الأمن السيبراني في الرعاية الصحية الجزائرية: أنظمة المستشفيات وبيانات المرضى ومخاطر الرقمنة

الرقمنة الصحية بدون أمن

نظام الرعاية الصحية الجزائري يمر بتحول رقمي لم يكن متصوراً قبل عقد. المراكز الاستشفائية الجامعية (CHU) في الجزائر العاصمة ووهران وقسنطينة وعنابة طبّقت أنظمة سجلات صحية إلكترونية ووصفات طبية محوسبة وتصوير طبي رقمي (PACS). الصندوق الوطني للتأمينات الاجتماعية (CNAS) يعالج ملايين المطالبات إلكترونياً، رابطاً الصيدليات والمستشفيات والعيادات عبر شبكة تعويض وطنية. نظام بطاقة الشفاء، المستخدم من أكثر من 30 مليون مستفيد، يرقمن تعريف المرضى والتحقق من التأمين في نقاط الرعاية. إطلاق بطاقة e-Chifa من الجيل الثاني مؤخراً — بتقنية شريحة محسّنة وسقف تعويض وصفات مرفوع إلى 5,000 دينار — يشير إلى تسارع هذا المسار الرقمي.

مع ذلك، تتقدم هذه الرقمنة بتخطيط أمن سيبراني شبه معدوم. عالمياً، الرعاية الصحية هي القطاع الأكثر استهدافاً بالهجمات السيبرانية، حيث تمثل 22% من هجمات الفدية المكشوفة في 2025 — بزيادة 30% عن العام السابق. تقرير IBM 2025 لتكلفة خروقات البيانات وجد أن خروقات الرعاية الصحية تكلف في المتوسط 7.42 مليون دولار للحادثة، الأعلى بين جميع القطاعات للسنة الخامسة عشرة على التوالي. تقرير Health-ISAC 2026 وصف الوضع بـ “أزمة أمن سيبراني وجودية”.

الرعاية الصحية جاذبة للمهاجمين لأسباب هيكلية: المنظمات لا تستطيع تحمل التوقف لأن حياة المرضى تعتمد على توفر الأنظمة، وتحوز بيانات شخصية حساسة للغاية (السجلات الطبية تباع بما يصل إلى 1,000 دولار في الويب المظلم)، وأنظمتها المعلوماتية تعمل غالباً ببرمجيات قديمة بثغرات معروفة.

الجزائر ليست معفاة من مشهد التهديدات العالمي هذا. الجمع بين أنظمة حديثة التوصيل وكوادر أمن تكنولوجيا المعلومات المحدودة وغياب لوائح أمن سيبراني خاصة بالصحة يخلق بيئة خطر تستحق اهتماماً عاجلاً.

سطح الهجوم: الأنظمة المتصلة في المستشفيات الجزائرية

مركز استشفائي جامعي نموذجي في الجزائر يعمل الآن بعدة أنظمة رقمية مترابطة. أنظمة المعلومات الاستشفائية (SIH) تدير القبول والخروج والتحويلات. أنظمة PACS تخزّن وتوزع التصوير الطبي بصيغة DICOM. أنظمة معلومات المختبرات (SIL) تدير تحاليل الدم ونتائج الأمراض. أنظمة إدارة الصيدليات تتبع مخزون الأدوية.

التحدي الأمني يتفاقم بالأجهزة الطبية. مضخات التسريب والشاشات وأجهزة التنفس الاصطناعي ومعدات التصوير الحديثة تعمل بأنظمة تشغيل مدمجة (غالباً Windows XP Embedded أو متغيرات Linux) نادراً ما تُحدَّث. هجوم WannaCry 2017 دمّر هيئة الصحة الوطنية البريطانية (NHS) بالذات باستغلال أنظمة Windows غير المحدّثة في المستشفيات، مؤثراً على أكثر من 60 ترست بتكاليف قُدّرت بـ 92 مليون جنيه إسترليني.

في المستشفيات الجزائرية، تجزئة الشبكة التي يجب أن تعزل الأجهزة الطبية عن الأنظمة الإدارية غالباً غائبة أو سيئة التطبيق. بنية الشبكة المسطحة تعني أن برمجية خبيثة تدخل عبر بريد تصيد على محطة عمل إدارية يمكنها الانتشار للأنظمة السريرية. زيارات المواقع تكشف ثغرات شائعة: كلمات مرور مشتركة، ومفاتيح USB تُستخدم بحرية بين الحواسيب الشخصية وحواسيب المستشفى، وشبكات لاسلكية بدون مصادقة مؤسسية.

