ביום רביעי האחרון הודיע בית החולים הלל יפה בחדרה על מתקפת סייבר על מערכות המחשוב של בית החולים, שבעקבותיה נרשמו שיבושים בטיפולים לא דחופים.
כבר שנים מתריעים מומחי האבטחה בארץ מפני מתקפות סייבר על בתי חולים, שיכולות לעלות בחיי אדם. “במקרה הקל הדבר יכול להוביל להשבתה של המערכות המנהלתיות כמו במקרה של הלל יפה”, מסביר ד”ר הראל מנשרי, ראש תחום סייבר במכון הטכנולוגי חולון (HIT) וממקימי מערך הסייבר בשב”כ. “במקרה הקשה יותר זה יכול לגרום להשבתה של מכונות רפואיות מונחות מחשב כמו MRI, מכונות הנשמה ורנטגן. זה יכול לפגוע בהרבה טיפולים רפואיים מצילי חיים וקריטיים, וכשמדובר בפגיעה בבית חולים, אנשים יכולים למות”.
לדברי מנשרי, בארץ לא קיימת אחידות בין בתי החולים בנוגע לנוהלי התמודדות עם מתקפות סייבר. “בבתי החולים יש רגולציות שונות, ואין אחידות ביניהם לצערי, שכן כל אחד מבתי החולים שייך לחברת סייבר אחרת, וכל אחד מהם מחליט עד כמה הוא מוכן להשקיע במיגון”, הוא אומר. “אין במשרד הבריאות מערך סייבר אחיד וערכי שיעשה גם בקרה וביקורת הולמת. יש פער גדול בין מה שצריך לעשות לבין מה שעושים”.
“בית חולים היום מתנהל על פי רגולציות שקיימות ומנחות את הארגונים, ולאחר מכן יש את ההגנות שקיימות נגד מתקפות”, מסביר אבי אורנשטיין, מבעלי חברת Triad Security המייעצת לארגוני בריאות ובתי חולים בארץ. “יש תוכנות אבטחות מידע שנמצאות על הרשת עצמה, על השרתים, ושמגינות מפני מתקפות כמו הצפנת קבצים. יש היום הגנות שנועדו לנסות לזהות מתקפות כי אלו מתקפות מאוד חמקניות, ולפעמים המערכות לא מזהות אותן וקורים דברים רעים ברשת. ההגנה העיקרית נגד מתקפות מהסוג הזה היא גיבוי, ששומר על שגרת גיבויים תקינה ובודק את הגיבויים שלו באופן תקין”.
באיזו תדירות קורות מתקפות סייבר על בתי חולים?
“מתקפות קורות כל הזמן, זאת אומרת, צוותי אבטחת המידע בבתי החולים עובדים מסביב לשעון כדי להגן על הארגון שלהם. כשאייטם חדשותי יוצא החוצה, הצוות כבר מזמן פועל למגר אותה, או שכבר ההגנה הסתיימה וכבר חזרו לשגרה. יש גם הגנות ממשרד הבריאות, הגנות מהמדינה, ובעצם מערך הסייבר עוזר בניהול אירועי אבטחת מידע ועוזר לארגונים”.
אחד הדברים שהחברה של אורנשטיין עושה הוא לייצר תרחישים שנועדו להגן על בתי החולים. “אנחנו מדמים פריצות סייבר לבתי חולים כדי להעצים את אמצעי המיגון נגד מתקפות כאלה ולהתכונן לכל תרחיש”, הוא מסביר. “ישראל חזקה מאוד בנושא של הגנה על בתי החולים: יש בתי חולים שהם ברשות משרד הבריאות, יש בתי חולים שהם בניהול של כללית ויש בתי חולים פרטיים. כל אחד מהגופים דואג לבתי החולים שלו. אף אחד מבתי החולים או ממנהליו לא ירצה שמידע פרטי על אזרחי מדינת ישראל ידלוף. זה משחק של חתול ועכבר עם התוקפים. ככל שהם נהיים יותר מתוחכמים, המגינים מפתחים יותר שיטות הגנה, כמו מודיעין שהועלה למודעות בשנים האחרונות, ומפתחים מרכזי ידע ותגובה. ככל שנוכל להעמיק את שיתוף הפעולה עם הרגולטורים השונים בתוך המדינה, נהיה יותר מוכנים ונוכל לפתח הגנות מפני מתקפות”.
