החשיפה הקריטית לאיומי סייבר בארגוני בריאות – כיצד מפחיתים סיכונים?

מערכת הבריאות הינה, כידוע, מטרה מועדפת עבור פושעי סייבר. מתקפות כופרה, גניבת מידע רפואי רגיש, ניצול לרעה של מכשור רפואי פיזי מחובר לרשת (המרחב הסייבר-פיזי) ושיבוש שירותים חיוניים מאיימים על בתי חולים ומרפאות ברחבי העולם. הסיבות לכך ברורות – מידע רפואי הוא בעל ערך רב בשוק השחור, פגיעה בבטיחות מטופלים מהווה איום משמעותי ונוסיף לכך, שמערכות בריאות נוטות להיות חשופות יותר בשל תקציבים מוגבלים והתיישנות ציוד.

מערכת שירותי הבריאות בישראל אינה יוצאת דופן בהיבט זה, ולמרות ריכוז מומחיות בתחום הסייבר, אין הגנה הרמטית. כמה בתי חולים בישראל נאלצו להתמודד עם מתקפות סייבר, בהן זכורה מתקפת הכופרה על בית החולים הלל יפה בחדרה ב-2021, שגרמה לשיבושים גדולים בפעילות, וב-2023 – ניסיון תקיפה, שאמנם נבלם, בבית החולים זיו בצפת, אך גרם לדליפת מידע רפואי ושיבושים בפעילות.

מתקפות אלו מדגישות את הצורך הדחוף בהשקעה באבטחת סייבר במגזר הבריאות. הפגיעה בבתי חולים יכולה להיות לא רק כלכלית, אלא גם להשפיע ישירות על בריאות המטופלים ואף לסכן חיים. הבנת החשיבות של ניהול חשיפה בסביבות בריאות היא בסיסית לאבטחת רשתות בגופי בריאות.

"ניהול חשיפות מתייחס לגישה של אבטחת סייבר, שמטרתה לזהות, להעריך ולטפל בנקודות תורפה עוד לפני שהן מתגלות ומנוצלות על ידי תוקפים"

בהיבט זה, הטרנספורמציה הדיגיטלית העצומה המתרחשת במגזר הבריאות מאתגרת יותר מאי פעם ארגונים המספקים שירותי בריאות. מערכות סייבר-פיזיות (CPS) של ארגון בריאות מכילות מספר חסר תקדים של מכשירים מחוברים, כולל מכשור לא מנוהל באופן מסורתי כמו ציוד רפואי, מכשירי IoT ומערכות אוטומציה לניהול מבנים. עם כל המכשירים הללו מגיעה האחריות להפחית את הסיכון ולמזער את החשיפה. המפתח לכך הוא שיפור עמדות האבטחה עם נראות גדולה יותר של נכסים, המאפשרת לארגוני בריאות לנטר, להעריך ולהתגייס נגד איומים.

מהו ניהול חשיפה בתחום הבריאות?

באבטחת סייבר, מצב של פגיעות למתקפות סייבר פוטנציאליות עקב חולשות בסביבה סייבר-פיזית מכונה חשיפה. לכן, ניהול חשיפות מתייחס לגישה של אבטחת סייבר, שמטרתה לזהות, להעריך ולטפל בנקודות תורפה עוד לפני שהן מתגלות ומנוצלות על ידי תוקפים. עם כל כך הרבה סוגים שונים של מכשירים המחוברים לרשת בארגוני בריאות, המטרה של ניהול חשיפה בארגונים אלה היא לצמצם את שטח התקיפה על ידי זיהוי נקודות תורפה ברשת ונקיטת פעולה מתאימה כדי למזער את הסיכון.

מדוע ארגונים המספקים שירותי בריאות צריכים לתעדף את ניהול החשיפה?

