מאמרים:

אתגרי הסייבר של מערכת הבריאות

18 יוני 2018

אופיר זילביגר , שותף, מנהל SECOZ- מרכז הגנת הסייבר |

הגנת הסייבר על מערכת הבריאות ומעניקי שירותי הבריאות, כמו בתי חולים, קופות חולים ומרפאות, היא אחד הנושאים הבולטים כיום על סדר היום העולמי. בישראל ובעולם גוברת רמת החדשנות והשימוש באמצעים טכנולוגים והיא נושאת בחובה חשיפה גדלה והולכת של גופים אלה למתקפות סייבר. התגברות הסיכון שמתקפה כזו תביא לשיתוק של גוף רפואי חיוני, מגבירה את הצורך לגבש מערך הגנה התואם את רמת הסיכון תוך הכנת המערכות להתמודדות עם סיכונים אלו.

מגזר הבריאות הוא אחד המגזרים העמוסים מבחינת כמות הפניות אליו ומורכבות המידע שהוא כולל, ולכן הוא מתמודד עם שורה של אתגרים ייחודיים ביחס למגזרים אחרים. אחד האתגרים המרכזיים הינו התקצוב של מערכת הבריאות הממשלתית שמשפיע על כלל השוק. מערכות בריאות מתוקצבות על ידי הממשלה, ובכפוף לסדרי עדיפויות בתקצוב לאומי, משפיעות בעיקר על בתי החולים ועל ארגוני הבריאות הממשלתיים, אולם לא רק עליהם. גם הגופים הפרטיים מושפעים מסדרי העדיפויות הלאומיים, כמו לדוגמה היקף הכיסוי של ביטוחי הבריאות. היבט תקציבי נוסף של מערכת הבריאות הוא ניתוח רמת הסיכון אל מול ההשלכות. לעיתים תעדיף המדינה לתקצב כניסת תרופה חדשה לסל התרופות שתציל את חייהם של חולים רבים, על חשבון השקעה בתשתיות מחשוב, שהעלות שכרוכה בשדרוגן היא גבוהה ביחס לחיי אדם שניתן להציל באמצעות השקעה אלטרנטיבית זו.

אתגר מרכזי נוסף הוא רמת הקריטיות של סקטור הבריאות בתרחיש קיצון. מערכת הבריאות נתפסת במקרים רבים כיעד למתקפה כמערכת שלובה. לדוגמה השבתת מגזר הבריאות ביחד עם תקיפה על תשתיות אחרות או ביחד עם תקיפה פיזית. המדינה מקדישה תשומת לב רבה לניהול תרחישי קיצון ומגדירה ובוחנת באופן שוטף מהן התשתיות הקריטיות שמשרתות את המדינה בתרחישי איום כאלו ואחרים. בישראל מערכת הבריאות אינה מוגדרת כתשתית קריטית אלא כתשתית חיונית אשר רק מקטעים ממנו מוגדרים כתשתית קריטית כמו לדוג' בנק הדם. קיימות מדינות אחרות שבהן מוגדרת כל מערכת הבריאות כתשתית קריטית, לדוגמה בסינגפור, מדינה שמאוד דומה בתפיסת הסייבר שלה לישראל.

אתגרי הסייבר של מערכת הבריאות נובעים גם מאופי המערכת. כמערכת גדולה המטפלת בהיקף אוכלוסייה רחב על בסיס יומיומי, היא מכילה כמויות מחשוב רבות מאוד, מגוונות מאוד, שלעיתים קרובות מתיישנות והופכות את מערך המחשוב לחשוף לתקיפות. לדוגמה Wannacry שהתפשט בעולם ופגע במערך הבריאות בבריטניה. הגיל הממוצע של תשתיות ה-IT במגזרי הבריאות בעולם נחשב לגבוה יחסית למגזרים אחרים. בין אם מדובר בציוד רפואי שיושב על מערכות מחשב ועד לתשתיות ניהול המידע. מאחר ומגזר הבריאות מאוד גדול בכל מדינה ומטפל בכמויות גדולות של אנשים, עלות שדרוג המערך גבוהה מפאת גודלו ולכן קצב העדכון של תשתיות ה-IT   הוא איטי יותר.

