הפעילות של תעשיית הבריאות – מאבק במחלות והצלת החיים – היא לא רק אצילית, אלא גם בעלת משמעות אדירה עבור כל בני האדם ועדיין, מדובר בתעשייה שפעמים רבות מוצאת את עצמה תחת מתקפה של פושעי סייבר. הדבר נכון בשגרה ועל אחת כמה וכמה בזמן חירום. הסיבה לאיום הקבוע פשוטה: ארגוני הבריאות מחזיקים בכמויות אדירות של נתונים אישיים, רפואיים ופיננסיים בעלי ערך רב.
מטרת התוקפים היא לגנוב נתונים ולהשתמש בהם כדי לפרוץ למערכות אחרות בארגון, למכור אותם לפושעים אחרים או להחזיק בהם תמורת כופר. לכן, אסטרטגיית אבטחת סייבר בתעשיית הבריאות הופכת לחשובה יותר בכל יום שעובר, היות וארגונים רפואיים מסתמכים בצורה גוברת על מערכות מידע של בתי חולים כמו מערכות רשומות בריאות אלקטרוניות (EHR) ומערכות רישום הזמנות רפואיות. המטרה של אבטחת הסייבר בתעשיית הבריאות מתמקדת במניעת מתקפות סייבר באמצעות הגנה על מערכות רפואיות חשובות אלו מפני גישה, שימוש וחשיפה לא מורשים של נתוני המטופלים. אבטחת סייבר וניהול נתונים יעילים הם קריטיים להבטחת הזמינות של שירותים רפואיים וחיסיון נתוני המטופלים, שאם ייפגעו, עלולים לסכן את חייהם.
ניהול והגנה על נתונים
תעשיית הבריאות ומערכות תיעוד רפואי הן מטרות נחשקות מאוד עבור פושעי סייבר וכתוצאה מכך, מותקפות בתדירות גבוהה. התוקפים יודעים כי כל איום על חיי המטופלים יכול לגרום להשלכות מרחיקות לכת עבור ארגוני הבריאות, מה שיהפוך אותם לנואשים ומוכנים לשלם את דמי הכופר.
בנוסף לכך, התוקפים לא מתמקדים רק במערכות ניהול מידע שעליהן מסתמכת תעשיית הבריאות. מדובר גם במערכות חכמות תעשייתיות (IIoT), אשר מפעילות את החימום, האוורור ומיזוג האוויר (HVAC) של הבניינים וגם מעליות שהתוקפים יכולים לנצל. מבחינת התקנים המאיימים בצורה ישירה יותר על מטופלים, ארגונים רפואיים מסתמכים יותר ויותר על התקנים רפואיים (IoMT) כמו מכונות לחץ דם, משאבות עירוי ומכונות ניטור מרוחקות, שניתן לפרוץ אליהן ולהשתמש בהן כדי לקבל גישה לרשת של הארגון.
שטח התקיפה המתרחב עקב פריסה של טכנולוגיות חדשות, רפואה מרחוק ופריסות אחרות, הפך גם הוא את תעשיית הבריאות לפגיעה יותר. משתמשים חיצוניים מקבלים באופן גובר גישה למשאבי הרשת של מערכות הבריאות וגם התקני IoMT חדשים מתווספים לרשת – כאשר רבים מהם לא תוכננו מתוך מחשבה על אבטחה, מה שהופך אותם לפגיעים למתקפות סייבר.
נקודות החולשה המרכזיות
כדי להגן על מטופלים ועל הנתונים שלהם ולספק עבורם את חווית הטיפול הטובה ביותר, הרשתות של ארגוני הבריאות זקוקות לאבטחת סייבר הוליסטית מקצה-לקצה בכל נקודות הטיפול ובכל המתקנים. כדי לעשות זאת, יש להבין תחילה את נקודות החולשה המרכזיות של ארגוני הבריאות בתחום אבטחת הסייבר בהן מתמקדים התוקפים, אשר זקוקות להגנה:
דואר אלקטרוני – הדואר האלקטרוני עדיין משמש כאמצעי התקשורת המרכזי בתוך ארגוני הבריאות, מה שהופך אותו לנקודת חולשה מרכזית להשקת מתקפות. סוגי המתקפות שפושעי הסייבר מפעילים כוללים פישינג, Spear Phishing, הנדסה חברתית ומתקפות כופר.
