עולם הרפואה הדיגיטלית מציב מספר בעיות קשות, שמבדלות אותו מתחומי הארגונים האחרים. ניתן לציין, בין היתר, את בתי החולים, ששייכים לבעלויות שונות ומתוך כך נתונים לעתים לרגולציה משתנה ואפילו מתנגשת במקרים מסויימים; את הקישור המתחייב בין המערכות הרפואיות למערכות אחרות (משרד הפנים, שירותי בריאות, בתי חולים ועוד), קישור המהווה ממשק כניסה לתקיפה; ואת ריבוי המערכות והשירותים השונים, אשר נשענים לעתים על מערכות הפעלה שונות - בחלקן מיושנות ובלתי ניתנות לעדכון בזמן קצר.
בעיה אקוטית מאוד היא חוסר ברגולציה הגנתית כלפי יצרני וספקי הציוד הרפואי הדיגיטלי, אשר בו תלויה הרפואה המודרנית.
בעיה נוספת - חוסר הבנה בקרב המנהלים את עולם הסייבר וסיכוניו, והמחשבה הנובעת מכך, כי מדובר בטכנולוגיה בלבד, תוך התעלמות מהצורך בשינוי תרבות ארגונית וגילוי מנהיגות ומחויבות אישית של הנהלת הארגון לתחום ההגנה.
בין יתר הסיכונים למגזר הבריאות ניתן למנות למשל חדירה, שיבוש וגניבת מידע מרשומות רפואיות; שינוי מינון של תרופות למטופלים; הצפנת מערכות מידע ומחשבים (ראו נזקי אירוע תקיפת הסייבר במאי 2017 במערכת הבריאות הבריטית); תקיפת מיכשור רפואי בבתי חולים (רובוטים לניתוח רפואי מרחוק וכדומה) וכן מיכשור רפואי אישי (קוצבים, מזרקי אינסולין וכדומה); שינוי רמות חמצן במערכות הנשמה; שיתוק מערכות מצילות חיים; חסימת תקשורת; השבתת חשמל ; שינוי רמת הטמפרטורה של מכשירי הסי-טי - דבר שעלול לגרום לכוויות בקרב המטופלים - ועוד.
חוסר התאמה לרגולציה
במסגרת כנס שהתקיים במאי 2018 נמסר, כי במהלך השנה שקדמה לכך חוו 48% מארגוני הבריאות בעולם תקיפות סייבר, דלף נתונים וחוסר הלימה לרגולציה (יצויין, כי מדובר בארגונים אשר השכילו להבין כי מדובר בבעיה. לא תמיד ארגון מבין ומכיר כי הותקף). באותו כנס נמסר, כי 65% מהתקיפות בוצעו על-ידי גורמים חיצוניים, בעוד 35% על-ידי עובדים פנימיים. עוד עלה, כי קרוב ל-50% מהתקיפות הצליחו בשל שיתוף מידע עם גורמים "צד ג'".
מערכות בריאות רבות עושות שימוש במערכות מיושנות, שקיים קושי לעדכן ולשדרג את רמת אבטחתן. מדובר לעתים במאות רבות של עמדות, עליהן עובדים לעיתים אלפי עובדים בעלי הרשאות מסוגים שונים וידע מועט, תוך שינוע מידע בין מוסדות, מטופלים, רופאים ומטפלים, שימוש בערוצי תקשורת שונים ונקודות גישה רבות, ממשקים עם ספקים, רשויות ולקוחות, כניסת שירותים ומערכות מנוהלות IOT, אשר מאפשר תקשורת מתקדמת בין מכשירים שונים, מתן יכולות איסוף והחלפת מידע, תוך אפשרות חיבור לאינטרנט והישענות על רכיבים משותפים ומעבר מידע ועדכונים ביניהם בכל מקום ובכל זמן, בתהליכים אוטומטיים.
אחת הבעיות הקשות בתחום הטכנולוגי קשורה לייצור מערכות רבות במזרח הרחוק. תלות זו ברכיבים מאסיה יוצרת הזדמנות פז עבור גורמים מסויימים "לשתול" מרכיבים זדוניים למיניהם ברכיבים הללו ולמעשה לשלוט בהם ובפעילותם במידת הצורך.
תפיסת הגנה הוליסטית
מאפייניהם הייחודיים של מרחב הסייבר ושל עולם הבריאות הדיגיטלית, מאפשרים לתוקף להעצים את אפקט הפגיעה, בגלל הנגישות הרבה של אוכלוסיות למערכות המידע והתפעול, כולל המערכות המוטמעות בגוף האדם, ואף בגלל אפשרות היווצרותו של אפקט פסיכולוגי שיש לו השפעה המונית במקרה של פגיעה מוצלחת (או אף שמועה על סכנה לפגיעה). מרחב הסייבר הוא כר לניצול בידי גורמי טרור, פשע וריגול. משום כך הוא מהווה מוקד לפגיעה כלכלית ולערעור הסדר הציבורי.