לעלות שלב
“מבחינה טכנולוגית, בתי חולים לא אמורים להיות שונים מבחינת המוכנות למתקפת סייבר, אבל ההשלכות של ניתוק או השבתת בית חולים הן ישירות על חיי אדם, ולכן ההתמודדות עם סייבר חייבת לעלות שלב במוכנות”, אומר עודד ואנונו, ראש מחלקת חולשות מוצרים בחברת צ’ק פוינט, העובדת בין השאר עם ארגונים רפואיים ובתי חולים. “לפני עשור בתי חולים לא היו רלוונטיים למתקפת סייבר, אבל עולם פשיעת הסייבר התחיל לשנות את הצורה שלו, כלומר נולדו ארגונים שמרוויחים כסף מיידי מפשיעת סייבר הודות למטבעות הדיגיטליים. אותם ארגונים בנו מתודולוגיות תקיפה משונות. אחת מהן קשורה לבית החולים, שכן השבתת מערכת בית חולים יכולה לעלות בחיי אדם, ואף אחד לא ייקח סיכון על כך”.
לדברי ואנונו, אחת הבעיות בהגנה נולדת כשבית החולים נותן לגורם חיצוני גישה למערכת בית החולים. “גישה כזו יכולה לגרום לכך שמישהו יגנוב את הסיסמה של בית החולים מאותו אדם חיצוני, ולכן חשוב שהכניסה שלהם תהיה מאוד מאובטחת ותהיה בשימוש רק באזורים טכנולוגיים שאינם קשורים ישירות לבית החולים”, הוא אומר.
לטענתו, אחד הפתרונות למזעור מתקפות סייבר על בתי חולים הוא יצירת שתי תשתיות טכנולוגיות שונות לבית החולים. “אזור אחד צריך להיות סטרילי, כלומר גם במצב של חדירה טכנולוגית לא תהיה אפשרות להשבית את מכשירי הקצה (כל המכשירים הרפואיים) מצילי החיים, שכן הם חייבים להיות תחת רשת אבטחה מאוד גבוהה”, הוא אומר. “זה הכרחי ליצור מערכת שתגן בהגנה נוספת מפריצות חיצוניות לתוך בית החולים עם מינימום הרשאות כניסה. כמו כן, יש להקפיד לעדכן את תוכנות ההגנה כמו שצריך. אם ישנה, למשל, טכנולוגיה שלא עודכנה כראוי, ייתכן שינצלו את החולשות שלה כדי להיכנס למערכת”.
אחד הקשיים הנוספים שבתי החולים מתמודדים עמם הוא גיוס כוח אדם לצורכי אבטחה. “מומחה בסייבר לא ילך לעבוד בבית חולים, אלא בחברות טכנולוגיה, ואז לבתי החולים קשה לגייס כוח אדם”, הוא אומר. “הם פונים לחברות חיצוניות שמנהלות להם את הסיפור הזה. אני טוען שבעולם הגנת הסייבר זה נחמד שיש שירותים כאלה, אבל חייב להיות צוות אורגני בתוך בית החולים שנעזר בכוח אדם חיצוני כדי לתגבר ולייעל את המערכת. בהקשר זה צריך לשנות לדעתי את התעדוף בהקצאת כוח אדם לבתי חולים. לפי הנתונים של השנה האחרונה, ישראל חוותה השנה פי שניים יותר התקפות סייבר מרוב מדינות העולם, אבל מבחינת ידע טכנולוגי ותשתיות, אנחנו בטופ העולמי. מבחינת הטמעת יכולות שימוש בטכנולוגיות האלה עדיין יש לנו פער שאנחנו צריכים לשפר, אבל זה הכל עניין של תקצוב”.
חומה בצורה
כאמור, יש הבדל בין בתי חולים ממשלתיים וציבוריים בנוגע למימון וטיפול באבטחת הסייבר, כשמרבית בתי החולים הציבוריים משתמשים בחברות אבטחת סייבר חיצוניות שמייעצות ומסייעות להם בהגנה על המערכת, ובבתי חולים ממשלתיים המערכות מטופלות על ידי גורמים מטעם משרד הבריאות.
“אצלנו בבית החולים, אבטחת הסייבר לא נמצאת בבקרת משרד הבריאות”, מציינת אורנה כהן, המשנה למנכ”ל במרכז הרפואי־שיקומי הרצוג. “לפני כמה שנים המשרד הוציא חוזר לבתי החולים כיצד יש להתמגן מפני מתקפות סייבר, אך מפקידים את האחריות בידי בית החולים עצמו”.
איך אתם מתמגנים?
