"מתקפת הסייבר הבאה על המוסדות הרפואיים בישראל קרובה מתמיד"

פגיעה במתן שירותי רפואה חיוניים בשגרה וחירום, גניבת מידע רפואי אישי וניצולו לרעה, הרס של מכשור רפואי יקר ושיבוש מכוון של מידע העלול לגרום לקבלת החלטות רפואיות שגויות ומסכנות חיים. אלה רק חלק מהתרחישים אליהם מתכוננים במערכת הבריאות לקראת המתקפה הבאה על המכשור הרפואי. העניין קיבל חשיבות מרבית במיוחד לאור אירוע התקיפה על ביה"ח הלל יפה ב-2021.  

במסגרת כנס "איומי הסייבר בעולם הבריאות" של הקריה האקדמית אונו והלשכה לטכנולוגיית המידע בישראל שנערך ביום שני האחרון,  משרד מבקר המדינה הציג את הפערים הקיימים ב-25 מוסדות רפואיים שנמצאו בשנת 2022 ומטופלים כעת, בכדי למנוע את מתקפת הסייבר הבאה.

בין הליקויים שנמצאו: היעדר תמונת מצב מיטבית במשרד הבריאות בדבר איכות אבטחת המידע במכשור הרפואי, למעלה מחצי מהמוסדות הרפואיים לא ביצעו סקר סיכונים למכשור הרפואי ורוב המוסדות הרפואיים לא ביצעו מבדקי חדירה למכשור הרפואי בשנת החולפת.

במוסדות רפואיים בישראל קיימות מערכות שהשבתתן עלולה להוביל לפגיעה בפעילות המרכז הרפואי ואף לסיכון חיי המטופלים. תקיפות סייבר על מערכת הבריאות עשויות לגרום לפגיעה במתן שירות רפואי חיוני בעתות שגרה וחירום, גניבת מידע רפואי אישי וניצולו לרעה, פגיעה והרס של מכשור רפואי יקר ושיבוש מכוון של מידע בעקבות שינוי מידע בתיקים אישיים קליניים אשר יכול לגרום לקבלת החלטות רפואיות שגויות.

ראשת המכון לניהול סיכוני סייבר בקריה האקדמית אונו, הדס בן אברהם: "מתקפת הסייבר הבאה על מערכות הבריאות בישראל היא לא שאלה של אם, היא שאלה של מתי. יכולות התוקפים הלכו והשתכללו בשנה האחרונה. בית חולים או מוסד רפואי שלא יאבטח בצורה מיטבית את המכשור הרפואי ואת שרשרת האספקה שלו, יגלה שהמתקפה על ביה"ח הלל יפה הייתה רק קדימון. המתקפה הבאה על בית חולים בישראל עלולה להוביל להשבתה ממושכת ולהתמודדות עם נזק בלתי הפיך לארגון שיסכן את המשך הישרדותו ואת בטיחות המטופלים".

רוני גבריאלי, סגנית מנהל האגף לביקורת מערכת הבריאות במשרד מבקר המדינה: "הליקויים שעלו לאחר אירוע התקיפה על הלל יפה מספרים על כך ש-13 מוסדות לא ביצעו סקר סיכונים למכשור הרפואי, 14 מוסדות לא ביצעו מבדקי חדירה למכשור הרפואי, 11 לא הגדירו קבוצות סיכון במכשור הרפואי, 8 לא ביצעו ביקורת פנים בנושא אבטחת מידע, ועוד".

"נמצא כי יש הבדלים ניכרים בין המוסדות בנוגע ליחס בין מספר עובדי אבטחת מידע למספר העובדים ולמספר המחשבים במוסדות הרפואיים. בנוסף לכך, לא בכל המוסדות היה תוכניות להמשכיות או התאוששות מאסון, מאמינה שאחרי האסון בהלל יפה כבר יש להם", כך לדבריה.

לדבריו של דורון יצחקי, חבר נשיאות הלשכה לטכנולוגיות המידע, מרכז המצוינות לבריאות דיגיטלית: ״סקטור הבריאות הוא מהנפגעים המרכזיים מאיומי הסייבר ברחבי הרשת ובתי החולים מהווים כיום יעד מועדף לתקיפות סייבר. האיומים דורשים היערכות רחבה הכוללת ראשית כל, הפנמה והבנה של גודל האיום. מכיוון וחלק משמעותי מהפריצות מגיעות משרשרת האספקה – יש להדק את הבקרה והאכיפה של מדיניות האבטחה ולהחיל אותה גם על ספקים שהארגון עובד איתם ומחוברים לציוד ברשת הארגונית״

כאמור האירוע המחולל היה מתקפת הסייבר בבית החולים "הלל יפה" באוקטובר 2021, כאשר גילה צוות בית החולים שהגישה למערכות המידע שלו חסומה. לבית החולים לקח כחודש לחזור לפעילות ממוחשבת מלאה ועוד חודשים נוספים להשיב את מלוא היכולות שאבדו. זו נחשבת עדיין לטראומה למוסד הרפואי ולאירוע מכונן במערכת הבריאות כולה.