אירוע סייבר חמור שהתחולל בבית החולים מעייני הישועה בבני ברק בימים האחרונים הציף מחדש את השבריריות של מערכת הבריאות הציבורית ואת אוזלת היד של המדינה בהתמודדות עם הבעיה. פרטי המקרה עדיין נחקרים, אך בשלב זה נראה שמדובר באירוע כופרה, שבמסגרתו מערכות המוסד הרפואי נחסמו בידי האקרים שדורשים תשלום.

לפי מנהלת מעייני הישועה באירוע נפגעו "המערכות המנהלתיות" של בית החולים ובעקבות זו התבקשו חולים לא להגיע לחדר המיון וטיפולים אלקטיביים שנקבעו מראש בוטלו.

לפי הדיווחים, התקיפה אילצה את עובדי בית החולים מעייני הישועה לחזור לעבודה ידנית - באופן שמזכיר את שהתרחש בעת תקיפת הסייבר על בית החולים הלל יפה באוקטובר 2021. אמש הודיע בית החולים כי הוא צפוי לחזור "בקרוב" לשגרה מלאה, אך בכך לא תמה הבעיה. אתמול (שני) העריכו במערך הסייבר הישראלי כי שחזור מערכת המחשוב עלול לדרוש כמה שבועות.

לפי אחת ההערכות, מאחורי האירוע הנוכחי עומדת קבוצת התקיפה Ranger locker שמתמחה בתשתיות קריטיות ונחשבת לכזו שפועלת ממניעים כלכליים ולא אידיאולוגיים. קבוצה זו מאופיינות בסחיטה כפולה: אם דרישות הכופר שלה לא נענות אנשיה לא רק מצפינים את המחשבים שעליהם השתלטו, אלא גם מפרסמים ברבים את המידע שהשיגו - במקרה זה מידע שעלול להתגלות כמידע רפואי רגיש.

התקיפה אילצה את עובדי בית החולים מעייני הישועה לחזור לעבודה ידנית. אמש הודיע בית החולים כי הוא צפוי לחזור "בקרוב" לשגרה מלאה, אך בכך לא תמה הבעיה. במערך הסייבר הישראלי העריכו כי שחזור מערכת המחשוב בבית החולים עלול לדרוש כמה שבועות

להגיד שבמקרה של מתקפת הכופר בביה"ח מעייני הישועה הכתובת היתה על הקיר יהיה שגוי: מדובר בשורה ארוכה של כתובות, שנכתבו בטוש זרחני באותיות קידוש לבנה ובליווי סימני אזהרה רבים. אירוע הסייבר בהלל יפה ב-2021 היה רק הדגמה של שורת האיומים הצפויים לבתי החולים בישראל.

הכשלים היו ידועים חמש שנים לפחות

במאי 2022 פרסם מבקר המדינה דוח שעסק בהגנת הסייבר במגזר הרפואי בישראל, שבו הצביע על כשלים בהגנה על מכשור רפואי ושמירת מידע במרכזים הרפואיים. שנה מאוחר יותר ערך מבקר המדינה "מבדקי חדירות" בארגון רפואי (שאינו ביה"ח מעייני הישועה) ומצא בו ממצאים חמורים בתחום אבטחת הרשת.

מחדלי אבטחת הסייבר במגזר הבריאות הגיעו לא אחת למסדרונות הכנסת. כך, בדצמבר האחרון פנו מנהלי בתי החולים בישראל למנכ"ל משרד הבריאות והתריעו כי המוסדות שהם עומדים בראשם אינם ערוכים להתמודד עם מתקפות סייבר: "אנו מנהלי בתי חולים קוראים להקדים תרופה למכה ולתקצב משמעותית את בתי החולים כדי לבנות מערך הגנת סייבר שידוע לכולנו כרוך בהוצאה ניכרת", מסרו.

בריאות, הלת'טק אילוסטרציה (צילום: סאלי פאראג, shutterstock)
טכנולוגיות בריאות (אילוסטרציה). מגזר הבריאות מככב בראש רשימת היעדים להאקרים | צילום: סאלי פאראג, shutterstock

לא מדובר בבעיה ישראלית בלבד. מגזר הבריאות מככב כבר שנים בראש רשימת היעדים החביבים על האקרים זדוניים. למעשה, לפי נתוני חברת אבטחת המידע צ'ק פוינט, זהו המגזר המותקף ביותר בעולם במונחי תקיפות בחודש. שילוב בין ריבוי מערכות מגוונות וקריטיות, סביבה דינמי והיעדר משאבים הפכו את מגזר הבריאות לפגיע במיוחד.

במקרה של בית החולים מעייני הישועה התמונה עגומה עוד יותר כי הכשלים היו ידועים כבר מזמן מזמן. בדיון שקיימה ועדת המדע של הכנסת עוד ב-2018 בנושא הגנה על מערכות ממוחשבות במערכת הבריאות, הציג בפתיחות ובכנות מנהל מערכות המידע של מעייני הישועה שי בירנבוים את המצב במוסד.

