דו"ח מבקר המדינהמוסדות הבריאות בישראל לא ערוכים למתקפת סייבר
דו"ח מבקר המדינה
מוסדות הבריאות בישראל לא ערוכים למתקפת סייבר
האקרים, כזכור, כבר הצליחו להפיל את מערכות המיחשוב של בית החולים הלל יפה - ובכל זאת, דו"ה המבקר חושף גם השנה ליקויים חמורים בכל הנוגע להגנת סייבר במוסדות רפואיים בארץ. בין הכשלים: אי גיבוש נהלים לעדכוני תוכנה ודילוג על מבדקי חדירה ועל סקרי סיכונים
לכל ידיעות דו"ח מבקר המדינה לחצו כאן
מבקר המדינה ביצע בדיקה בקרב משרד הבריאות ו-25 מוסדות רפואיים על מוכנותם למתקפות סייבר. המבקר בדק בעיקר את מכשירי הדימות - MRI, רנטגן ודומיהם. בין השאר התגלה בבדיקה כי משרד הבריאות מעולם לא השלים את גיבוש ההנחיות במקרה של תקיפות סייבר ולא ביצע בקרה על הגנת מכשירים רפואיים במקרה כזה. ממצאים אלה חמורים מכיוון שבשנה שעברה הושבת בית החולים הלל יפה בחדרה לתקופה של כמה שבועות בדיוק בגלל תקיפת סייבר מוצלחת שניצלה פרצות אבטחה במוסד הרפואי.
ממסקנות מבקר המדינה עולה תמונה עגומה על היערכות מערכת הבריאות הישראלית לתקיפות סייבר. נמצא ש-11 מוסדות רפואיים לא גיבשו נהלים לעדכוני תוכנה - עניין חשוב שכן הוא מאפשר לחסום פרצות אבטחה ככל שאלה מתגלות. עדכונים מעין אלה דורשים השבתה של המכשור ועושה רושם כי בהנהלות המוסדות מעדיפים להגדיל את זמינות הבדיקות מאשר לעמוד בדרישות אבטחת מידע בסיסיות. עוד מצא המבקר כי ב-13 מוסדות לא בוצע סקר סיכונים בנושא מכשור רפואי - סקר שמיועד למפות את נקודות התורפה במכשירים ולבדוק עד כמה הם מוגנים, האם הם מעודכנים והאם מדובר בדגמים שסובלים מבעיות אבטחה.
זאת ועוד: 14 מוסדות לא ביצעו מבדקי חדירה שכללו תקיפה של מכשור רפואי - בדיקות המבוצעות באופן קבוע על ידי מומחי סייבר שמדמים תקיפות האקרים בזמן אמת (red team) - ולשישה מוסדות אין אתר חלופי שניתן להפעיל במקרה של אסון, שיבטיח את המשך פעילות מערכות המידע. מדובר בסדרה של כשלים שאינם חדשים כלל. משרד הבריאות החל בגיבוש נהלי סייבר עוד לפני כעשור ועד כה לא השלים באופן מלא את הכתיבה שלהם, כפי שהמבקר מצא בבדיקה האחרונה.
מוסדות רפואיים ותחום הבריאות נחשבים מזה שנים רבות עקב אכילס של תחום הגנת הסייבר. מחקרים וסקרים רבים מראים, שנה אחר שנה, את חוסר ההיערכות של ארגונים ומוסדות בתחומי הבריאות למתקפות סייבר. זאת, בשעה שאלה מככבים באופן תדיר ברשימות המגזרים המותקפים בידי האקרים. למעשה, אחת ממתקפות הסייבר הגדולות - שמקורה ברוסיה - השביתה לפני מספר שנים חלק ניכר ממערך הבריאות בבריטניה, כולל בתי חולים גדולים.
ואולם, לא מדובר רק בזמינות של שירותי סייבר למגזר הבריאות. גם המדינה אשמה בעניין. בעוד מגזרי הבריאות נחשבים ברוב המדינות המפותחות כחלק מהתשתית הקריטית, בישראל זה לא בדיוק המצב. בעוד מקורות וחברת החשמל זוכות להגנה של מערך הסייבר הלאומי, בתי החולים לא. אפשר רק לקוות שהדו''ח הנוכחי יתחיל להזיז קצת את הדברים.