באוקטובר 2021 דיווח משרד הבריאות אודות מתקפת סייבר שהתרחשה במרכז הרפואי הלל יפה, אשר השביתה את מערכות המידע של בית החולים במשך חודש שלם. באוגוסט 23 שב לדווח המשרד יחד עם מערך הסייבר הלאומי אודות מתקפת סייבר בבית החולים מעייני הישועה, שהשביתה את מערכות המחשוב המנהלתיות ובעקבותיה בית החולים נאלץ להפנות מטופלים לבתי חולים סמוכים. בספטמבר האחרון, הצפינו האקרים חלק מהמידע בשרתי המחשוב בבית החולים הפסיכיאטרי איתנים שבירושלים, וניסיונות תקיפה נוספים דווחו גם במרכזים הרפואיים זיו בצפת, ורמב"ם בחיפה. כל אלה הן רק חלק ממתקפות הסייבר הרבות שכוונו לבתי חולים ולמרכזים רפואיים בעת האחרונה.
כעת בכירים במערכת מתריעים וטוענים כי המצב צפוי להחמיר אף יותר בשנים הבאות. למרות זאת, מסתבר שבתי החולים אינם מוכרים על ידי המדינה כתמ"ק – תשתיות מדינה קריטית, שלפי מערך הסייבר הלאומי, מחייבת על פי חוק עמידה בסטנדרטים מחמירים של הגנת סייבר.
"יש בעיה של סדרי עדיפויות ותקציבים. השאלה היא על מה המדינה רוצה להגן יותר?", אומר בשיחה עם mako בריאות פרופ' זאב רוטשטיין, שכיהן בעבר כמנכ"ל המרכז הרפואי שיבא (תל השומר) והמרכז הרפואי הדסה. "כיום המדינה לא מספקת הגנה לבתי החולים באופן פורמלי. יש קונפליקט בין משרד הבריאות, שרוצה להגן על בתי החולים, לבין משרד האוצר שצריך להקצות תקציב לכך". לדבריו, כשהנושא מגיע לפתחו של מנהל בית החולים, הוא נאלץ לעמוד בפני דילמה כמו אם לדאוג למיטת טיפול נמרץ נוספת או למכשיר מציל חיים, או לחלופין - להגן על בית החולים מאיומי סייבר. "לרוב, הבחירה תהיה עניינית לצורך הקיים. מנהל בית החולים לרוב יטפל בדברים הדחופים שעומדים לנגד עיניו, כמו למשל המחסור החמור במיטות טיפול נמרץ, אנחנו רואים היום קשישים שמפנים מיטות כדי שיהיה מקום לחיילים פצועים".
"בישראל כמו בישראל, לא מיישמים את הלקחים"
איציק כוכב, מומחה להגנת סייבר במערכות בריאות, טוען כי מערכת הבריאות לא מוכנה לתרחיש שכזה. "הפקנו הרבה מאוד לקחים אחרי אירוע התקיפה בהלל יפה, אבל בישראל כמו בישראל, לא מיישמים את הלקחים שהופקו. אם תהיה מתקפת סייבר שתפגע במערכות המידע, תהיה פה אנדרלמוסיה".
כוכב מדגיש כי ברוב המקרים התוקפים מצליחים לחדור למערכות מנהלתיות כמו למערכת תיקים רפואיים ומערכות זימון תורים, אך הם עלולים להצליח לתקוף גם ציוד רפואי, שבמהותו פחות מאובטח ממערכות מידע. "בחלק מהמקומות אתה לא יכול לרכוש ציוד רפואי ללא קבלת אישור שהוא עומד בדרישות מנהל אבטחת המידע בארגון שמבקש לרכוש אותו, אבל אני לא בטוח שזה מה שקורה בכל המוסדות. בישראל יש חוק 'אישור מכשירים רפואיים' שבו לא מוזכרת אפילו מילה אחת על רמת אבטחת המידע הנדרשת בהקשר לציוד ומכשור רפואי", הוא מוסיף.
ואכן, דוח מבקר המדינה שפורסם במאי 2022 שעסק בהגנת סייבר על מכשירים רפואיים ואבטחת המידע הנאגר בהם, מצביע על כשלים חמורים. לפי הדוח, 14 מוסדות רפואיים לא ביצעו כלל מבדקי חדירה למכשור הרפואי בין השנים 2021-2018, חלקם אף לא הקפידו כי רכישת המכשור הרפואי תאושר לאחר בדיקה של אחראי אבטחת המידע בארגון. עוד נכתב בדוח כי לחטיבת המרכזים הרפואיים במשרד הבריאות אין תמונת מצב מיטבית בדבר איכות אבטחת המידע בכל אחד מהמרכזים הרפואיים שבאחריותה. בדוח נוסף של מבקר המדינה ממאי 2023, פורסמו ממצאים מבדיקת חדירה שביצע משרד הבריאות לתשתית ולרשת התקשורת של אחד המרכזים הרפואיים. גם כאן זוהו ליקויים בדרגת חומרה משמעותית בתחומים שונים, ביניהם: גישה לא מאובטחת, תוכנות לא מעודכנות ובעיות בהגנת עמדות ושרתים.
