מוסדות הבריאות בישראל לא ערוכים למתקפת סייבר כמו זו שאירעה בבית החולים הלל יפה, כך הקובע מבקר המדינה בדוח שפרסם היום (שלישי). כך, בשנתיים שקדמו לביקורת, עלה כי שישה מוסדות לא ביצעו עדכון לרשימת המשתמשים בעלי הרשאות לוגיות (שם משתמש וסיסמה) למערך המכשור הרפואי, אמצעי אבטחה בסיסי יחסית.
לטענת מבקר המדינה, בעשור האחרון גברו תקיפות הסייבר על ארגונים ועל אנשים פרטיים ברחבי העולם, ובשנים האחרונות גברו גם איומי הסייבר על מוסדות רפואיים. בשנת 2020 נעשו כ-9.5 מיליון ניסיונות למתקפות סייבר ברחבי העולם שמטרתן להשבית מערכות מחשוב. הגנת סייבר (אבטחת מידע) במכשור רפואי לרבות מכשירי דימות, היא תהליך שמטרתו למנוע מגורם בלתי מורשה לבצע שינוי במידע שנאגר במכשירים הרפואיים; שימוש בלתי מורשה או שימוש לרעה במידע הרפואי שנאגר במכשיר הרפואי, שמעובד בו או מועבר מהמכשיר הרפואי ליעד חיצוני; וכן פגיעה בפעילות המכשיר הרפואי.
באמצע אוקטובר 2021, במהלך תקופת הביקורת, פרצו פצחנים למחשבים ושרתים במרכז הרפואי הלל יפה שבחדרה. התקיפה הובילה לשיבוש פעילות המרכז הרפואי, וגרמה להסטת חולים מהמרכז הרפואי למרכזים אחרים, למעבר לעבודה ידנית ולא ממוחשבת, למניעת גישה למידע הרפואי של המטופלים ועוד. תקיפה זו מחדדת את החשיבות להיערכות.
בביקורת עלה כי כשש שנים לאחר קבלת החלטות הממשלה 2443 ו-2444 בנושא היערכות לאומית וקידום אסדרה לאומית בהגנת הסייבר (בשנת 2015), ועל אף החשיבות הלאומית שבהסדרת הגנת הסייבר, לא הוסדרו סמכויות מערך הסייבר הלאומי כלפי היחידות להכוונה מקצועיות במשרדי הממשלה (יחידות מגזריות) לרבות במגזר הבריאות.
עוד עלה כי משרד הבריאות לא השלים את גיבוש הנחיותיו בתחום הגנת הסייבר הכוללות עקרונות יסוד לניהול הגנת סייבר וכלים להתמודד עם אירוע סייבר, והן לא הופצו; במסגרת בקרות הרישוי שביצע המשרד במרכזים הרפואיים בשנים 2019 ו-2020 הוא לא ביצע בקרה בנושא ההגנה על מכשור רפואי; וכן לא מבצע מעקב סדור אחר תיקון ליקויים שעלו בדוחות הבקרה שביצע בנושא אבטחת מידע, ובכך לא מוודא את אי-הישנותם; ה-SOC (מרכז לניטור, לשליטה ולבקרה על אירועי סייבר) של משרד הבריאות מאויש חלקית - בשעות מסוימות בימי חול ועלו פערים מסוימים בפעילותו; הנחיות אגף ציוד רפואי (אמ"ר) במשרד הבריאות שעוסק ברישום מכשירים רפואיים ובמתן היתרי יבוא ושיווק שלהם לארץ אינן נוגעות לצורך בעמידתם בתקני אבטחת מידע.
מוסדות הרפואיים נבדלים ביניהם במידה רבה מבחינת היחס בין מספר עובדי המוסד העוסקים בתחום אבטחת המידע או הגנת סייבר ובין מספר העובדים במוסד: בחמישה מוסדות יש איש צוות אבטחת מידע ל-1,000 עובדים ומטה ובשלושה יש איש צוות אחד ל-3,000 עובדים; שישה מ-11 מרכזים רפואיים כלליים-ממשלתיים הקצו להגנת סייבר בממוצע בשנים 2020-2015 שיעור קטן מזה שקבעה החלטת הממשלה - 8% מההקצאה התקציבית לאבטחת מידע; במועד ביצוע הביקורת לכל המרכזים הרפואיים הממשלתיים לא היה ביטוח סייבר.
בנוגע לשאר המוסדות הרפואיים, לחלקם היה ביטוח סייבר ולחלקם לא; חמישה מוסדות רפואיים לא כללו בתוכנית העבודה שלהם לשנים 2020 ו-2021 התייחסות לשיפור ההגנה על מכשור רפואי ואבטחת המידע הנאגר בו; שמונה מ-17 מהמוסדות הרפואיים לא ביצעו ביקורת פנים בתחום אבטחת מידע; 13 מ-17 מוסדות רפואיים לא ביצעו סקר סיכונים בנושא מכשור רפואי; 11 מ-17 המוסדות רפואיים לא הגדירו קבוצות סיכון למכשור הרפואי לפי סיווגי סיכון.
