הממצאים מראים: "הגנת המידע הרפואי של הישראלים – אסון"
לאחר שרשרת אירועי הסייבר במערכת הבריאות, קלירסקיי בחנה את הסיכונים הספציפיים לדליפת מידע רפואי ממערכות מידע של בתי החולים, וגילתה ממצאים שצריכים להדיר שינה מעינינו ● בועז דולב, מנכ"ל החברה, מפרט
המתקפה על בית החולים כפר שאול איתנים היא עוד חוליה בשרשרת מתקפות על מערכי IT בארגוני בריאות – בארץ ובחו"ל. היא ממחישה את הצורך הדחוף והמיידי בפריסת מערכות הגנה טובות יותר בבתי החולים בישראל, על מנת לענות למכלול הסיכונים הנובעים מגניבת ודליפת מידע רפואי רגיש. בעקבות חוליה קודמת באותה שרשרת – פרסום מידע רפואי רב ממערכות המידע של בית החולים מעיני הישועה – קלירסקיי, מחברות הסייבר הישראליות הבולטות, בחנה את הסיכונים הספציפיים לדליפת מידע רפואי ממערכות מידע של בתי החולים במדינה, וגילתה ש-"ההגנה על המידע הרפואי שלנו היא לא פחות מאשר אסון". את המשפט המדאיג הזה אמר לאנשים ומחשבים מייסד ומנכ"ל קלירסקיי, בועז דולב.
דולב כתב מאמר אודות הגנת הסייבר על מערכת הבריאות בישראל, שהגיע לידי אנשים ומחשבים. לצורך כתיבת המאמר, הוא נעזר בסדרת שאלות שאותן הוא הציג למערכת Claude.ai, כשהשאלות והתשובות תורגמו לעברית, והממצאים הטרידו מאוד את מנוחתו. לדבריו, הם צריכים להטריד את מנוחת כולנו.
מה גילית?
"אני לא יכול לחשוף, כמובן, את כל הממצאים, אבל אני יכול בהחלט להגיד שלא מדובר באפשרויות דמיוניות. יש סכנות פוטנציאליות רבות בשל דליפה של מידע רפואי רגיש של עובדים ובכירי ציבור. למשל, ראש הממשלה, בנימין נתניהו, עבר באחרונה טיפול רפואי, מה שעורר שאלות לגבי מצב בריאותו והאם הוא משפיע על יכולתו למשול. יש גם דוגמאות היפותטיות: למפקד בגבול הצפון נרשמו תרופות פסיכיאטריות חזקות, וככזה, הוא עלול להיות מטרה של האויב; ראש סוכנות מודיעין עובר דיאליזה כלייתית רגילה, ואז ההאקרים עלולים לנסות לחבל או למנוע את ביצועה; או יש פקיד בכיר באבטחת סייבר שסובל מ-HIV, ואיומי סחיטה סביב חשיפת מצבו הבריאותי הרגיש עלולים לגרום לו להסס מלפעול מול קבוצות תקיפה מסוימות".
נראה שבהיבט הסייבר, מערכת הבריאות צריכה טיפול. צילום: ShutterStock
מהם הסיכונים שנובעים מגניבת ודליפת מידע רפואי רגיש?
"הסיכונים האלה נחלקים לכמה סוגים: הפרת פרטיות של המטופלים, כי הרשומות הרפואיות מכילות מידע אישי רגיש ביותר על בריאותם, כמו גם מידע על טיפולים, מרשמים ועוד; גניבת זהות – פרטים כמו שמות, תאריכי לידה, מספרי זהות ופרטי התקשרות, שמצויים ברשומות רפואיות, עלולים לאפשר גניבת זהות והונאה על ידי פושעים. כמו כן, מטופלים עלולים לחוות תביעות רפואיות כוזבות שהוגשו בשמם, או אפילו מרשמים שמולאו תוך שימוש בפרטיהם שדלפו; יכול להיות גם מקרה של הונאת ביטוח או הונאה רפואית. עם גישה להיסטוריה רפואית ופרטי חיוב, פושעים יכולים לזייף תביעות ביטוח או חיוב עבור שירותים שמעולם לא סופקו; סחיטה – תוקפים עלולים לאיים בחשיפה פומבית של מידע רפואי סודי, או מביך, כדי לסחוט את המטופלים; פגיעה במוניטין – תקיפות סייבר עלולות לפגוע במוניטין של בית החולים כספק אמין של שירותים רפואיים, בעיקר אם הוא לא נקט בצעדי אבטחת המידע הנדרשים. פגיעה שכזו עלולה להשפיע על שימור מטופלים ועל שיעורי הפניות לטיפול בבית החולים; ובית החולים עלול לעמוד בפני קנסות, סנקציות או תביעות אם יימצא שהתרשל בהגנה על המידע של המטופלים ולא פעל לפי חוקי המדינה, הרשות להגנת הפרטיות ותקנות אבטחת המידע של משרד הבריאות".
נשמע מטריד…
"מאוד, אבל זה לא הסוף: יש גם חשש על רקע דת או תרבות – ייתכן שחלק מהאוכלוסייה הדתית בישראל תחשוש במידה רבה יותר לגבי אפשרות של דליפה של פרטים רפואיים אישיים, שעלולים להיות מביכים עבורם, במיוחד בנושאים כמו בריאות הנפש, בריאות מינית, בריאות נשים ונושאים רגישים נוספים. שש נוסף הוא לחשיפה של רישומים של בדיקות רפואיות, היסטוריה בריאותית והערכות פסיכיאטריות של משרתים.ות בצה"ל. עוד יש חשש לאפליה בביטוח, למטופלים שהמידע שלהם נחשף – אז החברות שמציעות ביטוח חיים יגבו מחיר גבוה יותר ממטופלים שייתפסו בסיכון גבוה יותר, עקב מידע רגיש שדלף אודותיהם. קיים גם חשש לביטול שירותים – ייתכן שבית החולים יצטרך לבטל ולקבוע מחדש פגישות רפואיות שונות, ניתוחים וטיפולים בזמן שהוא מגיב לתקיפת הסייבר".
יש עוד או שסיימנו?
"ממש לא סיימנו. סיכונים נוספים הם שיבושים בפעילות בית החולים – ייתכן שהפריצה תיאלץ אותו להעביר מערכות קריטיות למצב לא מקוון, משמע, ניתוק מהרשת, כדי למנוע גניבה נוספת של מידע. גם תיתכן פגיעה במהלך העבודה של בית החולים ובמכונות שנסמכות על מערכות אלה. בנוסף, יש חשש של אובדן המידע המחקרי שדלף – מה שעלול לגרום לעיכוב ההתקדמות של המחקר הרפואי שמתבצע בבית החולים".
חלק ממה שאתה מזהיר כאן מפניו כבר קרה במתקפות על בתי חולים בישראל.
"נכון, אבל זה עלול להיות חמור הרבה יותר".
אז מה עושים?
"כל ארגון בריאות חייב להפנים: הוא זה שיחווה את אירוע הסייבר הבא. עליו לנהוג כך, ולהיערך בהתאם. ארגוני הבריאות במדינת ישראל חייבים להקדיש יותר משאבים ותשומת לב לתחום אבטחת המידע והגנת הסייבר יותר – כי הם לא מוגנים מספיק".
תגובות
(0)