התקני IIoT ,IoT ו-IoMT – להתקני IoT כמו מערכות חימום חכמות או מכונות ניטור מטופלים מרחוק עלולה להיות השפעה משמעותית על רווחת המטופל ולעיתים קרובות האבטחה שלהם לוקה בחסר, מה שהופך אותם למטרות מועדפות עבור פושעי סייבר המחפשים לקבל גישה לרשת.
התקני IoMT המשמשים לשיפור והארכת חיים ושיפור יעילות הצוות הטיפולי, הופכים את מערכת היחסים בין המטופל והצוות הרפואי לפשוטה יותר. בנוסף לכך, הטכנולוגיה הדיגיטלית מאפשרת לספקים בארגוני בריאות שונים לתאם את הטיפול בצורה רציפה יותר. גם התקנים אלו אינם מוגנים כראוי וניתן לנצל אותם כדי לקבל גישה לרשת.
מערכות רשומות בריאות אלקטרוניות – צוותים רפואיים משתמשים במערכות רשומות בריאות אלקטרוניות כדי לעקוב אחר המידע וההיסטוריה הרפואית של המטופלים. מדובר במידע אישי ורגיש ביותר, שאם ייגנב ויפורסם בפומבי, הדבר עלול לגרום לנזק רב. מדובר בתרחיש שעלול להוביל למתקפת כופר.
התקנים פיזיים – כאשר מדובר במחשבים ניידים, סמארטפונים והתקנים פיזיים אחרים אשר משמשים במצבים רפואיים, יש סכנה של גניבה, פריצה ותמרון שלהם, מה שעלול להוביל לאובדן של מידע חסוי, שייפול לידיים של גורמים בעלי כוונות פליליות.
מערכות ישנות – מערכות ישנות, אך כאלו שעדיין לא יצאו משימוש ושאינן נתמכות על ידי היצרן, עלולות להוות הזמנה פתוחה למתקפות של פושעי הסייבר. לכן, מערכות אלו צריכות לקבל תשומת לב קבועה כדי לשמור על אבטחתן ולמנוע את ניצולן.
יישום שיטות עבודה מומלצות
ביסוס תרבות אבטחה – על מומחי ה-IT והאבטחה בתעשיית הבריאות לבסס תרבות אבטחה בארגונם באמצעות עריכה קבועה של הערכת סיכונים והדרכת העובדים בנושאי אבטחת סייבר, מה שחייב לכלול גם את ההנהלה הבכירה, אשר חבריה יכולים ליפול בקלות קורבן למתקפה מסוג Spear Phishing.
כמו כן, צוותי אבטחת הסייבר יכולים להנחיל דפוס חשיבה שלוקח את האבטחה בחשבון בארגונם על ידי תרגול הרגלי מחשב טובים, שימוש בסיסמאות חזקות והחלפתן בקביעות ותרגול מודעות לסביבתם הפיזית ולאפשרות של גניבת מכשירים ניידים.
פיתוח תוכנית תגובה לאירועי אבטחה – מנהלי אבטחת מידע ומנהלי אבטחה צריכים להיות מוכנים ולפתח תוכניות תגובה מבוססות לאירועי אבטחה יחד עם צוותי ה-IT ואבטחת הסייבר שלהם. על הארגון לנקוט בגישה יזומה ולא בגישה של תגובה לאירוע. החוכמה היא לצפות לבלתי צפוי ולהכין תוכנית מראש. מומלץ להיעזר בשירותי התגובה והמוכנות לאירועי אבטחה של ספקי אבטחת הסייבר בעת פיתוח תוכנית התגובה של הארגון.
פריסת פתרונות אבטחה בעלי אוטומציה והתממשקות – ארגוני הבריאות צריכים להחזיק בפתרונות אבטחת סייבר מתקדמים הכוללים התקני אבטחת רשת של הדור הבא, יחד עם התקנה ותחזוקה של תוכנת אנטי-וירוס. אך אלו רק היסודות. חלוקת רשת יכולה להפחית את ההשפעה של פרצה, כמו גם פתרונות אסטרטגיים אחרים, המאפשרים רפואה מאובטחת מרחוק, כמו ZTNA ו-SD-WAN, ההכרחיים ככל שתעשיית הבריאות ממשיכה להתפתח.
בשיתוף פורטינט ישראל