“אנחנו מעדכנים את תוכנית האבטחה באופן שוטף. יש בתי חולים שמקפידים על הדבר הזה ויש בתי חולים שפחות. לוחמת סייבר היא הרבה מעבר למחשוב. בתי חולים שאין להם כסף לזה, לא מקפידים על זה כל כך, ולכן חשופים ליותר פריצות. היינו צריכים לעשות מאמצים עילאיים כדי לדאוג להגנת הסייבר אצלנו. אצלנו, לצד חברה חיצונית, גם עובדי בית החולים עוסקים באבטחת הסייבר”.
מה הפתרון לדעתך?
“צריכים לספק אבטחת סייבר כללית וברמה גבוהה וזהה לכל בתי החולים”.
“בתי החולים כיום הם דיגיטליים, מהשער שפותח את החניה ועד לאמבולנסים, הבדיקות שאתה עושה והמכונות עצמן. בית חולים הוא מפעל שמנוהל דיגיטלית”, אומר אלון סבן, סא”ל במיל’ וסמנכ”ל פיתוח תאגידי של חברת Hub Security, שעובד עם מספר בתי חולים בארץ. “ברגע שאתה כל כך מוטמע דיגיטלית, אז אתה יותר פגיע. המונח הזה נקרא אצלנו ‘משטח תקיפה’, והוא קובע כמה אתה חשוף לעולם וכמה יכולים לפגוע בך. ככל שהטכנולוגיה מתקדמת, ‘משטח התקיפה’ בבית החולים גדל, ולא נדרש מאמץ רב כדי לייצר אפקט משמעותי בבית החולים, שיכול להגיע בדרך קיצון גם למוות”.
איך אפשר להגן על בתי חולים?
“אתה צריך ‘מודיעין סייבר’, כל מיני גופים שמזהים תקיפות סייבר שקורות בעולם, ובדרך כלל יש להן חתימה דיגיטלית. ברגע שאתה מזהה את החתימה ולומד דפוסי התנהגות של התוקף בעולם, כשהוא יגיע לבתי החולים בארץ, תוכל לחסום אותו. בנוסף, צריך צוותי התערבות שיתחילו תהליך התאוששות של בית החולים וחזרתו לשגרה”.
כמה זמן נמשך תהליך התאוששות?
“זה תלוי בנזק שנגרם לבית החולים. בתקיפות סייבר, למשל, מצפינים לך את כל הרשת, ואם יש לך מערכות התאוששות טובות, זה יכול לקחת כמה שעות ועד חודש כי אתה צריך לשחזר אלפי שרתים. זה לא כזה פשוט. אם אין לך תשתיות גיבוי ותשתיות התאוששות טובות, אתה בגדול מתחיל מאפס. איבדת מידע ואתה מרים את כל המערכות מחדש. זה בעייתי כשמדובר בבית חולים שבו נמצאים נתוני מטופלים”.
איך אתם מטפלים בנושאים כאלה?
“צריכה להיות שכבת הגנה נוספת על מאגרי המידע הקריטיים. אם יש לך בית חולים שיש לו מסד נתונים מפורטים שמחזיקים את המערכות הרגישות, צריך לתפור להם מערכת הגנה ייעודית, כך שגם אם משתלטים לך על הרשת, כשהם מגיעים למחשב הם נתקלים בחומה בצורה. בסופו של דבר, ההגנה תלויה הרבה במשתמשים עצמם בבתי החולים. לפעמים הם נכנסים לוואטסאפים שנמצאים על מחשב המערכת, ואם יש הודעה עם באג, זה יכול לאפשר להאקרים לתקוף את כל המערכת של בית החולים. המשתמשים עצמם צריכים להיות זהירים מאוד, לדאוג לעדכן את המערכת ולהיות מנוסים בהתמודדות עם תקיפה. בהקשר זה, ישראל נמצאת במקום לא רע כי המודעות גבוהה, ונעשים מאמצים רבים להשתפר. לא צריך להיבהל כשקורות פריצות כמו בהלל יפה. אפשר להפיק לקחים וללמוד”.
ממערך הסייבר הלאומי של משרד הבריאות נמסר: "המערך נמצא בקשר רציף עם מנהלי הסייבר ואבטחת המידע של בתי החולים הן בשגרה והן בחירום, ובתי החולים אחראים בשטח על יישום תעדוף ותקצוב הנחיות המערך. בנוגע לאירוע הסייבר במרכז הרפואי הלל יפה, המערך מעדכן באופן רציף את ארגוני הבריאות בהתאם להתקדמות החקירה. כמו כן, המערך פועל מסביב לשעון להשבת המערכות והמידע בשיתוף חטיבת המרכזים הרפואיים וגורמים נוספים".