מבט על אתגרי אבטחת המידע במערכת הבריאות בצל הקורונה

מערכות המחשוב של מערכת הבריאות, על המידע הרפואי הסודי שהן מכילות, וכלי הבריאות הדיגיטלית, הטלרפואה והציוד הרפואי המשוכלל מהווים בשנים האחרונות יעדים למתקפות סייבר – דבר שבא לידי ביטוי גם בתקופת הקורונה. האיומים האלה מציבים בפני מנהלי אבטחת המידע במגזר הבריאות אתגרים לא פשוטים – בימי שיגרה, ובפרט בתקופות משבר רפואיות כמו זו שאנחנו נמצאים בה.

לנושאים אלה התייחס דני דוברין, ממונה אבטחת מידע במרכז הרפואי שערי צדק בירושלים – אחד מבתי החולים הגדולים במדינה, שמכיל 30 מחלקות ו-70 יחידות שונות. דוברין השתתף בכנס הווירטואלי Infosec 2020 של אנשים ומחשבים, שנערך אתמול (ד').

לדבריו, "מאחר שמרבית המערכות בבתי החולים מבוססות מחשבים, אתגר הסייבר בהם קריטי – בעיקר החשש מדלף מידע, הצורך בהגנה על הסודיות הרפואית ובכלל, הגנת הפרטיות. לכן, התיקים הרפואיים הממוחשבים הם יעדי ההגנה המרכזיים, במטרה לשמור על אמינות הנתונים וזמינותם בכל רגע. אנחנו מבצעים זאת על ידי מערכת גיבויים".

אתגר נוסף שאתו מתמודדים מנהלי אבטחת המידע במערכת הבריאות בשנים האחרונות הוא איומי אבטחה על ציוד ומיכון רפואי, שמחובר לרשת. "חלק גדול מהציוד הרפואי שמגיע מחו"ל לא מוגן, וזה מסוכן למשל כשמדובר על קוצבי לב, מערכות CT ורנטגן", אמר דוברין.

"כל מתקפת סייבר יכולה, חלילה, לסכן חיי אדם, וזה נכון גם כשמדובר במערכות רפואיות בחדרי ניתוח", המשיך. "אחד האתגרים הוא הגנה על הרובוטים, שבעזרתם מבצעים תהליכים בחדרי הניתוח. הם מגיעים ממדינות שונות, כולל מסין, ואין צורך לפרט יותר מדי על החשיבות בהשקעת מאמצים להגן עליהם – ובזה אנחנו עוסקים".

יעדי הגנה נוספים של מנהלי האבטחה בבתי החולים הם, לפי דוברין, התשתיות, מערכות המים של בית החולים והגז, המשמש לצרכים רפואיים. "כל אלה מחוברים לרשת והם יעדי מתקפות שצריך להגן עליהם", אמר.

"המודעות לאבטחה במערכת הבריאות גדלה רק לא מזמן"

דוברין התעכב בהמשך על דליפת מידע ממאגרים רפואיים, לא רק מסיבות של סייבר. הוא אמר שבשנים האחרונות נעשו במערכת הבריאות פעולות שונות, בין היתר הימנעות של רופאים לשוחח על נושאים רפואיים רגישים במעלית. "אנחנו מעדיפים לפגוש את המידע כמה שיותר מוקדם, בטרם הוא יוצא מבית החולים", אמר דוברין וציין כי משרד הבריאות עושה לא מעט פעולות בתחום הזה לסייע לבתי החולים.

לדבריו, "המודעות לאבטחת מידע בארגוני בריאות גדלה רק בשנים האחרונות. עד לא מזמן הייתה הערכה שלתוקפים אין סיבה לתקוף בתי חולים, כי הרי כולם יכולים להזדקק לטיפול, אבל זה השתנה בשנים האחרונות".

"גם ההמשכיות העסקית קריטית", ציין. "כל בית חולים אמנם ערוך למצב של עבודה בניירות, אבל זה מגביל מאוד את העבודה, וללא מערכות מידע ותקשורת, בית חולים לא יכול לתפקד". כמו בארגונים רבים אחרים, גם בשערי צדק משקיעים במערכות DRP, שמאפשרת התאוששות מהירה עם מינימום איבוד נתונים.

דוברין העריך שבשנים הקרובות לא יהיה מנוס מהקמת רשת נפרדת סגורה לכל המידע הרפואי הרגיש, "כפי שהיה מתבקש כבר מזמן, אלא שזה עניין של תקציבים ומשאבים".

לסיום הוא אמר כי "הקורונה אתגרה אותנו לתת מענה מידי למיגון ולאבטחה, כתוצאה מצרכים מידיים, לרבות בתחום הטלרפואה ומכונות ההנשמה המחוברות לרשת, שהציבו בפנינו אתגר לא פשוט".