המתקפה בשבוע שעבר על בית החולים "הלל יפה" בחדרה אמנם הפתיעה רבים בציבור, אך תקיפות סייבר על בתי חולים הן לא תופעה חדשה. הנה מספר דוגמאות בהן הנושא עלה כקריטי בשנים קודמות:
בחודש אוקטובר 2020 ה- CERT האמריקאי יחד עם ה- FBI וה- DOH הוציאו הודעה משותפת שכללה אזהרת תקיפה על בתי חולים.
בחודש יוני 2018 צוטט פרופ’ רוני גמזו, מנהל בית החולים איכילוב, לפיה "כ-90% מבתי החולים בישראל אינם מוגנים מפני תקיפות סייבר".
ב- 12 למאי 2017 אירעה מתקפת הסייבר הגדולה ביותר שידע העולם עד אז. במתקפה נפגעו מעל 45 אלף מחשבים בכ-100 מדינות שונות. הנזק המשמעותי ביותר נגרם בבתי החולים בבריטניה.
בשנת 2016 פורסם על-ידיKPMG סקר שכ-81% מהמוסדות הרפואיים נפלו קורבן למתקפת סייבר בשנתיים האחרונות. מה שמטריד אפילו יותר ועלה מהדו"ח הוא שכמחצית מבתי החולים האלה סבורים שהם לא ערוכים למנוע מתקפות דומות בעתיד.
הטמעת נהלים
אז מדוע תחום הרפואה מועד לפורענות?
בתי החולים בישראל ובעולם משקיעים הרבה מאוד כסף בדיגיטציה ובחיבורים לרשת. אלה אמנם שיפרו משמעותית את איכות השירותים הרפואיים בשנים האחרונות ואיפשרו רצף טיפולי, תוך שיתוף מידע בין ספקים פנימיים וחיצוניים וגישה של חולים למידע רפואי קריטי, אבל בו בזמן, הם מספקים גם ערוצי הסתננות נוחים במיוחד להאקרים בעלי כוונות זדוניות. מאחר שבשוק השחור, מידע רפואי שווה פי-עשרה או פי-עשרים יותר מפרטים של כרטיסי אשראי, תעשיית הבריאות היא מטרה חביבה במיוחד לפושעי סייבר, שעלולים אף לזייף מסמכים ולשבש טיפול בחולים, או לחדור לפרטיות החולים ולשאוב מידע. במקרים מסוימים, התקפות הסייבר יכולות לעלות בחיי אדם.
בתי חולים עם מערכות מאד מורכבות ואילוצים רבים הינם ארגונים פגיעים במיוחד לתקיפות ומכיוון שעדכון גרסת אבטחה דורש הורדה של המערכות מהאוויר לפרק זמן (Downtime), הרי מסיבות מובנות בתי החולים נמנעים מלהשבית את המערכות למשך זמן ולכן לרוב לא מבצעים עדכוני מערכת באופן שוטף.
פתרונם של חלק מאתגרי האבטחה נמצאים בחינוך אנשי הצוות הרפואי. למשל, ביישום הנחיה שלא להשאיר מחשב פתוח כשלא נמצאים לידו ונעילה אוטומטית לאחר פרק זמן מסויים. הטמעה ארגונית של נהלי אבטחת מידע, אימות דו-שלבי, הפרדה בין עמדות מוקשחות לשרתים ותחזוקה שוטפת של מערכות - כל אלה יכולים לסייע במזעור הסיכון.
אנחנו כמובן לא מחפשים אשמים, וכרגע זה הזמן לחכות בסבלנות לסיום האירוע על מנת להפיק לקחים. לכן אני רוצה לציין לטובה את דברי ד"ר אמנון בן משה, המנהל התפעולי של בית החולים הלל יפה, שאמר כי "בחודש יולי האחרון עברנו את כל המבדקים כולל מבדק ISO בתחום אבטחת מידע. קיבלנו ציונים מאוד-מאוד גבוהים. רק אתמול, מי שממונה על הנושא הזה במערכת הבריאות אמר לי: 'אם הייתי צריך להצביע על אחד מבתי החולים היותר מוגנים, הייתי מצביע על הלל יפה'".
קבוצת תקיפה מתמחה מה צופן לנו העתיד?
אירוע הכופר בבית החולים "הלל יפה" הוא כנראה אירוע הסייבר החמור ביותר במערכת הבריאות הישראלית עד כה. אך כאמור, זה לא טרנד חדש שמתחיל בימים אלה, אך זה טרנד שמתעצם. נתעכב על שתי תקיפות סייבר שקרו בחודש אוקטובר 2021 וכוונו כנגד שירותי רפואה באינדיאנה, ארה"ב: תקיפה ראשונה על Johnson Memorial השביתה את כל המחשבים. תקיפה נוספת, על Eskenazi Health, השביתה את חדרי המיון לזמן מה ובית החולים הודה כי האקרים גנבו ופרסמו מידע רפואי, פיננסי ודמוגרפי על מטופלים ועובדים, לרבות שמות, כתובות, מספרי ביטוח לאומי, פרטי כרטיס אשראי, מידע על מרשמים ופרטי ביטוח.
