$
Duns טכנולוגיה
האדר מובייל דן אנד ברדסטריט duns100

טיפול מונע בתשתית הרפואית בישראל

תשתית הרפואה בישראל אינה מוגדרת כתשתית קריטית בהיבטי סייבר ומהווה מטרה מפתה למתקפות - הגיע הזמן לשנות את זה

ליאור עטרת 13:0231.12.20

מוגש מטעם DUN'S 100

 

מדי בוקר, אנחנו מתעוררים ושומעים חדשות כי התרחשה מתקפת סייבר נוספת. לפני מספר שבועות הייתה זאת חברת שירביט שנפלה קורבן למתקפת סחיטה ולפני שבוע הייתה זאת חברת פורטנוקס שנפלה קורבן לקבוצה שמזדהה עם השלטון האיראני. נראה כי אנחנו נמצאים תחת מתקפת סייבר של מספר קבוצות האקרים, אשר תוקפות בכל החזיתות, וזה רק עניין של זמן עד שאחת מהן תנסה, וחס וחלילה גם תצליח, לפגוע בחברה השייכת לסקטור הרפואי.

 

אין זה תרחיש דמיוני. חברות בסקטור הרפואי נמצאות תמיד על הכוונות של ההאקרים. לדוגמה, עקב מתקפת כופר שהתרחשה לפני שלושה חודשים בלבד בגרמניה, בית החולים באוניברסיטת דיסלדורף שנפל קורבן למתקפה נדרש לשלם סכום כסף רב על מנת לשחרר את הנתונים. בזמן זה הוא לא היה מסוגל לקבל אישה לחדר המיון, אותה אישה נפטרה במהלך העברה לבית חולים אחר. מעבר לכך, חברות המייצרות חיסונים כנגד וירוס הקורונה מותקפות ללא הרף, וניסיון תקיפה שכזה התרחש בחודשים האחרונים כנגד חברת אסטרה-זנקה באמצעות מתקפת דיוג (phishing), אשר לבסוף לא צלחה. אך יש צורך רק בחוסר תשומת לב של שנייה אחת בלבד כדי שאחת החברות תיפול קורבן למתקפה שכזאת.

 

מתקפות סייבר על חברות מהסקטור הרפואי אינן מקרים נדירים. מבדיקת סטטיסטית, סקטור הרפואה בארצות הברית הוא הסקטור המותקף ביותר מבין הסקטורים הציבוריים והפרטיים. לפי הנתונים, כל מתקפה שנייה של דלף מידע מתבצעת על חברה מהסקטור הרפואי. דלף מידע שכזה יכול להכיל החל מפרטים כלליים על חולים וכלה ברשומות רפואיות שחשיפתן עלולה להוביל לפגיעה בפרטיות של לא מעט אזרחים ולנזקים בסדר גודל של מיליוני דולרים.

 

אנחנו צריכים לשאול את עצמינו מה המשמעות של תקיפה רחבה על מספר בתי חולים בישראל? מה יהיו המשמעויות אם התוקף לא יעצור בגניבת מידע ויגרום להשבתה או אפילו לחבלה מכוונת. הנזק לא יסתכם בפגיעה בפרטיות ופגיעה כספית, אלא ייאמד בפגיעה בכלכלה ובתפקוד המדינה ואף עלול להוביל לפגיעה בנפש. היום, יותר מתמיד, ברורה החשיבות של מערכת הבריאות והמשמעויות של פגיעה בתפקוד ובאמינות שלה. דווקא עכשיו, בתקופת הקורונה, ניתן לראות עלייה משמעותית בכמות התקיפות על הסקטור הרפואי. העלייה בחשיבות המערכת הרפואית והתלות של המדינות במערכות הרפואיות הופכות אותן למטרה מצוינת עבור תוקפים שמנצלים את הפערים, בעקבות הצורך בשימוש בכלים דיגיטליים ורפואה מרחוק, ומנצלים את הלחץ הקיים במערכת הבריאות על מנת לאלץ תשלום מהיר של הכופר.

 

ליאור עטרת ליאור עטרת צילום: ענבל מרמרי

 

אצלנו בישראל, בניגוד למדינות אחרות (כגון ה-HHS בארה"ב), תשתית הרפואה אינה מוגדרת כתשתית קריטית מבחינת אבטחת מידע ואיומי סייבר ואינה כלולה בחוק להסדרת הבטחון בגופים ציבוריים. זה אומר, שבניגוד לגופים כמו חברות הנמלים, הבנקים, דואר ישראל ומתקני הגז והזיקוק, מערכות הרפואה בישראל הן מטרה מפתה למתקפות של תוקפים, שיודעים כי ניתן לבחון בנוחות ובסתר כל אחד ממוסדות הרפואה בארץ עד שימצאו את הפרצה שתכניס אותם לשם.

 

אף שבישראל טרם הייתה מתקפה כמתואר לעיל, ניסיון העבר מראה כי תשתיות קריטיות אחרות עברו ניסיונות מתקפה שנועדו להשבית אותן, ומדובר רק בעניין של זמן עד שתוקפים יפנו עיניהם לעבר המערכת הרפואית בארץ. במהלך מתקפת סייבר שכזאת, אי אפשר לצפות שבית חולים אחד או מרפאה אחת יוכלו להתמודד כנגד איום שכזה. למעשה, נראה כי אין מערכת ניטור מרכזית וכל מוסד רפואי עומד לבדו במערכה.

עלינו לחשוב על התמונה הכוללת. על מנת להצליח להתגונן, אנחנו נדרשים ליכולת הגנה רוחבית מתוך בחינה וניתוח של כלל המערכת, במטרה ליצירת חוסן שירתיע תוקפים מתקיפות בישראל ושימנע תרחיש של השבתה רחבה של המערכת הרפואית בישראל.

 

אם לסכם, המדינה היא הגוף היחידי שיכול לספק מענה הגנה על מערכות הבריאות. ביכולתה לבנות מרכז ניטור ארצי, להעניק תמיכה ולהסדיר את נושא אבטחת המידע של המערכת הרפואית בישראל. אנחנו צריכים גוף שיפעל אקטיבית לזהות את החולשות של מערכת הבריאות ויפעל לסייע ולעלות את החוסן הלאומי. כך למשל, המדינה יכולה ליצור שיתופי פעולה בין לאומיים ולדחוף לחדשנות במקומות שאין עדין את הטכנולוגיות הנכונות. אין מדובר בציפייה יוצאת דופן, מכיוון שהמדינה כבר מספקת מענה שכזה, ובצורה מצוינת, במספר רחב של תחומים אחרים. ואף כולל בין היתר את CERT הלאומי המנטר את המגזר הפיננסי; המגזר הממשלתי; גופי בטחון פנים; מגזר האנרגיה, החשמל והמים (ובקרוב גם את תחום הגנת הסביבה ).

 

בנימה אופטימית, אני מאמין כי יש לנו את הכלים והמשאבים על מנת לסגור את הפער בתחום הבריאות וכפי שכבר ציינתי, המדינה עושה עבודה מצוינת (ויותר טוב מרוב העולם) בעזרת מערך הסייבר הלאומי וגופים כמו משרד האנרגיה שהראו כי ניתן לבנות מערך אבטחת מידע וסללו את הדרך לגופים אחרים. אך כל עוד הפער במערכת הבריאות נשאר, מדינת ישראל נשארת חשופה למתקפות ואפילו לקריסת מערכת הבריאות כולה.

 

ליאור עטרת, מנהל אתר וראש מחקר הסייבר של GE Digital גוף אבטחת המידע של תשתיות קריטיות הגדול בישראל.