באחרונה עבר חבר כנסת ממפלגת השלטון הליך רפואי כלשהו, שפרטיו דלפו במהירות לאמצעי התקשורת והופצו ברשתות החברתיות. אפשר להניח שדליפת המידע הרפואי יצרה מבוכה לאותו חבר כנסת, לקרוביו ולבני משפחתו. האירוע הוכיח שוב כמה רגיש ופרטי צריך להיות כל עניין רפואי שעובר מטופל. דווקא בגלל הרגישות הזאת, זו לא הפתעה גדולה לגלות שמוסדות רפואיים נהפכו ליעד החביב ביותר על האקרים בימים אלה.
כמעט לא עובר שבוע בלי דיווח על פריצה למוסד רפואי גדול, חברת ביטוח, מאגר מידע רפואי וכדומה. הפורצים הם בעיקר מהזן העברייני — כלומר, המניע שלהם הוא כלכלי ולא אידיאולוגי — אבל יש גם מקרים הפוכים (או משולבים). כך למשל, לפני שבועיים זיהתה חברת אבטחת המידע הישראלית מדסק (MadSec) מתקפה גדולה של אקטיביסטים מטוניס ואלג'יר נגד ישראל. לדברי החברה, ההאקרים השיגו פרטי אשראי של ישראלים ופרטים של חברי קופת חולים גדולה, וביצעו ניסיון שלא צלח להשבית את אחד הבנקים בישראל. "המתקפה היא ניסיון של קבוצות האקרים לפגוע בישראל במחאה על ביקורים של משלחות מערב הסעודית בישראל", נמסר ממדסק.
באשר לקופת החולים, ההאקרים טוענים — והם אף פירסמו הוכחות לכך ביוטיוב — שהצליחו להשיג שליטה מרחוק על המחשבים שלה. בתמונות המסך שפירסמו מופיעים גם פרטי התחשבנות עם מטופל.
לדברי מנכ"ל מדסק, דורון סיון, הפער בין פריצה אידיאולוגית לפלילית הוא קטן: "יש תאריכים ידועים שבהם מתרחשות מתקפות גדולות, והאקרים מרכזים מאמץ נגד ישראל. אלה בדרך כלל מתקפות לא מתוחכמות מסוג DDoS (מניעת שירות מבוזרת; תקיפה שנועדה להשבית מערכת מחשב על ידי יצירת עומס חריג על משאביה), אבל בתוך כל העשן יש גם פעילויות מאחורי הקלעים. פתאום אתה רואה שמידע שנגנב במתקפה שבוע קודם לכן נמכר ברשת תמורת כסף. זה מתחיל במתקפה אידיאולוגית על ישראל — אבל נהפך אחר כך לפשע נטו".
קשה למנות את כל פריצות הסייבר בעולם הרפואי בתקופה האחרונה, ובכל זאת, הנה רשימה חלקית:
בינואר נרשמה הפריצה הגדולה ביותר ב-2016 בתחום הרפואי — חברת הביטוח הרפואי פראמרה בלו קרוס נפרצה, ופרטים של 11 מיליון מבוטחים, כולל מידע קליני, נגנבו. המקרה החמור נחקר על ידי FBI, ויוחס לפורצים סינים בחסות או במימון ממשלתיים;
בפברואר עלה לכותרות מקרה שבו בית חולים בלוס אנג'לס היה קורבן למתקפת כופר קיברנטית, שבה הוצפנו קבציו. הנהלת בית החולים שילמה להאקרים 17 אלף דולר כדי לקבל חזרה את הקבצים החיוניים שלהם;
ביוני, חברה בשם Banner Health, המפעילה רשת מרפאות ובתי חולים בארה"ב, דיווחה על מתקפת האקרים שבה נפלו לידיהם של גורמים זרים פרטים אישיים של 3.7 מיליון מטופלים, כולל שמות, תאריכי לידה ומספר סידורי של ביטוח הבריאות. באותו חודש העמיד האקר למכירה ב-dark web (הרשת האפלה, מעין מערכת פורומים סגורה שבה נמכרות סחורות לא חוקיות) 655 אלף רשומות רפואיות;
ביולי הודיעה קבוצת האקרים מאוקראינה כי הצליחה לפרוץ למאגר מידע של קבוצת אורולוגים מאוהיו. הגנבים הצליחו לשים את ידם על כמות אדירה של מידע — 156 ג'יגה של קבצים, כולל תוצאות בדיקות של מטופלים, מסמכים פנימיים, תיקים רפואיים מלאים ופרטי קשר של מטופלים. מנכ"ל קבוצת הרופאים פירסם התנצלות, אבל לפחות שניים מהמטופלים למדו על הפריצה מאמצעי התקשורת;
באותו חודש הוצע למכירה ברשת האפלה מאגר רפואי אחר, שכלל 23 אלף מטופלים.