"משרד הבריאות הוא אינו רגולטור מספיק חזק"
"כיום המתקפות הנפוצות ביותר מתבצעות לשם קבלת כופר", אומרת ל-mako בריאות מיי ברוקס, מומחית אבטחת מידע וסייבר, דירקטורית בארגון ISC2. "הפושעים משתמשים בווירוס שמצליח להצפין את המידע בשרתים והמחשבים, כך שלא ניתן להשתמש בו עד שמקבלים מהם את מפתח הפיענוח". לדבריה, האפשרויות העומדות לנגד מנהלי בתי החולים והמוסדות הרפואיים הן לנסות לפענח בעצמם את ההצפנה, לשלם את הכופר - או לוותר על המידע.
ברוקס מוסיפה כי האקרים שפועלים נגד ישראל לא מעוניינים רק בתשלום הכופר, אלא גם בפגיעה בחוסן הלאומי של הישראלים. לטענתה, עיקר הפגיעה ברחבי העולם, לעומת זאת, היא ברצף התפעולי של אותם מרכזים רפואיים. "בארה"ב ובאירופה מתקפות הכופרה שכיחות מאוד, וכבר היו מקרים שאף גרמו לאובדן חיי אדם. כך בגרמניה למשל, אישה שלקתה בהתקף לב נאלצה להתפנות לבית חולים מרוחק יותר כיוון שבית החולים הסמוך לביתה היה מושבת כתוצאה ממתקפת סייבר, והיא נפטרה בדרכה למיון".
לטענת ברוקס, משרד הבריאות הוא אינו רגולטור משמעותי בהקשר לאבטחת מידע: "אם נשווה את הפיקוח שמתבצע על הבנקים או על הביטוחים למשל, נגלה ששם יש למנהלים יותר שליטה במצב. לעומת זאת, ככל ידוע לי המשרד לא פועל בצורה אקטיבית כדי לבקר ולוודא את נוהלי אבטחת המידע בארגונים השונים". כמו כן, היא מדגישה את החשיבות שבהגדרת גופים במערכת הבריאות "תשתיות מדינה קריטיות" - "גופים אלה מקבלים ממערך הסייבר הלאומי הגנה מערכתית כזו או אחרת. המערך מפקח ועושה בדיקות ובקרות. ברגע שבתי החולים יוגדרו כך, הם יהיו מחויבים לרמת אבטחה הרבה יותר משמעותית".
גם כוכב, מוותיקי ענף ביטחון המידע וענף הסייבר בישראל מותח ביקורת, וטוען כי על אף שמשרד הבריאות מספק הנחיות טובות להגנה מפני תקיפות סייבר, הוא לא מפעיל מערכות בקרה מספיק טובות כדי לאכוף את זה. לדבריו, "אם היו כאלה, המשרד היה מגלה בזמן שאחד מבתי החולים הגדולים שהותקף, לא התקין את טלאי האבטחה שהיה צריך להתקין. במשך שנים התרעתי כי על בתי החולים להיות מוגדרים 'תשתית מדינה קריטית', אבל כדי שזה יקרה, משרד הבריאות צריך לקבל תקציבים, רק כך הם יוכלו לכסות את הדרישות שמערך הסייבר דורש, שהן גבוהות יותר ב-200% מהדרישות הרגילות".
גם פרופ' נחמן אש, לשעבר מנכ"ל משרד הבריאות, מתייחס לעניין הגדרת בתי החולים כתמ"ק ואומר כי "בתקופתי כמנכ"ל משרד הבריאות, גיששנו מול הגורמים לגבי האופציה להכנסת מערכת הבריאות תחת המטרייה של תשתיות מדינה קריטיות, אבל הבנו שאין לזה סיכוי". הוא סבור כי המערכת אינה מוכנה מספיק להתמודדות עם איומי הסייבר הגוברים, וגם מתייחס לשאלת התקציב - "בתי החולים לא מסוגלים להשקיע סכומים כאלה של כסף בהגנה. הכסף צריך לבוא מחוץ למערכת הבריאות". לטענתו, השקעה של בתי החולים בהגנה מפני תקיפות סייבר, תבוא על חשבון דברים אחרים.
"צריך להביא בחשבון שייתכן שהתוקפים כבר אוחזים במידע של גופים ויעדים אסטרטגיים, בכלל זה בתי חולים, והם רק מחכים ליום הפקודה"
כוכב אומר כי התרחיש החמור ביותר הוא פריצה למערכות קריטיות "אם מערכת המעבדות תקרוס, האינקובטורים בפגייה או מכשירים תומכי חיים יפגעו ואנשים ימותו. במקרים חמורים פחות, הפגיעה תתרכז בתיקים הרפואיים, כך שרופאים יאלצו לטפל במטופלים ללא היסטוריה רפואית. "זה לא יהיה פשוט לטפל בחולה ללא מידע רלוונטי אודות תרופות שבהן הוא משתמש או לגבי פרוצדורות רפואיות שעבר, אבל זה עדיין אפשרי".