מתוך 17 המוסדות, לשניים אין תוכנית להתאוששות מאסון (למשל מתקפת סייבר על תשתיות מערכות המידע של המוסד הרפואי) או תוכניות להמשכיות עסקית (יכולתו של ארגון להמשיך בפעילותו הרגילה); לשישה אין אתר חלופי (DR) זמין לטובת המשך פעילות מערכות המידע במקרה של אסון; 13 לא שילבו בתוכניות שלהם להתאוששות מאסון או בתוכנית להמשכיות עסקיות את אופן הטיפול וההתאוששות של מערך המכשור הרפואי.
מתוך 17 המוסדות שנבדקו, חמישה לא כללו בנוהלי הרכש שלהם התייחסות להיבטי אבטחת מידע במכשור הרפואי, ולאחד אין נוהל רכש; חמישה לא התנו את רכישת המכשור הרפואי בכך שממונה אבטחת המידע יאשר את ביצוע הרכש, ולעיתים מוסדות רפואיים שדרשו בנוהליהם אישור של ממונה אבטחת המידע לצורך הרכש רכשו בפועל את המכשירים בלי שהתקבל אישור לכך; כמו כן ניכרים פערים בין סוגי בדיקות אבטחת המידע שביצעו המוסדות הרפואיים בעת רכישת מכשור רפואי ולפני התחלת השימוש בו ומספרן, ובכלל זה הסרת יישומים שאינם נדרשים מהמכשיר וסריקת המכשיר באמצעות כלי לזיהוי נוזקות, פוגענים ופעילויות חריגות.
מבין 17 המוסדות הרפואיים שנבדקו שישה לא מיפו את כל המכשירים הרפואיים שברשותם; לא כל המוסדות כללו במיפויים שעשו את מאפייני אבטחת המידע העיקריים של המכשירים; קיימים חוסרים מהותיים במערך ההגנה שהמוסדות הרפואיים הטמיעו ברשת לצורך הגנה על מכשור רפואי ובכלל זה מכשירי דימות מסוג MRI ו-CT, ובחלק מהמוסדות יש שילוב של חוסרים המגבירים את חשיפתם של המכשירים לסיכוני אבטחת מידע; 11 מ-17 המוסדות לא גיבשו נוהל להסדרת עדכוני תוכנה, הנדרש על מנת להבטיח פעולה רציפה ובטוחה של המכשור הרפואי, ועשרה מוסדות לא תיעדו את עדכוני גרסאות התוכנה שביצעו במכשירים רפואיים; 14 מוסדות לא ביצעו מבדקי חדירה שכללו תקיפה של מכשור רפואי בשנים 2021-2018, כפי שקבע נוהל משרד הבריאות.
הרשאות גישה, ניהול רשימת משתמשים ומדיניות סיסמאות הם כלי מרכזי ביישום מדיניות אבטחת מידע בכל ארגון. שבעה מוסדות לא ביצעו לפחות פעם אחת עדכון של רשימת המשתמשים בעלי הרשאות לוגיות (שם משתמש וסיסמה) למערך המכשור הרפואי בשנים 2020-2019; בשני מוסדות יש מכשירי רנטגן ללא בקרת הרשאה פיזית (חדר נעול) וללא בקרה הרשאה לוגית. בשני מוסדות רפואיים אין בקרות הרשאה פיזיות ולוגיות על חלק ממכשירי אולטרסאונד הנשים. בארבעה מוסדות רפואיים לא קיימת בקרת הרשאה לוגית בשום סוג של מכשירי הדימות שנבדקו.
בדוח צוין לחיוב כי בשנת 2016, עוד לפני שניתנה הנחיית מערך הסייבר הלאומי, החליט משרד הבריאות להקים SOC מגזרי שייתן שירות למוסדות רפואיים - יפעל כמרכז המשמש לניטור אירועי סייבר וכן לשליטה ולבקרה עליהם. ה-SOC החל לפעול בסוף אותה שנה.
המבקר אנגלמן ציין כי איומי הסייבר על מערכת הבריאות הולכים ומתרבים, הם ממשיים ואינם רק בגדר איום, ניסיונות תקיפה של פצחנים מתבצעים כל העת. תקיפות כאלה עלולות להוביל לשיבוש בפעילות השוטפת של המוסדות הרפואיים, לזליגה של מידע רפואי של מטופלים ולגרימת נזק למכשירים רפואיים חיוניים. ואולם לא מדובר רק בניסיונות תקיפה של פצחנים אלא גם בניסיונות מצד גורמים בעלי עניין שיש להם גישה למערכות ולמכשור ומעוניינים לפגוע בהם או לשבש את פעילותם. נוסף על כך, אף פעילות שגרתית ותמימה עלולה להביא לפגיעה במערכות המידע, במאגרי המידע ובמכשור רפואי. איומים אלה מחייבים את משרד הבריאות ואת הנהלות המוסדות הרפואיים לשים את הדגש הראוי על סיכוני אבטחת המידע הכרוכים בשימוש במכשירים רפואיים ועל הדרך הראויה להתמודדות עימם.