שי אמיר, משרד הבריאות: "מערכת הבריאות אינה ערוכה למתקפת סייבר כוללת על בתי החולים"
"בתי החולים ערוכים כל אחד באופן נקודתי. בסך הכל הכללי אנו חייבים לעשות תיעדוף וניהול סיכונים. עושים איזון בין הצרכים לבין האיומים, יש תמיד שאיפה ליותר אבל המאזן הוא טוב", אמר אמיר, ה-CTO של המשרד ● שימי ארנסט, בית החולים שיבא: "משרד הבריאות לא מתייחס לתחומים של מובייל, והרופאים מחזיקים מידע רפואי במסגרת BYOD, נושא שדורש אבטחה ועדיין אין לו מענה"
"בכל מה שקשור לטיפול באיומי סייבר על מערכת הבריאות, הגדרנו איזה מענה המדינה צריכה לתת ואיזה מענה בתי החולים צריכים לתת. ברור לחלוטין שאם מדינה מסוימת תתקוף נקודתית את כל מערכת הבריאות, לא יהיו לנו הכלים להתמודדות. בדיוק כמו שלא מצפים שהצבא ישמור על כל בית, ולכן קיימת מעטפת הגנה פרטית, ובמקביל לאומית. כך, אני מצפה שתתנהל גם ההגנה על מערכת הבריאות", אמר שי אמיר, ה-CTO של משרד הבריאות, במהלך שולחן עגול של אנשים ומחשבים, שעסק בנושא הערכות מערכת הבריאות לאיומי סייבר.
את המפגש הוביל רמי אפרתי, עד לאחרונה ראש אגף בכיר במטה הסייבר הלאומי במשרד ראש הממשלה, יזם ומומחה בינלאומי לאיסטרטגיות סייבר בסקטור האזרחי וכן מנמרים ממגזר הבריאות. אפרתי עומד בראש פורום סייבר מקצועי שהוקם על ידי אנשים ומחשבים, ומטרתו הפצת ידע, מחקרים כנסים ודיונים בהערכות האזרחית לסייבר, במגזרים השונים של המשק.
בדיון השתתפו אילן לביא מקופת חולים לאומית, אברהם לודוויק משירותי בריאות כללית, נטליה מינולין מבית החולים אסף הרופא, דן לוין מבית החולים רמב"ם, ישראל פיינברג, בית החולים וולפסון, נתן דילסדורף, בית החולים לניאדו, שימי ארנסט, מבית החולים שיבא, איתי זימן ממכבידנט, ועדינה סלומון מבית החולים איכילוב.
"מסכת האיומים שאנו יכולים לייצר לעצמנו היא אין סופית, אבל אי אפשר לבצר את כל בתי החולים סביב חומות הגנה כמו שאי אפשר לשים חייל ליד כל בית בישראל. ולכן אנו חייבים לעשות תיעדוף וניהול סיכונים. עושים איזון בין הצרכים לבין האיומים, יש תמיד שאיפה ליותר אבל המאזן הוא טוב", הוסיף אמיר.
בהסבירו את תפיסת המשרד בכל הקשור לסייבר, אמיר הסביר כי "ההערכות של המשרד שהחלה כבר לפני שנתיים נעשית בין היתר באמצעות הכפפת כל בתי החולים לתקן 2799Iso שהוא התקן האחיד לאבטחת מידע במערכת הבריאות. המצב הוא טוב, רוב בתי החולים כבר ערוכים, והחל מה-1 בינואר 2016, כל הספקים שעובדים עם מערכת הבריאות יהיו חייבים לעמוד בתקן זה".
בנוגע לאיומים רחבים יותר על מערכת הבריאות, שאינם קשורים ישירות רק למערכות מיחשוב, אמר אמיר: "אנו נערכים לתרחישים של שיבוש מערכות, דבר שמשמעותו הוא פגיעה בחיי מטופלים. לצורך כך נעזרנו בסקטור הפרטי ובניסיון של שירותי בריאות כללית. במקביל יש מגעים עם רא"ם, כדי שהם ינחו אותנו מה נכון לעשות".
