ملخص. كان عام 2025 الأشد وطأةً على القطاع الصحي الفرنسي في مجال الهجمات الإلكترونية. تضرر أحد كبار مزودي البرمجيات الطبية لعدة أيام، وأُصيبت مستشفيات جامعية متعددة، وتسرّبت ملايين البيانات. يستخلص هذا المقال الدروس التقنية والتنظيمية — دون تحديد أصابع الاتهام.
سياق عام 2025
القطاع الصحي هو، منذ عام 2020، الهدف الأول للمجموعات الإجرامية الإلكترونية. السبب بسيط: تُباع البيانات الطبية بما يصل إلى 20 ضعف سعر البيانات المصرفية في الأسواق السوداء، لأنها تُتيح عمليات احتيال موجَّهة (فواتير صحية مزوّرة، انتحال هوية طبية، ابتزاز).
في عام 2025، كانت فرنسا معرّضة بشكل خاص: بنية لا تزال مركزية في غالبيتها، وعدد كبير من موردي البرمجيات بممارسات أمنية متفاوتة، ومستشفيات ذات ميزانيات محدودة لأقسام المعلوماتية، وسطح هجومي يتسع مع تقدم التحوّل الرقمي (Ségur، Mon Espace Santé).
حالة نموذجية: البرمجيات الطبية المركزية
نوفمبر 2025. تعرّض أحد الفاعلين الرئيسيين في مجال البرمجيات الطبية الفرنسية الحرة — المستخدَمة من أكثر من 20000 ممارس — لهجوم إلكتروني من نوع ransomware. النتيجة: أيام عديدة بلا وصول للعيادات، وملفات مرضى غير متاحة، واستحالة إرسال نماذج الرعاية الصحية إلكترونياً.
باتت هذه الحالة رمزية لسببين:
- البنية المركزية — كانت ملفات الـ20000+ طبيب تستند إلى بنية تحتية سحابية واحدة. نقطة فشل واحدة لشريحة كاملة من المنظومة الصحية الفرنسية.
- غياب وضع التدهور — دون الوصول إلى السحابة، لم يستطع الطبيب الاطلاع على أي ملف مريض، حتى في الحالات العاجلة. لا ذاكرة تخزين مؤقتة محلية مشفّرة، ولا نسخة محلية.
المستشفيات والمستشفيات الجامعية المستهدَفة
تضررت مؤسسات مستشفيات فرنسية عديدة في عام 2025: أُضعفت أنظمة معالجة الطوارئ في بعضها لأسابيع. شهدنا تحويل مرضى إلى مؤسسات أخرى، وتأجيل عمليات مقررة، وتسريب ملفات طبية على الويب المظلم.
كثّفت ANSSI ووزارة الصحة برامج الدعم (CaRE — تسريع الأمن الإلكتروني ومرونة المؤسسات)، غير أن عملية التحديث تستغرق أشهراً بل سنوات.
الدروس التقنية الأربعة
1. البنية المركزية مخاطرة منهجية
حين يعتمد 20000 طبيب على بنية تحتية واحدة، يكون للهجوم الناجح أثر منهجي يتجاوز بكثير الشركة الضحية. البدائل: البنى الموزّعة، الحوسبة الحافّية، التكرار متعدد المواقع، والمرونة من جانب العميل (ذاكرة تخزين مؤقتة محلية مشفّرة).
2. التشفير من جانب العميل يحمي من التسريب
في بنية zero-knowledge (تشفير من جانب العميل بمفتاح يحتفظ به المستخدم)، يُنتج تسريب قاعدة البيانات كتلاً ثنائية غير قابلة للقراءة. تمكّن المهاجمون الذين سرقوا ملفات المستشفيات الفرنسية عام 2025 من بيعها لأنها كانت قابلة للقراءة. في بنية zero-knowledge، لكان التسريب حدثاً تجارياً بلا قيمة.
3. وضع offline-first يُنقذ الأرواح
حين يتعطّل السحاب وعلى الطبيب مقابلة مريضه، يُحدث وجود نسخة محلية مشفّرة من الملف الفارق بين استمرارية الرعاية وتعليق الاستشارات. التطبيقات الصحية الحديثة، ومنها MDMC، مبنية كـ PWA offline-first بذاكرة تخزين مؤقتة محلية مشفّرة تُحدَّث تلقائياً.
4. قابلية النقل شكل من أشكال المرونة
إن لم تستطع تصدير بياناتك، فأنت أسير لدى مورّد. وإن تعرّض للهجوم، بقيت محاصراً معه. تصدير FHIR R4 بنقرة واحدة، مكفول تعاقدياً، ضمانة هيكلية.
الدروس التنظيمية الثلاثة
1. السيادة ليست رفاهية إضافية
المنصات التي تستضيف لدى مزودين أجانب (AWS، Azure) تُضيف إلى المخاطر الإلكترونية مخاطر قانونية (Cloud Act الأمريكي). يوفر المزودون المؤهَّلون بـ SecNumCloud من ANSSI ضماناً مزدوجاً: مرونة تقنية + حصانة قانونية. التفاصيل هنا.
2. قواعد بيانات الأدوية الأخلاقية مهمة
برامج مساعدة الوصف الطبي المعتمدة من HAS (الهيئة العليا للصحة) تستند إلى قواعد بيانات أدوية متعددة. بعضها (كـ Vidal) تملكه مجموعات دولية نشاطها الرئيسي هو الدراسات التسويقية الدوائية. قاعدتا Thériaque وBCB غير التجاريتين بديلان أكثر أخلاقية.
3. الشفافية بعد الحوادث اختبار ثقة
الفاعلون الذين يتواصلون بسرعة وأمانة حول ما حدث والإجراءات المتخذة يحتفظون بعملائهم. أما من يتهاونون أو يصمتون، فيخسرون مرتين: مرة بالهجوم، ومرة أخرى بفقدان الثقة.
ما يمكنك فعله، أيها المريض
- فعّل Mon Espace Santé — لديك على الأقل ملفك لدى خدمة عامة، مستقلة عن موردي القطاع الخاص
- صدّر بياناتك بانتظام — بتنسيق FHIR R4 إن أمكن، أو على الأقل التقارير المهمة بصيغة PDF
- اسأل طبيبك أين تُستضاف برمجياته — لك الحق في المعرفة، والطبيب الجاد سيعرف الإجابة
- استخدم تطبيقاً شريكاً ذا سيادة — مستضاف في فرنسا، مشفّر بـ zero-knowledge، وقابل للنقل
ما يمكنك فعله، أيها الممارس
- إن كنت تستخدم برنامجاً سحابياً حصرياً، فكّر في أداة تكميلية بذاكرة تخزين مؤقتة محلية مشفّرة لمواصلة الاستشارات في وضع التدهور
- تحقق من استضافة HDS لمورّد برمجياتك — وهذا التزام تنظيمي
- اختبر النسخ الاحتياطية مرة واحدة على الأقل كل ربع سنة (النسخ الاحتياطية غير المختبرة = لا نسخ احتياطية)
- شارك في برامج ANSSI CaRE وANS CERT Santé — مجانية ومفيدة
ما يجب تذكّره
سرّع عام 2025 الوعي. الأمن الإلكتروني الصحي ليس موضوعاً تقنياً لأقسام المعلوماتية — إنه موضوع استمرارية الرعاية، وبالتالي موضوع صحة عامة. لم تعد البنى ذات السيادة وzero-knowledge وoffline-first خيارات مميزة. إنها تصبح الحد الأدنى لصحة رقمية تستحق هذا الاسم.