קשה לאמוד את ממדי התופעה המדויקים. על פי מחקר של חברת המחקר ICIT (ר"ת: Institute for Critical Infrastructure Technology), כ-47% מהרשומות הרפואיות בארה"ב נפרצו ב-12 החודשים האחרונים. על פי מחקר של חברת אבטחת המידע ESET, שנערך בקרב 535 מנהלי אבטחה במוסדות רפואיים, 48% מהמשתתפים דיווחו כי חוו אירוע סייבר שכלל דליפה או חשיפה של מידע פרטי של מטופל.
מדוע האקרים פיתחו תיאבון כה גדול למידע רפואי? על פי המחקר של ICIT, כ-18% מהתמ"ג האמריקאי מורכב משירותי בריאות. מדובר בכלכלה גדולה. חוקרים של יבמ אשר שוטטו ברשת האפלה חשפו את העובדה הבאה: רשומה רפואית שווה הרבה יותר מפרטי כרטיס אשראי. המחירון ברשת האפלה עבור רשומה רפואית מלאה, כולל היסטוריה רפואית ופרטים אישיים, הוא 60 דולר. מחירו של מספר בודד של ביטוח לאומי (Social Security Number) הוא 15 דולר, בעוד שפרטים של כרטיס אשראי עולים רק 1-3 דולרים.
מדוע רשומה רפואית שווה הרבה יותר ממספר כרטיס אשראי? מידע רפואי הוא רגיש ואינטימי באופיו. "יש שני סוגי מידע שהם הכי אישיים והכי רגישים — מידע פיננסי ומידע רפואי", אומר שחר דניאל, מנכ"ל חברת הסייבר Safe-T, הפעילה במגזר הרפואי ובאחרונה אף זכתה במכרז גדול של משרד הבריאות להגנה על קבצים ומניעת דליפה של מידע. "אם יש לך סודות — הם שם. אם יש לך משהו שיכול לעשות לך צרות — הוא כנראה גם שם. לא סתם מידע רפואי נמכר במאות דולרים לאדם. זה מידע שניתן לסחור בו".
דניאל מעלה כמה תרחישים של שימוש במידע רפואי. ראשית, אפשר לסחוט את המשתמש תוך איום לחשוף את פרטיו הרפואיים. שנית, ארגוני ביון יכולים להשתמש במידע רפואי כדי לסחוט מקורות פוטנציאליים. כך למשל התפרסם כי יחידת ההאזנות הצה"לית 8200 סוחטת הומוסקסואלים פלסטינים כדי להפוך אותם למקור מודיעיני. במקרה הצה"לי המידע לא נגנב מתיק רפואי, אך הוא עשוי להימצא בתיק כזה, ולשמש מקור לסחיטה. תרחיש שלישי, אף שאין ראיות שדבר כזה נעשה עד היום, מתבסס על העובדה שמידע רפואי הוא יקר ערך לחברות ביטוח או לחברות תרופות. וכך, האקר יכול לנסות למכור לחברת תרופות או לחברת ביטוח מידע רפואי של מבוטחים, או פרטים בנוגע למבוטחים של חברות אחרות, כדי שיוכלו לחזר אחריהם.
תרחיש רביעי של סחר במידע רפואי, והנפוץ ביותר כיום, הוא הפעלת כופר על מוסד רפואי. יכול להיות גם תרחיש משולב. בכיר בחברת אבטחת מידע מספר כי "המתקפה הכי שכיחה היא מתקפת כופר, שבה אומרים לחברה 'שלמי או שאני חושף את המידע'. ראינו את זה בכל המגזרים: במתקפה על ג'יי.פי מורגן, במקרה של אשלי מדיסון (אתר היכרויות לנשואים), אפילו בסיפור של לאומי קארד. בארה"ב היו בחצי השני האחרונה המון התקפות כופר על מוסדות רפואיים. בחלק מהמקרים, לפי הסברה שלנו, ההתקפות היו כה מתוחכמות, שההאקרים לא רק הצפינו את המידע במוסד הרפואי, אלא גם גנבו אותו, במטרה להגיע לאנשים עצמם".