ארגוני בריאות מכילים סוגים רבים ושונים של נכסים מורכבים ברשת שלהם. זה יכול להפוך את הרשת לקשה יותר לאבטחה. בגישה המסורתית לניהול פגיעויות (CVSS) קיימים מכשירים ברמת הסיכון הגבוהה ביותר ברשת, שאינם מזוהים כראוי. מכשירים אלה מחוברים לאינטרנט עם גישה לא מאובטחת ונוטים לכלול לפחות חולשה ידועה אחת (KEV). מעבר לגישה פרואקטיבית של ניהול חשיפה מתמשכת לאיומים מאפשר לצמצם נקודות עיוורות, ובכך לשמור על שלמות הסביבה הקלינית, להגן על מטופלים, צוות, תשתיות ומכשירים.

השיקולים העיקריים ביישום גישה  של ניהול חשיפה

לחצים רגולטוריים בתעשיית הבריאות – התקדמות בחקיקה הדגישה את חשיבות הצורך בבקרות אבטחת סייבר חזקות יותר. לחצים אחרים בתעשייה כוללים  SBOM (ר"ת Software Bill of  Materials), המספקים נראות לאיומים פוטנציאליים, שעלולים לנבוע מחולשות מוטבעות. ניתן לאסוף תובנות ייחודיות ממכשירים רפואיים מיצרני מכשור רפואי (MDM) באמצעות מסמכי VEX, טופסי MDS2 ועוד.

ארגוני בריאות מנווטים ביותר מ-360 תוכניות ייחודיות בממוצע לאישור מדבקות מיצרני מכשירים רפואיים. האתגר טמון במציאת פתרונות שיש להם הן המומחיות והן הידע המתאים במגזר הבריאות כדי לעקוב ביעילות אחר נתיב ההתקפה כולו, לטפל בחולשות ובחשיפות ולאפשר ציות יעיל לתקנות.

שיטות מותאמות אישית לנראות נכסים – ההגנה על מכשירים רפואיים דורשת אסטרטגיה מובחנת, הכוללת גילוי, אימות וביצוע של תוכנית המשתמשת במגוון רחב של שיטות איסוף נתונים. מעבר למכשור רפואי בלבד, קלארוטי מצאה, כי 30% מאירועי הסייבר בתוך בתי חולים בשנה האחרונה השפיעו על מערכות סייבר-פיזיות אחרות, כולל מערכות ניהול מבנים. כדי לזהות מערכות אלו, שבדרך כלל אינן מנוהלות על ידי IT, נדרשות שיטות גילוי פסיביות ואקטיביות כאחד, המבטיחות תובנות מפורטות לגבי חולשות וחשיפות. התקנים שונים דורשים שיטות גילוי שונות, ומה שעובד ב-IT עשוי שלא לפעול עם התקני טכנולוגיה תפעולית (OT) . לכן חיוני להשתמש בכלי, שנבנה במיוחד עבור התקני OT ומשתמש בפרוטוקולים הנכונים כדי לבצע שאילתות על כל מכשיר ללא הפרעה או זמן השבתה.

ניהול סיכונים דורש גישה דינמית – שיטות מסורתיות לניהול חולשות אינן מציעות את רמת ניהול החשיפה הדרושה לאבטחת כל סוגי המכשירים השונים המחוברים לרשת של ארגון בריאות. 38% מהנכסים המסוכנים ביותר מתעלמים מגישות מסורתיות לניהול חולשות מבוססות CVSS. זאת נקודה עיוורת שיכולה להיות מנוצלת בקלות על ידי שחקנים רעים. ניהול חשיפה עבור סביבות בריאות חייב להדגיש את המכשירים בסיכון הגבוה ביותר כדי לתעדף ולהגן מפני התקפות פוטנציאליות. אמנם השקעה באבטחת סייבר דורשת משאבים, אך העלות של מתקפה מוצלחת עלולה להיות הרסנית הרבה יותר. על ידי נקיטת צעדים מניעתיים ושימת לב מיוחדת למרחב הסייבר-פיזי שבו קיים סיכון ואיום למציאת חולשות, ארגוני בריאות יכולים להגן טוב יותר על המכשור הרפואי והמידע הרגיש שברשותם ולהבטיח את המשך הטיפול הרפואי ללא הפרעה.

הכותב הוא סגן נשיא גלובלי לחוויית לקוח, תחום בריאות, קלארוטי.