מאי 2017, יום שישי, 22:00. סגן שרת הבריאות באנגליה מכנס מסיבת עיתונאים ומפציר באזרחי הממלכה שלא להגיע לבתי החולים, מעל 150 שכאלה, מאחר וקוד זדוני השבית את מערכות המחשוב. המשמעות היתה מפחידה - עברת תאונת דרכים? לחץ בחזה? אירוע מוחי? מצטערים, אין מחשבים. הם מושבתים. אין דרך לאבחן היסטוריה רפואית, להנפיק מרשמים, להפעיל ציוד בחדר ניתוח. לקוד הזדוני קראו Wannacry והוא היה קו פרשת המים של עולם הסייבר ומתקפות ההאקרים.
עד לאירוע הזה מתקפות סייבר התנהלו בגדול בעולמות הכספים, ההונאות, פה ושם דלפו מאגרי מידע רגישים, מדינות נלחמו אחת בשנייה, אבל פגיעה ממשית ביכולת של גוף מקצועי לספק מענה לאזרח, ועוד בתחום הרפואי, זה היה דבר שלא קרה.
החולה נפטרה בגלל מתקפת הסייבר
בחודש ספטמבר האחרון קבוצת האקרים שלחה קוד זדוני אחר, גם הוא מסוג כופר, שעשה דרכו למערכות המחשוב בבית החולים האוניברסיטאי בעיר דיסלדורף שבגרמניה. המערכות לא היו מעודכנות עם עדכוני התוכנה המתאימים והקוד הזדוני ניצל את הפרצה והצליח להשבית חלקים ניכרים ממערכות המחשב של בית החולים. אגב, עדכון התוכנה המדובר למערכות הסיטריקס היה זמין כבר מחודש דצמבר 2019!
בדיעבד, התברר שהתוקפים כיוונו לפגוע באוניברסיטה שסמוכה לבית החולים אבל התבלבלו. הבלבול הזה הוביל לכאוס בבית החולים שגילה שמעל ל-30 שרתים הושבתו, מה שלא הותיר ברירה לצוות הרפואי להחליט לדחות את קליטת האמבולנס שמיהר להגיע אליהם עם חולה במצב קריטי, ולהפנותו לבית חולים המרוחק מהם מרחק של 30 קילומטר.
העיכוב בהגעה לטיפול מציל החיים הוביל לאירוע טרגי - החולה, שמלכתחילה הייתה אישה מבוגרת בת 78 עם התפרצות של מפרצת באבי העורקים, לא שרדה את הנסיעה ולצער כולם, הפכה לסמל כמקרה המוות הראשון המיוחס למתקפת סייבר.
אגב, התוקפים המבולבלים, כשהבינו את הטעות, שלחו מיידית את מפתח ההצפנה וניתקו קשר. לבית החולים גם זה לא ממש עזר. לקח לבית החולים מספר שבועות להחזיר את השרתים לקדמותם ולחזור לתפקד בשגרה, אבל ימים רבים הם עבדו במתכונת מצומצמת עם 5!! חדרי ניתוח בלבד מתוך 100 שיש להם.
עולם הרפואה מתמודד עם אתגרים עצומים ובלתי נגמרים, כשמדובר בהגנת סייבר. מספיק לדבר על פגיעה בפרטיות הסודיות הרפואית של המטופל, בחשיפה של מערכות וציוד רפואי כמו מכשירי MRI, דיאליזות ואחרים לווירוסים וקודים זדוניים שנועדו לייצר השבתה או פגיעה בתפעול שלהם ועד כדי שינוי רשומות ופגיעה באמינות המידע והנתונים הרפואיים כמו עריכת תוצאות של בדיקות דם או רגישות לתרופות, כדי להוביל ממש למוות.
שימוש מרובה במערכות מיושנות ופגיעות
הסכנות כאמור גדולות וגם הרגולטור מנסה להתמודד עם האיום באמצעות חקיקה ייעודית הנקראת Health Insurance Probability and Accountability Act או בקיצור HIPAA. מדובר בחקיקה אמריקאית הקובעת בצורה אחידה את הניהול, האחסון, ההעברה ודליפת המידע רפואי אל מול גורמים לא מורשים. מטרת החקיקה היא שמירת פרטיות המידע הרפואי על מטופלים תוך שימוש בטכנולוגיות חדישות ביותר לאבטחת איכות הטיפול במטופלים, מתוך ההבנה שכל מטופל זכאי לפרטיות מלאה. חשוב לדעת שהרגולציה הזו חלה על גופים העוסקים בתחום הבריאות כמו ספקי שירותי הבריאות וספקי שירות של מערכות מידע רפואיות. בנוסף, אפשר לציין את תקן ISO 27799 - 27032 שבאים גם הם להגדיר כללי שמירה על ביטחון המידע ועל אבטחת הרשתות. האם זה מספיק?
ככל הנראה לא. אחת הבעיות המרכזיות של עולם הרפואה היא השימוש במערכות מיושנות שמורכב להחליף, יחד עם ריבוי וגיוון של מערכות חדשות שנכנסות כל העת. סקר בינ"ל של חברת פורקסאוט נוגע בדיוק בתחום הזה. הסקר שבחן מעל 3 מיליון מכשירים המנוטרים באמצעות המערכות של החברה, מצא שמכשירים רבים עדיין מריצים גרסאות מיושנות של מערכת ההפעלה windows מה שעלול להוות פוטנציאל לפגיעה בשל חולשות אבטחת מידע מוכרות. בנוסף הסקר מצא מכשור רב שמוגדר בהגדרות ברירת מחדל בלבד מה שגם הוא עלול לסכן את הארגון בשל העדר התאמה של המערכת לצרכים הייעודיים, בהגנה המתאימה. עוד עולה מהסקר שימוש נרחב במכשירי IOT שאינם רפואיים בסביבת מכשור רפואי, דבר שמעיד על חיבורים לא תקינים ולא מפוקחים של מכשירים נלווים.
אבל האם באמת הגנת הסייבר תלויה רק בטכנולוגיות חדישות? תביעה על סך 1.5 מיליארד דולר הוגשה באוקטובר 20 לבית המשפט ובה טענה כנגד קופות חולים מאוחדת וכללית יחד עם בתי החולים הלל יפה וברזילי, בגין מכירת ציוד רפואי, ללא פרמוט כנדרש, מה שהוביל לחשיפה של מידע אישי ורפואי גדול מאוד.
טעות קשה כזו, יחד עם אירועי דלף מידע כמעט שגרתיים מאפליקציות רפואיות ושירותיות, עם אילוצי טכנולוגיה מורכבים, עם מוטיבציות מגוונות להשגת מידע רפואי ששווה הון לחברות תרופות ומפתחות טכנולוגיות רפואיות, מחדדת את הבעיה - העולם הרפואי חשוף מאוד למגוון רחב של איומי וסיכוני סייבר. חלק מהסיכונים הם סיכונים טכנולוגיים, חלק אחר הם סיכונים תהליכיים ברמת נהלים שיש לחדד ולהקפיד עליהם אבל טעות קטנה בתחום הזה, היא הרת אסון אולי אפילו יותר מפגיעה עסקית ופיננסית בשאר הסקטור העסקי.
הכותבת היא יועצת מומחית בתחום Cyber Resilience להערכות והתמודדות עם אירועי סייבר בהיבטים העסקיים.