הצד השני של המשוואה הוא שביחס לאיכות הנתונים, כנראה קל יחסית לתקוף מוסד רפואי. בניגוד לבנקים או מוסדות פיננסיים — ארגונים עם מורשת של 40 שנה בתחום אבטחת המידע — עבור מוסדות רפואיים מדובר בעניין חדש יחסית. "מערכות פיננסיות די מוקשחות ונמצאות תחת רגולציה כבדה, ואילו מערכות הבריאות מהוות יעד יחסית נוח שמאפשר שפע של מתקפות, החל בקריפטו (הצפנה ודרישת כופר; א"ז), דרך פישינג קלאסי וכלה בחדירה למערכות המידע וגניבת מידע שניתן למכור בכסף רב", מסביר סיון.
דניאל מצביע על עוד הבדל כואב בין התעשיות — הכסף: "המערכת הפיננסית היא מערכת עם המון משאבים, ולכן הפגיעה בה קשה יותר. לעומת זאת, המערכות הרפואיות הן דלות במשאבים. בנוסף, במערכת הבנקאות מגנים על כסף ממשי, וכסף נתפש כדבר שצריך להגן עליו. פריצה לבנק היא פגיעה בבנק. מנגד, בעולם הרפואי מי שנפגע הוא 'רק' המטופל. אני חושב שהגישה משתנה בהדרגה, ובתי חולים משקיעים וישקיעו יותר במניעת זליגת מידע אישי, כי הם מבינים שזה חושף אותם לתביעות ופוגע גם בהם".
שרון נימירובסקי, מנכ"ל בחברת אבטחת המידע White Hat, מספר כי כיהן במשך הרבה שנים כ-CTO (מנהל טכנולוגיות) של בית החולים אסף הרופא. לדבריו, יש שני סוגים של אנשים: "אלה שמשקיעים לפני שהם נפגעים, ואלה שמשקיעים אחרי שהם נפגעים. מערך השיקולים של בית חולים הוא כזה שתמיד עדיף להשקיע משאבים בהבאת כוח אדם רפואי נוסף, קיצור תורים או רכישת מכונת רנטגן חדשה".
כמו להשאיר את הדלת בבית פתוחה
אבל זה לא רק עניין של מודעות או משאבים — מערכות רפואיות הן פריצות יותר גם בגלל הדרך שבה הן בנויות, מה שנקרא "ארכיטקטורת הרשת". אם תגיעו כיום לבית חולים, תראו שהוא כולו ממוחשב — מהעמדה של פקיד הקבלה, דרך המוניטור, הסי.טי, ה-EKG והאולטרסאונד ועד מכשיר הרנטגן. כל המכשירים האלה הם נקודות כניסה פוטנציאלות לתוקפים.
הסטארט-אפ הישראלי TrapX ניתח את העניין, ופירסם שני דו"חות בנושא תחת השם "האנטומיה של התקיפה". בדו"ח השני מפרטת החברה: "נמצא כי התוקפים יודעים לנצל מערכות מחשוב רפואיות מבוססות ווינדוס, ולהשתמש בתולעים ישנות, כאלה שתוכנות אנטי-וירוס כבר מתעלמות מהן, ולהסוות בתוכן כלי תקיפה מתקדמים. בחלק מהציוד הרפואי מצאנו שאין שום תוכנות הגנה, כך שאין צורך אפילו בכלים מתוחכמים. מצאנו כי האקרים תוקפים סוגים שונים של ציוד רפואי, כולל מערכות צילומי רנטגן ומיפוי רנטגן".
במלים אחרות, במקרים רבים, המכשור הרפואי נקנה מהיצרנית עם מערכת הפעלה ישנה מסוג ווינדוס, שלא מקבלת עדכוני תוכנה, והסיסמאות שלה הן ברירת מחדל. עבור האקרים זה כמו להשאיר את הדלת פתוחה בבית.