עוד ציין אמיר כי בתחום אבטחת המידע הרפואי. הוקמה ועדה שעושה השלמות להגנה מפני נזקי סייבר ואבטחת מידע: "היא מטפלת למשל בנושאים כמו שמירת מידע ברשת ברמת ההגנה על הפרטיות, וזה לא פשוט כל כך. מצד אחד אנו מחויבים לשמירה על חיסיון המידע הרפואי ומצד שני אני צריך לעשות DRP, כלומר לשכפל און ליין את המידע הרפואי. יש כאן סתירה שהרגולטור יצטרך לתת את הדעת עליה" אמר.
רמי אפרתי בחר להתייחס באופן כללי ליכולת משרד הבריאות בכל מה שקשור להיערכות ההגנתית שלו: "משרד הבריאות הוא אחד המשרדים היותר מתקדמים בהערכות לסייבר במשק הישראלי. יש אתגרים שצריכים להתגבר עליהם, ומטה הסייבר מטפל בזה, קודם כל כדי להעלות את המודעות בקרב מנהלי בתי החולים, כמו גם מנהלים ממגזרים אחרים." אמר אפרתי, והוסיף כי "במטה הסייבר הוקמה ועדה ציבורית בראשות האלוף במיל עמי שפרן שבודקת הגדרת מקצועות אבטחת מידע בכלל שתשפיע כמובן גם על מגזר הבריאות".
שימי ארנסט מבית החולים שיבא התייחס לתקני האבטחה וההערכות של משרד הבריאות: "הם לא מתייחסים לתחומים של מובייל, והרופאים אצלנו מחזיקים מידע רפואי במסגרת BYOD – נושא שדורש הרבה אבטחה שעדיין אין לו מענה. יש לנו אתר בשיבא שבו החולה מקבל את כל תוצאות המעבדה שלו ישירות למחשב. יכולנו לעשות לעצמנו חיים קלים ולסגור אותו, אבל זו לא המטרה. במקום, אנו משקיעים מאמצים רבים בהגנה על המידע ואנו עושים כל הזמן בדיקות חדירה".
נטליה מינולין, מבית החולים אסף הרופא חיזקה את דברי ארנסט לגבי ה-BYOD: "כל הפעלה של מובייל, או BYOD, דורשת אבטחה רבה ואין מענה מספיק לזה. יש אתגר שקשור לשיתוף מידע: בתי החולים משתפים ביניהם מידע רפואי שנמצא ברשת. האיום של הסייבר מבוסס על כך שבתי החולים מחוברים לרשת שיתוף מידע, וכך איום של שיבוש נתונים ברשת יכול לגרום להפצת מידע שגוי בין רופאים – דבר שהוא מסוכן מאוד".
ישראל פיינברג, מבית החולים וולפסון אמר כי במסגרת ההיערכות לסייבר, יש לא מעט היבטי אבטחת מידע בהם מטפל בית החולים: "יש פה דילמה קשה. מצד אחד אנו רוצים לתת כמה שיותר מידע לחולה, כמו למשל תוצאות מעבדה, ומצד שני יש היבטים של שמירה על הפרטיות וסודיות רפואית. בסופו של דבר למרות שאומרים היום שהמידע שייך לחולה, האחריות היא קודם כל שלנו".
אברהם לודוויק משירותי בריאות כללית הוסיף על הנושא: "הסייבר הוא דבר חדש, לא הכול ידוע עליו ויש ציוד רפואי שמחובר למיחשוב, מערכות בקרה שהן מערכות קליניות. לדעתי עדיין אין מענה כולל לנושא הזה".
איתי זימן, מכבידנט: "גם אנחנו מתמודדים עם מידע רפואי שנחשף למטופלים באמצעות האתר, אבל אלו נושאים מינהליים".
יתר הדוברים במפגש הסכימו כי אכן נעשתה כברת דרך מצד משרד הבריאות בכל מה שקשור להאחדת הטיפול באבטחת מידע וסייבר, אבל עדיין יש הרבה מה לעשות, ובעיקר ללמוד ולקבל הנחיות.
ובכן, לאור התקציב התקציב הגבוה של משרד הבריאות, ניתן להסיק כי אי המוכנות מחייבת חקירה ע"י גורמים אובייקטיבים.