Search magnifier

חיפוש

חדש באתר: גיליון סוף השנה של 'דיזיינר' - מגזין העיצוב של ישראל. לחצו כאן ברוכים הבאים לאתר אקסטרה המחודש - עדכני ומגוון בשפע כתבות ומאמרים מקצועיים

סיכוני סייבר בעולם הבריאות: קווים לאסטרטגיה לאומית

מאפייניהם הייחודיים של מרחב הסייבר ושל עולם הבריאות הדיגיטלית, מאפשרים לתוקפים להעצים את אפקט הפגיעה, גם בגלל הנגישות הרבה של אוכלוסיות למערכות המידע והתפעול, כולל מערכות המוטמעות בגוף האדם. מה נדרש לעשות?

ד"ר הראל מנשרי סייבר אוקטובר 2019
צילום: shutterstock

ד"ר הראל מנשרי
(צילום: יח"צ)

עולם הרפואה הדיגיטלית מציב מספר בעיות קשות, שמבדלות אותו מתחומי הארגונים האחרים.

ניתן לציין, בין היתר, את בתי החולים, ששייכים לבעלויות שונות ומתוך כך נתונים לעתים לרגולציה משתנה ואפילו מתנגשת במקרים מסוימים; את הקישור המתחייב בין המערכות הרפואיות למערכות אחרות (משרד הפנים, שירותי בריאות, בתי חולים ועוד), המהווה ממשק כניסה לתקיפה; ואת ריבוי המערכות והשירותים השונים, אשר נשענים לעתים על מערכות הפעלה שונות – בחלקן מיושנות ובלתי ניתנות לעדכון בזמן קצר.

בעיה אקוטית מאוד היא חוסר ברגולציה הגנתית כלפי יצרני וספקי הציוד הרפואי הדיגיטלי, אשר בו תלויה הרפואה המודרנית. בעיה נוספת – חוסר הבנה בקרב המנהלים את עולם הסייבר וסיכוניו, והמחשבה הנובעת מכך, כי מדובר בטכנולוגיה בלבד, תוך התעלמות מהצורך בשינוי תרבות ארגונית וגילוי מנהיגות ומחויבות אישית של הנהלת הארגון לתחום ההגנה.

בין יתר הסיכונים למגזר הבריאות ניתן למנות למשל חדירה, שיבוש וגניבת מידע מרשומות רפואיות; שינוי מינון של תרופות למטופלים; הצפנת מערכות מידע ומחשבים (ראו נזקי אירוע תקיפת הסייבר במאי 2017 במערכת הבריאות הבריטית); תקיפת מכשור רפואי בבתי חולים (רובוטים לניתוח רפואי מרחוק וכדומה) וכן מכשור רפואי אישי (קוצבים, מזרקי אינסולין וכדומה); שינוי רמות חמצן במערכות הנשמה; שיתוק מערכות מצילות חיים; חסימת תקשורת; השבתת חשמל ; שינוי רמת הטמפרטורה של מכשירי הסי-טי – דבר שעלול לגרום לכוויות בקרב המטופלים – ועוד.

חוסר התאמה לרגולציה

במסגרת כנס שהתקיים במאי 2018 נמסר, כי במהלך השנה שקדמה לכך חוו 48% מארגוני הבריאות בעולם תקיפות סייבר, דלף נתונים וחוסר הלימה לרגולציה (יצוין, כי מדובר בארגונים אשר השכילו להבין כי מדובר בבעיה. לא תמיד ארגון מבין ומכיר כי הותקף). באותו כנס נמסר, כי 65% מהתקיפות בוצעו על-ידי גורמים חיצוניים, בעוד 35% על-ידי עובדים פנימיים. עוד עלה, כי קרוב ל-50% מהתקיפות הצליחו בשל שיתוף מידע עם גורמים "צד ג'".

מערכות בריאות רבות עושות שימוש במערכות מיושנות, שקיים קושי לעדכן ולשדרג את רמת אבטחתן. מדובר לעתים במאות רבות של עמדות, עליהן עובדים לעיתים אלפי עובדים בעלי הרשאות מסוגים שונים וידע מועט, תוך שינוע מידע בין מוסדות, מטופלים, רופאים ומטפלים, שימוש בערוצי תקשורת שונים ונקודות גישה רבות, ממשקים עם ספקים, רשויות ולקוחות, כניסת שירותים ומערכות מנוהלות IOT, אשר מאפשר תקשורת מתקדמת בין מכשירים שונים, מתן יכולות איסוף והחלפת מידע, תוך אפשרות חיבור לאינטרנט והישענות על רכיבים משותפים ומעבר מידע ועדכונים ביניהם בכל מקום ובכל זמן, בתהליכים אוטומטיים.

אחת הבעיות הקשות בתחום הטכנולוגי קשורה לייצור מערכות רבות במזרח הרחוק. תלות זו ברכיבים מאסיה יוצרת הזדמנות פז עבור גורמים מסוימים "לשתול" מרכיבים זדוניים למיניהם ברכיבים הללו ולמעשה לשלוט בהם ובפעילותם במידת הצורך.