נושא מעניין נוסף הנובע מאופי הפעילות ומעלה את סיכוני הסייבר של מערכת הבריאות הוא הפריסה של הציוד. ציוד המחשוב הרפואי בבתי חולים בכל העולם נמצא בתוך הקהל. עמדות רופאים, בחדרי מיון למשל, נגישות לכל אדם ששוהה בחדר המיון. לרוב חדרי המיון עמוסים באנשים והעומס יכול לאפשר לגורמים עוינים לנצל את המצב. לצורך השוואה, בבנק לא תוכל לראות מחשב שממוקם במקום שלקוח יכול לשבת עליו ולעבוד עליו בלי שאף אחד יראה ושזה ייראה מוזר, ולכן ההפרדה בין פנים לחוץ נשמרת. בעולם הבריאות קשה לשמור על הפרדה כזו.

למרות שמערכות הבריאות בכל העולם מתמודדת עם אתגרים רבים, הן נהנות מיתרון מהותי חשוב מאוד והוא ההון האנושי ממנו הן מורכבות ואופן התנהלותו. מרכז הגנת הסייבר של BDO מספק שירותי הגנה במדינות כגון אוסטרליה, סינגפור, ישראל ועוד. בחינות שערכנו במדינות אלו הראו שכאשר רופא מגיע לחולה, ובהנחה שהאקר פרץ לתיק של החולה ושינה נתונים והתיק מורה לתת תרופה מסוימת שעשויה להרוג את החולה, בשטח תרחיש מעין זה לא יעבוד. המטרה המרכזית שמונעת מתקיפה כזו להצליח היא המוח הרפואי של הרופאים. הם רואים את התמונה של החולה בשטח ויודעים מה הגיוני ומה לא. בעולם שבו הם פועלים יש לעיתים טעויות הקלדה ולכן המוח שלהם מכוון לא לעבוד באופן אוטומטי. להבדיל לדוגמה מבנקים בהם בהרעלה של נתונים לאורך זמן העובד לא תמיד יראה את הדברים האלו וכסף עשוי להיגנב. תרחיש שהמערכת הבנקאית חוששת ממנו ונערכת אליו.

לסיום, המאפיינים של מגזר הבריאות, שהינו בעל תשתיות פחות מפותחות, מעידות שהאיומים אליהם נערכו מגזרים אחרים עדיין מהווים אתגר במגזר הבריאות. תקנות הגנת הפרטיות שנכנסו לתוקף לאחרונה מכילות דרישות אבטחת מידע שדורשות את שיפור עמידותן של מערכות הבריאות בישראל. התפיסה שצריכה ללוות את הגנת הסייבר היא ההבנה שכדי להתאים את המערכת לסיכוני הסייבר הרבים יש לפעול באמצעות גישה, שאינה בנויה רק על ציות, אלא ששמה לה למטרה ליצור יכולת אפקטיבית בהגנה על גופים אלו ועל המידע של האזרח הישראלי.  

לאור המצב נדרשים תקציבים ייעודיים לנושא הגנת הסייבר במערכות הבריאות לטיפול באתגרים המרכזיים המאפיינים את מגזר הבריאות, וכן השקעה בכוח אדם איכותי המבין הגנת סייבר והעלאת המודעות הבסיסית של אנשי הבריאות ועובדי מגזר הבריאות. בישראל מתבצעות פעולות רבות לשיפור המצב בהובלת משרד הבריאות אך הדרך עוד ארוכה. במסגרת שבוע הסייבר באוניברסיטת תל אביב צפויים להתכנס לשולחן בכירי בתי החולים ומשרד הבריאות לשיחה על אתגרי הסייבר של מערכת הבריאות בישראל.

 

*פורסם במגזין הסייבר של הארץ.