حماية بيانات المرضى: من القانون 18-07 إلى القانون 25-11

إطار حماية البيانات في الجزائر تطور بشكل ملحوظ. التشريع الأساسي، القانون 18-07 (يونيو 2018) المتعلق بحماية الأشخاص الطبيعيين في ما يخص معالجة البيانات ذات الطابع الشخصي، أرسى مبادئ عامة وصنّف البيانات الصحية كـ “بيانات حساسة” تتطلب حماية معززة. غير أن القانون 18-07 لم يصبح قابلاً للتطبيق الكامل إلا في أغسطس 2023، بعد تنصيب السلطة الوطنية لحماية المعطيات ذات الطابع الشخصي (ANPDP) في أغسطس 2022 — تأخير تطبيق خمس سنوات.

تطور تنظيمي كبير جاء مع القانون 25-11 (يوليو 2025)، الذي عدّل القانون 18-07 وأدخل أحكاماً ذات صلة مباشرة بالأمن السيبراني الصحي. أبرزها، فرض القانون 25-11 الإبلاغ عن الخروقات لـ ANPDP خلال 5 أيام من الاكتشاف. كما يفرض التعديل تعيين مسؤولي حماية البيانات (DPO) إلزامياً، ودراسات تقييم الأثر (DPIA)، وسجلات معالجة مفصلة.

وضع الأمن السيبراني الجزائري تعزز على المستوى الوطني. المرسوم الرئاسي 25-321 (ديسمبر 2025) وافق على الاستراتيجية الوطنية للأمن السيبراني 2025-2029، والمرسوم الرئاسي 26-07 (يناير 2026) أنشأ وحدات أمن سيبراني مخصصة داخل المؤسسات العمومية — إجراء ينطبق مباشرة على المستشفيات العمومية والمراكز الاستشفائية الجامعية.

ومع ذلك، تبقى هذه أطر عامة. القانون 18-07، حتى بتعديل القانون 25-11، لا يتضمن متطلبات أمن سيبراني خاصة بالصحة معادلة لقاعدة الأمن HIPAA الأمريكية. لائحة قطاعية لأمن البيانات الصحية تبقى أهم فجوة تنظيمية يجب سدها.

بناء المرونة السيبرانية للرعاية الصحية

المسار يتطلب إجراءات على المستويات المؤسسية والتنظيمية والوطنية. على مستوى المستشفى، يجب على مديري المراكز الاستشفائية الجامعية ومديري تكنولوجيا المعلومات إجراء تقييمات رسمية لمخاطر الأمن السيبراني. تجزئة الشبكة — فصل الأجهزة الطبية ومحطات العمل السريرية والأنظمة الإدارية وشبكة WiFi الضيوف — هي أكثر إجراء تقني تأثيراً ويمكن تنفيذه بالبنية التحتية الموجودة للشبكة.

التدريب الإلزامي في الأمن السيبراني للعاملين في الرعاية الصحية بنفس القدر من الأهمية. التصيد يبقى ناقل الهجوم الأساسي. برامج التدريب يجب أن تكون مستمرة ومكيّفة لسير العمل السريري.

على المستوى الوطني، يجب على وزارة الصحة تطوير إطار أمن سيبراني صحي بمساهمة ANPDP وCERIST ومنظمات دولية مثل منظمة الصحة العالمية. يجب أن يفرض هذا الإطار معايير أمنية دنيا لأنظمة تكنولوجيا المعلومات الصحية، ويشترط تدقيقات أمنية منتظمة للمراكز الاستشفائية الجامعية، وينشئ فريق استجابة للطوارئ الحاسوبية (CERT) قطاعي للصحة، ويُحدث آلية إبلاغ سرية عن الحوادث. وحدات الأمن السيبراني المفروضة بالمرسوم الرئاسي 26-07 توفر أساساً هيكلياً، لكنها تحتاج توجيهات خاصة بالصحة لتكون فعّالة في البيئات السريرية.

المصادر والقراءات الإضافية

• IBM Cost of a Data Breach Report 2025 — IBM Security
• Healthcare Data Breach Costs 2025 — HIPAA Journal
• Healthcare Most Targeted Sector for Ransomware 2025 — HIPAA Journal
• Algeria Data Protection Law 18-07 and Amendments (Law 25-11) — CMS Law
• Algeria Digital Policy Updates — Digital Policy Alert
• HIPAA Violation Fines and Penalties 2026 — HIPAA Journal
• Chifa Card and Third Party Payment System — CNAS Algeria
• e-Chifa Card Launch and Reimbursement Update — APS
• WHO Cybersecurity Guide for Digital Health Systems
• WannaCry Cyber Attack Impact on NHS — National Health Executive