תפיסת הגנה הוליסטית

מאפייניהם הייחודיים של מרחב הסייבר ושל עולם הבריאות הדיגיטלית, מאפשרים לתוקף להעצים את אפקט הפגיעה, בגלל הנגישות הרבה של אוכלוסיות למערכות המידע והתפעול, כולל המערכות המוטמעות בגוף האדם, ואף בגלל אפשרות היווצרותו של אפקט פסיכולוגי שיש לו השפעה המונית במקרה של פגיעה מוצלחת (או אף שמועה על סכנה לפגיעה). מרחב הסייבר הוא כר לניצול בידי גורמי טרור, פשע וריגול. משום כך הוא מהווה מוקד לפגיעה כלכלית ולערעור הסדר הציבורי.

ציבורים גדולים אינם ערניים דיים לסכנות הקיימות במרחב הקיברנטי. יעדים מועדפים לפגיעה על-ידי יריבים הם תשתיות שירותים אזרחיות, דוגמת מערכות בריאות. טיבו של איום הסייבר כאיום גלובלי שאינו תחום לגבולות מדינה אחת, מגביר את הקשיים לזהות תוקף זיהוי מוקדם, ואת הצורך לקיים שיתופי פעולה בתחום ההגנה.

קיים צורך לקיים אסטרטגיה מדינתית וארגונית כוללת להגנה. תפיסת ההגנה צריכה להיות הוליסטית ופרו-אקטיבית, עליה להקיף את כלל העובדים (בכלל צורות ההעסקה) והמערכות המקושרות – תשתיות, מכשור, מאגרי מידע וכדומה. כל שרשרת האספקה מחייבת בחינה והגנה בראייה אחודה (חוזקה של השרשרת נמדד כידוע על-פי חוזק החוליה החלשה). תפיסת ההגנה צריכה לכלול רכיבים שונים, בכללם מניעה, קישור לגורמי מודיעין לצורך איסוף מידע עדכני על יריבים ושיטות פעולה, הפעלת גופי ביקורת ובקרה, בדיקות חדירה ועוד.

מטרות האסטרטגיה צריכות להיות:

♦ יצירת מרחב סייבר מוגן ובטוח, שיאפשר למערכת הבריאות לממש את יעדיה;

♦ אבטחת התשתיות החיוניות של המערכת והארגונים השונים באופן שוטף;

♦ אבטחת מערכות מידע בארגוני הבריאות ובממשקי המערכת, הנמצאות בשימוש מוסדות, מטופלים, רופאים ומטפלים ובשימוש של עסקים קטנים ובינוניים המהווים את שרשרת האספקה של הארגונים באמצעות הקמת מערכות לאבטחה בסיסית;

♦ קישור קבוע לגורמי מערך הסייבר הלאומי, שינתח תקיפות ויגבש המלצות במועדים קבועים, או על-פי האירועים בעת התרחשותם, וכן יעסוק בשיתוף מידע;

♦ שימוש בטכנולוגיות אמינות ומאובטחות בתחומי מערכות המידע המשמשות בארגוני הבריאות;

♦ פיתוח והכוונת כוח אדם במערכת הבריאות;

♦ פיתוח כלים ויכולות להתמודדות עם איומי סייבר רלוונטיים באמצעות תרגול שוטף;

♦ פיתוח ויצירת מערכת הדרכה להעלאת המודעות והטלת אחריות אישית על כל המשתמשים בארגוני הבריאות (מרמת ההנהלה הבכירה ומטה) להגנת מידע;

♦ התאמת מענה לאיום הסייבר, תוך ניהול סיכונים ושיתוף מידע מירבי עם גופים דומים.

כדי לממש אסטרטגיה כזו, יש צורך ב:

1. העמדת התשתיות החיוניות של מערכת הבריאות בראש סדר העדיפויות להגנה בסייבר;

2. רחבת מערך ההגנה ומתן סמכויות להנחיה, אכיפה, פיקוח וניטור על כלל הפעילות הרלוונטית בארגוני הבריאות;

3. לימודים, הסברה ותמריצים להגנה לכלל העובדים במערכת הבריאות בכלל צורות ההעסקה;

4. גיבוש יכולת תגובה ויצירת מדיניות הרתעה מול יריבים פוטנציאליים;

5. החלת סטנדרטיזציה של תקנים מינימליים לאבטחת סייבר בארגוני הבריאות ובממשקיהם (בכלל שרשרת האספקה), תוך פיתוח מנגנוני ביקורת ואכיפה של תקנים אלה;

6. הגברת נגישותם של משתמשי קצה לפתרונות אבטחה בסיסיים זמינים;

7. תיאום ושיתוף פעולה עם מערך הסייבר הלאומי ועם גופים דומים בהתמודדות מול תקיפות קיברנטיות, תוך פיתוח פלטפורמות לייעול תהליכי שיתוף מידע וידע על אודות האיומים הרלוונטיים.


הכותב הוא ראש תחום הסייבר במכון הטכנולוגי חולון. לשעבר ממקימי מערך הסייבר של השב"כ.
טוב לדעת
נגישות