advertisement
ع

عمر حسن

كاتب تقني وابتكار

أُنتِج هذا المقال بمساعدة الذكاء الاصطناعي وراجعه فريق التحرير في لوجيسيتي. اعرف المزيد في سياسة التحرير.

مقالات ذات صلة

اقرأ أيضاً