מערך הסייבר: "ארגוני בריאות – בין המותקפים ביותר בישראל"

"ארגונים ממגזר הבריאות חשופים מאוד למתקפות סייבר, והמגזר הזה מהווה יעד מועדף למתקפות. אלא שלא כולם מבינים את זה. ארגוני בריאות הם סופר-מטורגטים, היקף המתקפות הולך גדל ומחמיר משנה לשנה, ונדרש להיערך בהתאם", כך אמר אליאב נורי, ראש מחלקת הכוונת המשק במערך הסייבר הלאומי.

נורי דיבר בפתח כנס שערכה מיקרוסופט ישראל בנושא הגנת הסייבר במגזר הבריאות. האירוע נערך היום (ה') במשרדי הענקית מרדמונד בהרצליה, בהשתתפות מאות מקצועני אבטחה במגזר זה.

בדבריו ציין נורי את שתי מתקפות הסייבר הבולטות ביותר שחוו ארגונים ישראליים בשנה האחרונה: זו שאירעה באוקטובר ושבמסגרתה האקרים שלוחי המשטר באיראן, חברי קבוצת בלק שאדו, תקפו את חברת אחסון האתרים סייברסרב, פרסמו מידע על משתמשי אפליקציית ההיכרויות הגאה אטרף – ואיימו שיפרסמו עוד מידע, והמתקפה על בית החולים הלל יפה, שהביאה להצפנה מלאה של מערכות הארגון למשך חודש וחצי. מיד לאחר המתקפה, בית החולים עבר לעבודה ידנית למשך זמן קצר, ובימים הראשונים, חלק מהמטופלים הופנו לבתי חולים אחרים.

"בהלל יפה", אמר נורי, "אנשי האבטחה נערכו ועשו עבודה מכינה, ובכל זאת – המערכות לא עבדו במלוא היקפן". הוא ציין כי המתקפה על בית החולים בחדרה העלתה את המודעות הלוקה בחסר למרכזיותו של מגזר הבריאות כמטרה להאקרים.

בית החולים הלל יפה. צילום: דוברות בית החולים, מתוך ויקיפדיה

"באמצעי לחימה פשוטים אפשר לגרום לנזק גדול"

בהמשך סקר נורי את פעילות מערך הסייבר הלאומי, "שהוא הגוף הממלכתי למאמצי הגנת מרחב הסייבר במדינה, לצמצום משטחי התקיפה, לגילוי ולזיהוי התוקפים, ולהטעיה שלהם. התפקיד השני של המערך הוא לסייע לקידום המובילות העולמית של ישראל בסייבר, והשלישי – היותו יועץ ראש הממשלה לענייני סייבר".

לדבריו, "המערך הוקם מתוך הבנה שעולם ההגנה והתקיפה בסייבר השתנה. בעבר, האיומים היו מסורתיים, ובהתאמה – הנזק היה פשוט, קל. זאת, לצד יכולות של מעצמות, שנזקן היה גדול יותר. מאז המצב השתנה: באמצעי לחימה פשוטים – משמע, שורות קוד שאפשר להוריד ברשת או בדארק נט, התוקף עלול לייצר נזק גדול, כולל בממד הפיזי. כללי המשחק השתנו".

"זה לא סוד שישראל ממוקמת בשכונה מורכבת, ולא מעט תוקפים אותה בסייבר", אמר נורי. הוא ציין בהקשר זה את המתקפה שבוצעה ב-2020 על מתקני מים בישראל, על ידי האקרים שלוחי מדינת אויב (שאת זהותה הוא לא ציין, אולם המתקפה יוחסה לאיראן). "לצד אותה מדינה ולצד תקיפות מדינתיות נוספות, יש ארגונים שתוקפים אותנו בשל אידאולוגיה אנטי ציונית ופרו-פלסטינית, והם עושים זאת לחוד וביחד. גופים נוספים שתוקפים עושים זאת ממניעים כלכליים – סייבר זה עסק מצוין".

"מתקפות הסייבר על ארגוני הבריאות מתגברות ומחמירות"

נורי ציין כי "מתקפות הסייבר – על ארגוני הבריאות ובכלל – לא רק הולכות ומתגברות, אלא אף מחמירות באיכות שלהן". הוא סקר בהקשר זה כמה מתקפות וניסונות תקיפה: "ב-2017, ארגון בריאות חווה מתקפה למטרות ריגול בסייבר. בנוסף, באמצעות נוזקת WannaCry, הייתה באותה השנה הצפנה של כמה תחנות עבודה בארגוני בריאות בישראל. ב-2018 חווינו תקיפות בשל חולשות מוצרי VPN. ארגונים רבים נחשפו וסיסמאות נגנבו. שנה לאחר מכן היו ניסיונות תקיפה של שני בתי חולים – והם סוכלו. ב-2020 היה ניסיון לפגיעה בשרשרת האספקה, דרך מתקפה של קול סנטר שסיפק שירותים לארגון בריאות, שסוכל בשל ערנות של אנשינו ושל אנשי משרד הבריאות. ב-2021, לצד המתקפה על הלל יפה, היו עוד שתי מתקפות: באחת נמחקו כמה תצורות בקרים בכמה מרפאות ובשנייה בוצעה הצפנה מלאה של המידע במערכות של חברה שמציעה דיור מוגן".

לדבריו, "יש כמה מכנים משותפים לתקיפות הסייבר על ארגוני בריאות: בעבר, רק מדינות עשו זאת, בעוד שכיום מדובר גם בגורמים פרטיים ויש לתוקפים תעוזה – כל תוקף מספר שהצליח, גם אם הוא נכשל; בעבר, בתי חולים היו טאבו, אלא שמאז ש-WannaCry הגיחה לעולם הטאבו הזה נשבר, וזה התגבר במהלך הקורונה; בוצעו מתקפות ריסוס, חיפוש אקראי של מי פחות מוגן; המתקפות היו פשוטות יותר לביצוע; הן כללו ניצול מהיר של חולשות ידועות; ולפני שהן קרו, התקוקפים שהו תקופה ממושכת במערכות של הארגונים – כמה חודשים".

נורי ציין כי "הסיבה לריבוי המתקפות במגזר הבריאות בישראל הוא שהם נחשבים מרכזים רפואיים חכמים לפי אמות מידה באירופה; יש בהם ריבוי מערכות מגוונות, קליניות ומנהלתיות; יש בהם ציוד מגוון; ברשתות שלהם יש מידע מחקרי רב; וניתן למצוא שם מחשוב לביש, לצד מערכות SCADA. בית חולים הוא מפעל שעובד סביב השעון, שלא יכול להיות מושבת ושיש לו נגישות לאקו-סיסטם הרפואי. זה מכרה זהב עבור התוקפים".

"בינתיים, כאמור, היה נזק ממשי, אבל יותר נזק פוטנציאלי", הוסיף. "אלא שהנזק הממשי – בפגיעה בחסיון הנתונים, שלמותם, אמינותם וזמינותם – עלול לגדול". נורי נתן המלצה לארגוני הבריאות, ולארגונים בכלל: "יש לאזן בין אבטחת מידע וחדשנות, ולהגן על סביבת המחשוב הארגונית, שגדלה בשל המעבר לעבודה מרחוק, המעבר לענן וריבוי הנתונים. כמו כן, יש להתחסן מפני מגפת הכופרות". הוא סיכם באומרו כי "ארגוני בריאות חוו ניסיונות תקיפה, שחלקם היו מוצלחים. התוקפים מבינים שבאמצעותם מתקפות סייבר – על ארגוני בריאות, ולא רק – יש להם הזדמנות לפגוע בישראל".