שני חוקרים ששמם מייק אחמדי ובילי ריוס בדקו באחרונה מערכת רפואית בשם Xper של פיליפס, מערכת ניהול מידע שמשמשת בבתי חולים רבים, בעיקר בארה"ב ואירופה. מתחת לתוכנה פועלת מערכת ההפעלה ווינדוס XP. החוקרים הריצו כלי אוטומטי לאיתור חולשות, ומצאו במערכת 460 חולשות, ובהן 360 חולשות ברמת פגיעוּת גבוהה. על פי החוקרים, חלק מהחולשות ניתנות לניצול אפילו על ידי האקרים מרמה נמוכה. עקב החשיפה, פיליפס הוציאה עדכון תוכנה שאמור לפתור את הבעיות.
ליאור עטרת, מנהל מרכז אבטחת הסייבר בג'נרל אלקטריק, מסביר את האתגר: "צריך לסווג את הסייבר הרפואי והציוד הרפואי עם מה שמכונה 'תשתית קריטית' או 'סייבר תעשייתי', משום שבניגוד לכל מערכת מחשוב אחרת, ההשבתה היא אסונית. אבל מה שמבדיל מפעל או תחנת כוח מבית חולים הוא מידת הפומביות. בבתי חולים יש מטופלים, ולכן קשה לשמור את הדברים בשקט.
"עוד הבדל הוא שבניגוד למפעל, שיכול להיות מנותק מהאינטרנט, בתי חולים צריכים להיות מחוברים לאינטרנט, כי הם עוסקים גם במחקר. גם הצוות הרפואי יכול להוות אתגר אבטחה. אתה יודע איך רופאים מעבירים ביניהם חוות דעת? בוואטסאפ. ולבסוף, יש אתגרים ייחודיים למגזר הרפואי, למשל העובדה שקובץ CT הוא קובץ של מאות ג'יגה. איך מצפינים קובץ כזה?".
ואולם מעבר לפן הכלכלי של הסייבר הרפואי, יש לתופעה היבט נוסף, מפחיד הרבה יותר. בסדרה הבדיונית "הומלנד", מוצג תרחיש של התנקשות באמצעות השתלטות מרחוק של האקר על קוצב לב. התרחיש כל כך לא מופרך, עד שב-2013 ביקש דיק צ'ייני, לשעבר סגן נשיא ארה"ב, לנטר את השליטה האלחוטית בקוצב הלב שלו, מנגנון שקיים בכל קוצב לב.
במשך השנים האקרים הדגימו יכולות של שליטה מרחוק והתערבות בפעילות של משאבות אינסולין ואינפוזיות. המקרה האחרון של הוכחת שליטה במינוני אינפוזיה מהשנה האחרונה הוכח כסוג של רמייה או מניפולציה מצד החוקרים — אבל בכל זאת, האיום קיים. האקרים שמשיגים שליטה מרחוק על מחשב בבית חולים או מרפאה יכולים לשנות למשל תוצאות בדיקה או מרשם, ולגרום נזק ממשי למטופלים. עד היום, ככל הידוע, מקרים כאלה לא קרו — אבל זו בהחלט חזית שצריך להיערך אליה.
לשנות מרחוק את סוג הדם שרשום למטופל
כל המומחים ששוחחנו עמם מסכימים כי בנושא הגנה על הפרטיות ואבטחת מידע במוסדות רפואיים, ישראל מתקדמת ביחס לעולם. "אנחנו אחראים לסייבר בשלוש רמות", מסבירה שירה לב עמי, מנהלת הבריאות הדיגיטלית והמחשוב במשרד הבריאות, וממונה גם על תחום הסייבר. "אנחנו אחראים להגנה על בתי החולים הממשלתיים, לשכות הבריאות, יחידות הסמך, המכון לרפואה משפטית וכ-500 טיפות חלב ממשלתיות. כמו כן, אנחנו אחראים להגנת הסייבר בפרויקטים לאומיים של רפואה דיגיטלית, כמו פרויקט אופק, והתחליף הנוכחי שלו, פרויקט איתן (פלטפורמה דיגיטלית לאומית לשיתוף מידע בין תיקים רפואיים).