עוד הוא מדגיש כי בתי החולים מתמודדים כל יום עם מאות, ואפילו עם אלפי תקיפות. לדבריו הם אומנם מצליחים לבלום אותן באמצעות מערכות בקרה סבירות ופתרונות שהכינו המוסדות מראש לאיומים מוכרים, אבל הוא מתריע: "אם האיראנים יעבדו קשה ויחליטו להתלבש על אחד מבתי החולים הגדולים, הם יצליחו".
פרופ' רוטשטיין אומר כי "איומי סייבר מתעדכנים כל הזמן, זה לא מה שהיה פעם והאיומים הופכים מתוחכמים יותר ויותר. עד שלא יקרה אסון קיצוני, שיגבה מחיר גבוה מאוד, הנושא לא יהיה בראש סדר העדיפויות של מקבלי ההחלטות". לדבריו "מתקפת 7 באוקטובר הניעה את ישראל לפעול סוף-סוף מול האיומים הביטחוניים שהיו ידועים שנים רבות. כנראה שכך יקרה גם באשר למתקפות הסייבר - רק אסון רציני יביא לטיפול בנושא".
ובינתיים, מזהירה ברוקס: "צריך להביא בחשבון שייתכן שהתוקפים כבר אוחזים במידע של גופים ויעדים אסטרטגיים, בכלל זה בתי חולים, והם רק מחכים ליום הפקודה".
תגובת מערך הסייבר הלאומי: "בתי חולים מוגדרים תשתית חיונית. כ-300 ארגונים בישראל המעניקים שירות חיוני לחיי היום יום של הציבור - ומשכך מונחים בהיבטי סייבר על ידי הרגולטור שלהם, במקרה זה משרד הבריאות. מערך הסייבר מכווין את משרד הבריאות בהנחייה מקצועית בהתאם למגמות ולאיומים המתפתחים בראייה לאומית. מדובר בגופים שנדרשים להגנה ברמה גבוהה והמערך מבצע הערכה תמידית של סיכון ושל רמת ההגנה של סקטור זה.
"באשר לגופים שמוגדרים תמ"ק, תשתית מדינית קריטית, מדובר בהנחייה מחייבת על פי חוק לעמוד בסטנדרטים מחמירים של הגנת סייבר בהתאם לאופי ומבנה אותה תשתית, וכן על פי זיהוי איומים ומגמות בתחום. תשתית מדינה קריטית מוגדרת על פי החוק לאסדרת הבטחון וההחלטה להגדיר תשתית ככזו נידונה בוועדה מיוחדת בהתאם לעמידה בתבחינים הקבועים בחוק. לרוב מדובר בגוף שהוא יחיד בפריסתו במשק, ללא יתירות.
"מערך הסייבר הלאומי מנחה בהיבטי סייבר כ-30 גופים מסוג זה, כגון חברת חשמל וחברת מקורות. מערך הסייבר מכווין בהנחייה מקצועית את משרד הבריאות בהתאם למגמות ולאיומים המתפתחים בראייה לאומית, ביצע עבור בתי החולים מיפוי של נקודות חולשות במערכות, מתריע על איומים ספציפיים, מסייע בזיהוי ובבלימת אירועי סייבר, ניהולם והתאוששות מהם בעת הצורך. בנוסף לכך, בימים אלו מקדם המערך את נוסח חוק הגנת הסייבר שמיועד לחייב גופים חיוניים, כגון בתי חולים, בניהול הסיכון ובחובת הדיווח על אירועי סייבר".
תגובת משרד הבריאות: "המשרד פועל בכל העת כדי להעלות את רמת ההגנה של ארגוני הבריאות כנגד מתקפות סייבר, כאשר יש לציין שבכל יום ישנם ניסיונות תקיפות סייבר שנבלמים ע"י מרכז הסייבר של משרד הבריאות וארגוני הבריאות. המשרד מבצע סקרי סיכונים בכלל בתי החולים וקופות החולים, במטרה לאמוד את מוכנות מערכת הבריאות להתמודדות עם איומי סייבר ועל מנת לשפר באופן מתמיד את יכולות ההגנה מפני מתקפות אלו.
"במסגרת זו ובמטרה להעלות את רמת המוכנות של ארגוני הבריאות להתמודדות עם אירועי הסייבר, המשרד מפעיל לראשונה תכנית תלת שנתית המתוקצבת בסכומים משמעותיים ומעוגנת בתקציב. כך, במסגרת הסיכום התקציבי לשנת 2024 ובשל אירועי הלחימה, הגיעו משרדי הבריאות והאוצר להסכמה על תוכנית חדשה למיגון והערכות למתקפות סייבר בהיקף של כ-120 מלש"ח בשנים 2023-2025 עבור בתי החולים הכלליים. בנוסף לכך, החל משנת 2022 מתקצב המשרד הפעלת מרכז הגנה שפועל 24/7".