עכשיו מתחיל להתגלות שקיימת קבוצת תקיפה בשם FIN12 שמתמקדת דווקא בתחום הרפואי. מניתוח של כל התקיפות שביצעו, כ- 20% מהם היו על מוסדות רפואיים וזה לא אקראי.
יש להפריד בין שני המקרים בארה"ב שכללו אירוע משבית (כופרה) ואירוע של דלף מידע. תקיפות כופרה הן לרוב משהו גנרי יותר שמופץ בעקבות קמפיין אימייל או ניצול חולשות ידועות במערכות. לעומת זאת, באירוע דלף מידע, בו יש חשיבות לנושא המידע, בתי חולים חשופים יותר. אך גם באירוע כופרה ההתאוששות מגיבוי היא אף פעם לא קלה כמו שהיא נראית, בוודאי כשמדובר בארגוני בריאות גדולים עם מערכות מורכבות. עבור ארגון עם מאות או אלפי מחשבים, התקנה מחדש של כלל מערכות ההפעלה והמחשבים בכל הארגון תיקח זמן רב.
הגנת הנתונים היא קריטית
אחד הדברים הטובים שקרו בעקבות הקורונה הוא המעבר המהיר לדיגיטליזציה, שכמובן השפיע על התחום הרפואי. במקום ללכת לרופא פיזית, אפשר לקבוע תור מרחוק ואפילו להשתמש בציוד תקני ביתי שמשדר לרופא או לבית החולים את הנתונים והמדדים ובכך להוריד עומסים מבתי חולים, תוך קבלת טיפול ביתי סטרילי. בארץ כבר נפוץ לקבוע תור וירטואלי בקופות החולים באמצעות אפליקציה.
בארה"ב הנושא של החזר הוצאות על טיפול מרחוק נמצא בצנרת החקיקה בדרך להסדר קבע. מה שהחל בתקופת הקורונה, כשמטופלים יכלו לקבל החזרים על הוצאות של רפואה מרחוק בגלל היעדר אפשרות לקבל שירות פיזי, כנראה ייהפך לקבוע. לטענת גורמים בתחום בארה"ב, השוק הזה מגלגל טריליוני דולרים, וכרגע יש הרבה חברות שמפתחות ומספקות טכנולוגיה לשירותי רפואה מרחוק. לאחרונה פגשתי בעלים של אחת מהחברות שהשקיעו בתחום. מדובר בחברה פרטית שמחזיקה במספר רב של בתי חולים ובתי אבות בחוף המזרחי, וכבר עכשיו מצרפת לשירותי ה- Telehealth שבבעלותה עשרות אלפי משתמשים חודשים. כאשר שאלתי אותו מהו הדבר הכי חשוב לו, הוא ידע להסביר שהנושא של הגנת הנתונים היא קריטית, מכיוון שבארה"ב יש רגולציה מאוד נוקשה של תקנות HIPPA )המטרה המרכזית של HIPAA הינה שמירה על פרטיות המידע הבריאותי של המטופלים, תוך מתן אפשרות לשימוש בטכנולוגיות חדישות לשיפור האיכות והיעילות של הטיפול במטופלים). HIPAA מובילה בעולם ברגולציה להגנה על מידע רפואי ועל כל פעולה הקשורה במידע זה, ומגדירה כי כל אדם זכאי לפרטיות מלאה בנושאים רפואיים, מה שהופך אותה למודל חיקוי עולמי. החשש הגדול של חברות בתחום Telehealth הצומח, ממוקד בסיכון שהמידע יזלוג מהמערכת בתקיפות פשוטות יחסית על ה- API, המידע הרפואי החסוי ייחשף ו-HIPPAA ינקטו בסנקציות חמורות, ואולי אפילו יסגרו את הפעילות.
לסיכום, תקיפות הסייבר על התחום הרפואי נמצאות בקו עלייה והן רק בתחילת הדרך. ההאקרים יעדיפו לתקוף מערכות רפואיות Telehealth מרחוק שפתוחות להתממשקות, ושהמידע שם הוא בעל ערך משמעותי. כעת האתגר של המגזר הרפואי הוא להתאים את עצמו לשינויים העתידיים.
הכותב הוא מייסד שותף בחברת L7Defense- API SECUITY ומייסד של קהילת Israel Cyber Group