בנוסף, כרגולטור, אנחנו מנחים את מוסדות הבריאות שאינם ממשלתיים בסוגיות שונות, כמו הזדהות ונוהל טיפול במקרה סייבר. יש הנחיות גם לגבי מרפאות פרטיות, ובאחרונה נכנסו הנחיות מחייבות גם לגבי ספקים של ציוד טכנולוגי לבתי החולים".
באילו אירועי סייבר אתם נתקלים?
"עד היום היו כמה אירועי קריפטו לוקר (הצפנת מידע ודרישת כופר) בכמה בתי חולים, אבל בכולם — מי שנפגע היה נקודת קצה של משתמש בודד ולא מידע רפואי, ובכל המקרים לא שולם הכופר. היו גם מתקפות שבמסגרתן הצליחו להשתלט לזמן קצר על אתר הבית של בית חולים ולשתול מסרים כלשהם, אבל עדיין לא נתקלנו במקרים חמורים יותר.
"אנחנו מוטרדים משני דברים. הראשון הוא שמירה על הפרטיות — כי מידע רפואי הוא מידע פרטי ורגיש, ולכן אנחנו משתמשים באמצעים וכלים למניעת זליגת מידע. הנושא השני, שהוא תרחיש עתידי, הוא השתלטות מרחוק על מערכות רפואיות — לא כדי לגנוב מידע, אלא כדי לשבש מידע; למשל, לשנות את סוג הדם שרשום למטופל, ואז קבלת מנת דם לא נכונה מעמידה אותו בסכנת חיים. התרחיש רלוונטי גם לגבי השתלטות על משאבות אינסולין או ציוד החייאה".
ב-2012 יצא חוזר מנכ"ל משרד הבריאות הראשון בנושא הסייבר. המסמך מכונה חוזר 18/2012, ומאז הוא מתעדכן בהתאם למפת האיומים. העדכון האחרון יצא בפברואר 2015. לב עמי מסבירה: "הגדרנו כסטנדט מחייב תקן ISO מיוחד לאבטחת מידע במוסדות רפואיים. מספרו 27799, וכל ארגוני הבריאות מחויבים בו. מלבד מערכות הגנה טריוויאליות, כמו אנטי-וירוס וחומת אש, חייבנו גם מערכות גישה מבוקרת לרשת (NAC) ומערכות ניהול אירועי סייבר (SIEM) ועוד.
"אנחנו עוסקים בהרחבת ההגנה על משתמשים עם הרשאות גבוהות והגבלת הרשאות לכל השאר. הארגונים מחויבים בהדרכות עובדים שוטפות בנושא אבטחת מידע ובהדרכות לעובדים חדשים. לבסוף, אנחנו משתמשים בחברות חיצוניות ועושים בדיקות חדירות סייבר מחוץ לרשת והן מתוך הרשת הארגונית. בתי החולים משתתפים גם ב'נקודת מפנה', תרגיל העורף השנתי, שבו נכללים גם תרחישי סייבר. אנחנו מתמודדים גם עם הסוגיה של גישה מרחוק מלפטופים וסמארטפונים, עם הנחיות ספציפיות של מה מותר ומה אסור. להגיד שיש לנו 100% הצלחה אני לא יכולה — אבל אנחנו מנסים לחשוב על כל נקודת כשל. זו שורה ארוכה של פעילויות".
לבתי החולים יש תקציב לזה? לכם יש תקציב לזה?
"ההנחיה של התקשוב הממשלתי היא ש-8% מתקציב ה-IT (טכנולוגיית המידע) יוקדש לאבטחת מידע. עבור בתי החולים מדובר במיליוני שקלים בשנה. עבורנו, התקציב המוגדר מראש ל-2015 היה 48 מיליון שקל (לכלל תקציב המחשוב), שהוא בעיני תקציב לא מספק, אבל משום שהנושא מקבל עדיפות גדולה, ברגע שיש עודף תקציבי אנחנו מנצלים את זה ומפנים חלקים גדולים ממנו לרכישה של אמצעי הגנה מתקדמים, כך שהתקציב בפועל הוא קרוב לכפול מהמקורי".
עוד ב-TheMarker
גוגל משיקה את Duo: אפליקציית שיחות וידיאו שתתחרה בפייסטיים
מיזוג בין שתי חברות בתחום החינוך הדיגיטלי: עת הדעת רכשה את For Class