בירנבוים דיבר בעיקר על מה שאין במעייני הישועה: אין ממונה אבטחת מידע, אין הגנה על המכשור הרפואי, אין הגנה על התווך האלחוטי, אין בקרה על חיבור התקן זדוני, אין הגנה מפני קוד זדוני, אין מערכת הלבנה, אין מערכת העברת מידע מאובטח בענן, אין מערכת מניעת דלף מידע (DLP), אין חמ"ל סייבר (SOC), אין אימות כפול (2FA). אין אין ואין. כל הדבר הזה הוערך בחוסר של 6-7 מיליון שקל לשלוש שנים.

חבל, עכשיו בית החולים ישלם הרבה יותר.

אחריות? ענישה? הצחקתם את מדינת ישראל

השאלה שנשאלת עתה היא מי אחראי לכשל - לא שחלילה האחראי הוא בהכרח מי שיישא באחריות, בכל זאת אנחנו בישראל. ועדיין, ברמה הרשמית חוזר מנכ"ל של משרד הבריאות מאפריל 2022 בשם "רגולציית יסוד להגנת סייבר במערכת הבריאות בישראל" קובע חד משמעית כי "מנהל הארגון הרפואי נושא באחריות כוללת להגנת הסייבר של הארגון הרפואי ובאחריות אישית להגנה על המידע הרפואי הנוצר ונאגר במסגרתו".

אותו מסמך מפורט קובע חובה למנות מנהל אבטחת מידע לבית החולים, לוודא קיומן של אסטרטגיות הגנה ולהקצות תקציב למערך הסייבר של בית החולים, שאינו פוחת מ-8% מתקציב המחשוב של הארגון (אשרי המאמין שכך אכן נעשה).

כבר ב-2018 התריע מנהל מערכות המידע של מעייני הישועה על הבעיות בפני הכנסת. שורה ארוכה של חוסרים ותקנים לא מאויישים שהוערכו במחסור של 6-7 מיליון שקל לשלוש שנים. עכשיו בית החולים ישלם הרבה יותר

משרד הבריאות נושא באחריות לאירוע כרגולטור מגזרי. ומערך הסייבר הלאומי אחראי להנחיה של הרגולטור המגזרי בתחום, ובכלל נושא באחריות לעורף העסקי-אזרחי בישראל. אבל על סמך ניסיון העבר אפשר להעריך מה יקרה בפועל.

חודשים ספורים לאחר מתקפת הסייבר החמורה בביה"ח הלל יפה, מנכ"ל המוסד שמח לספר בהרחבה על ההתמודדות המדהימה של בית החולים עם האירוע. מערך הסייבר מצדו דאג לכסת"ח את עצמו, ובדיון בכנסת בנושא דיווח כי "כבר ביוני הוצאנו התראה ממוקדת על מספר גופים במדינת ישראל, בניהם הלל יפה". מנהל בית החולים אמר מצדו כי "לא הייתה פנייה אלינו". נזכיר כי בטריק של "אנחנו התרענו" השתמש מערך הסייבר גם באירוע של שירביט וגם באירוע אטרף.

כמעט שנתיים לאחר האירוע בהלל יפה וקשה להצביע על מישהו שנענש, הושעה או ננזף בעקבותיו, לא בצד המפקח ולא בצד המפוקח. לכן קשה להאמין שהפעם, אחרי אירוע הסייבר במעייני הישועה - בית חולים חרדי בבני ברק שכיו"ר שלו מכהן ראש עיריית ירושלים משה ליאון ושכפוף לשר בריאות ממפלגת ש"ס - התוצאות יהיו שונות.

בית חולים הלל יפה (צילום: דוברות המרכז הרפואי הלל יפה)
בית החולים הלל יפה. ההשקעה בניהול האירוע הסתכמה ב-36 מיליון שקל | צילום: דוברות המרכז הרפואי הלל יפה

כמה כל זה יעלה? גם כאן אפשר לקחת דוגמה מתוצאות האירוע בהלל יפה: בעקבות פניית tech12 מסר משרד הבריאות כי "ההשקעה בניהול האירוע הסתכמה ב-36 מיליון שקל שכללה, בין היתר, הקמה מחדש של תשתיות תקשורת ומערכות מידע, אובדן הכנסות ודחיית ניתוחים לא דחופים, גיוס טכנאים להקמת המחשבים ועוד. השקעה זו נמוכה באופן משמעותי ממצב שבו בית החולים לא היה חוזר לתפקוד מלא מהר ככל הניתן".

גם אם בית החולים מעייני הישועה אכן ישוב בקרוב לפעילות מלאה, שיקום מערכותיו - ועוד יותר מכך רכישת מערכות מחשוב חדשות וראויות - צפוי לעלות הון רב. בית החולים יצטרך להצטייד בביטוח סייבר וגם לנהל הליכים משפטיים בתביעות הייצוגיות שעוד יגיעו. אין סיבה לחשוב שגם הפעם החשבונית תסתכם בפחות מעשרות מיליונים. וגם הפעם - היא תוגש לציבור.