ציבורים גדולים אינם ערניים דיים לסכנות הקיימות במרחב הקיברנטי. יעדים מועדפים לפגיעה על-ידי יריבים הם תשתיות שירותים אזרחיות, דוגמת מערכות בריאות. טיבו של איום הסייבר כאיום גלובלי שאינו תחום לגבולות מדינה אחת, מגביר את הקשיים לזהות תוקף זיהוי מוקדם, ואת הצורך לקיים שיתופי פעולה בתחום ההגנה.
קיים צורך לקיים אסטרטגיה מדינתית וארגונית כוללת להגנה. תפיסת ההגנה צריכה להיות הוליסטית ופרו-אקטיבית, עליה להקיף את כלל העובדים (בכלל צורות ההעסקה) והמערכות המקושרות - תשתיות, מיכשור, מאגרי מידע וכדומה. כל שרשרת האספקה מחייבת בחינה והגנה בראייה אחודה (חוזקה של השרשרת נמדד כידוע על- פי חוזק החולייה החלשה). תפיסת ההגנה צריכה לכלול רכיבים שונים, בכללם מניעה, קישור לגורמי מודיעין לצורך איסוף מידע עדכני על יריבים ושיטות פעולה, הפעלת גופי ביקורת ובקרה, בדיקות חדירה ועוד.
מטרות האסטרטגיה צריכות להיות:
- יצירת מרחב סייבר מוגן ובטוח, שיאפשר למערכת הבריאות לממש את יעדיה.
- אבטחת התשתיות החיוניות של המערכת והארגונים השונים באופן שוטף.
- אבטחת מערכות מידע בארגוני הבריאות ובממשקי המערכת, הנמצאות בשימוש מוסדות, מטופלים, רופאים ומטפלים ובשימוש של עסקים קטנים ובינוניים המהווים את שרשרת האספקה של הארגונים באמצעות הקמת מערכות לאבטחה בסיסית.
- קישור קבוע לגורמי מערך הסייבר הלאומי, שינתח תקיפות ויגבש המלצות במועדים קבועים, או על פי האירועים בעת התרחשותם, וכן יעסוק בשיתוף מידע.
- שימוש בטכנולוגיות אמינות ומאובטחות בתחומי מערכות המידע המשמשות בארגוני הבריאות.
- פיתוח והכוונת כוח אדם במערכת הבריאות.
- פיתוח כלים ויכולות להתמודדות עם איומי סייבר רלוונטיים באמצעות תרגול שוטף.
- פיתוח ויצירת מערכת הדרכה להעלאת המודעות והטלת אחריות אישית על כל המשתמשים בארגוני הבריאות (מרמת ההנהלה הבכירה ומטה) להגנת מידע.
- התאמת מענה לאיום הסייבר, תוך ניהול סיכונים ושיתוף מידע מירבי עם גופים דומים.
כדי לממש אסטרטגיה כזו, יש צורך ב:
- העמדת התשתיות החיוניות של מערכת הבריאות בראש סדר העדיפויות להגנה בסייבר.
- הרחבת מערך ההגנה ומתן סמכויות להנחייה, אכיפה, פיקוח וניטור על כלל הפעילות הרלוונטית בארגוני הבריאות.
- לימודים, הסברה ותמריצים להגנה לכלל העובדים במערכת הבריאות בכלל צורות ההעסקה.
- גיבוש יכולת תגובה ויצירת מדיניות הרתעה מול יריבים פוטנציאליים.
- החלת סטנדרטיזציה של תקנים מינימליים לאבטחת סייבר בארגוני הבריאות ובממשקיהם (בכלל שרשרת האספקה), תוך פיתוח מנגנוני ביקורת ואכיפה של תקנים אלה.
- הגברת נגישותם של משתמשי קצה לפתרונות אבטחה בסיסיים זמינים.
- תיאום ושיתוף פעולה עם מערך הסייבר הלאומי ועם גופים דומים בהתמודדות מול תקיפות קיברנטיות, תוך פיתוח פלטפורמות לייעול תהליכי שיתוף מידע וידע על אודות האיומים הרלוונטיים.
ד"ר הראל מנשרי - הכותב הוא ראש תחום הסייבר במכון הטכנולוגי חולון. לשעבר ממקימי מערך הסייבר של השב"כ.
