"הסייבר בעולם הרפואה – נושא חם, מורכב ובעייתי"
"הכל צריך להיות על שולחן ההנהלה - עליה להיות מעורבת באופן עמוק בתחום הגנת הסייבר", אמר פרופ' רוני גמזו, מנכ''ל המרכז הרפואי איכילוב בתל אביב ● "יש לבנות אסטרטגיה ברורה, ליצור תרבות של מודעות לסיכון, להביא למודעות גדולה יותר של כלל העובדים - ולבצע תרגילי סייבר"
"תחום הסייבר בעולם הרפואה הופך להיות נושא חם, מורכב ובעייתי. זה קורה, בין השאר, כיוון שמנהלי ארגוני הבריאות חושבים שהכל זה טכנולוגיה, ומטילים את האחריות לתחום על מספר מצומצם של אנשי מחשוב", כך אמר פרופ' רוני גמזו, מנכ"ל המרכז הרפואי איכילוב בתל אביב.
פרופ' גמזו, לשעבר מנכ"ל משרד הבריאות, דיבר בכנס InfoSec18. הכנס, בהפקת אנשים ומחשבים, התקיים זו הפעם ה-19. הוא נערך אתמול (ב') באולם אירועים LAGO בראשון לציון בהשתתפות מאות מקצועני אבטחת מידע. הכנס דן השנה בנושא הגנת הפרטיות. את כנס InfoSec18 הנחו יהודה קונפורטס, העורך הראשי של אנשים ומחשבים, ואופיר זילביגר, שותף, מנהל מרכז הגנת הסייבר, BDO ישראל.
צילום ועריכת וידיאו: ליטל רובינשטיין
לדברי פרופ' גמזו, "מלכודת הסייבר מתאפיינת בכך שהמנהלים חושבים שמדובר במשהו שהוא כולו טכנולוגי, שתפקיד מערך המחשוב והתקשורת הוא לטפל בכך, וכמובן במחשבה השגויה של 'לנו זה לא יקרה'".
לדבריו, "זו טעות קשה להעביר את אבטחת המידע של כלל הארגון למיעוט טכנאי המחשוב. ניהול אבטחת המידע והגנת הסייבר מתחיל עם מנהיגות ברמת המנכ"ל, לצד אחריות אישית של כל עובד. צריך לנהל את הנושא ברמת ההנהלה הבכירה, יש ליצור את התרבות הארגונית הנכונה, ונדרש לספק כלים וידע לכל עובדי הארגון".
מחצית מארגוני הבריאות חוו פריצה בשנה החולפת
"ארגוני בריאות מאוד מאוד פגיעים למתקפות סייבר", ציין פרופ' גמזו, "בין השאר, בשל הגנת סייבר מועטה. כך, 48% מארגוני הבריאות בעולם חוו פריצה, דלף נתונים או אי-הלימה לרגולציות, בשנה החולפת. 26% מהם מגנים על המידע כיוון שחוו פריצה בעבר. האיומים מורכבים, וגדלים מיום ליום".
לדבריו, "יש סיבות רבות לאירועי סייבר בבתי חולים: 65% מהאירועים קורים בשל תוקפים חיצוניים, 48% מהם בשל שיתוף מידע עם גורם צד ג', 35% מהאירועים מתרחשים בשל פריצה על ידי העובדים". פרופ' גמזו הוסיף כי "החששות הגדולים באבטחת מידע בבתי חולים הם: מערכות הנגועות בווירוס (67%), גניבת רשומות רפואיות (57%), פריצה על ידי העובדים (40%), אבטחה לקויה של מכשור רפואי (32%) וחומרה מיושנת (31%)".
על פי פרופ' גמזו, "אחת הסיבות לאירועי אבטחת מידע היא משתמשי הקצה. באיכילוב יש 7,000 עובדים, 5,000 מהם בעלי נגישות למחשב. העובדים נאיבים לעתים, לחוצים בעבודתם, וכך השערים הופכים להיות פתוחים ופרוצים לרווחה. מקור הדליפה העיקרי של תיקים רפואיים הוא גניבת מחשבים ניידים".
"נקודות התורפה בבתי החולים הן רבות", אמר פרופ' גמזו. "חשיפת החומרה במאות עמדות; הצורך בשינוע מידע בין מטפלים ומוסדות – במגוון ערוצים; ריבוי מבקרים ומטופלים; שימוש בתקשורת סלולרית; נקודות גישה רבות וזמינות; ריבוי מערכות וניהול סיסמאות; ריבוי ממשקים עם ספקים, רשויות ולקוחות; אינטרנט של הדברים עם מערכות הפעלה מיושנות; שירותים דיגיטליים ללקוח ולרופא; שימוש גובר בבינה מלאכותית; והגידול בשימוש בשירותי ענן".
מה מצופה מהנהלות בתי חולים?
"מהנהלות בתי חולים יש כמה ציפיות", ציין מנכ"ל איכילוב. "היכרות עם איומי הסייבר; יצירת תרבות ארגונית של ניהול אבטחת מידע; ניהול הנושא ברמת ההנהלה – אין מה 'להפיל' את זה על מנהל האבטחה; היכרות נקודות התורפה במערך המחשוב; פעילות לעמידה בתקנים; דיון תקופתי על ניסיונות חדירה וסקרי סיכונים; תכנית עבודה שנתית מסודרת ומאושרת על ידי המנכ"ל; ותרגול אירועי סייבר".
משימתו של כל מנכ"ל, אמר פרופ' גמזו, "היא ליצור מודעות לתחום, לבנות הליכי מודיעין ובקרה, להגדיר את סביבות העבודה, לבחור מוצרים מבוססי אבטחה, לנהל את הרשתות הישנות, לשפר את רשתות התקשורת ובקרת התעבורה, לנהל ולבקר את הענן, לנהל את פרטיות המידע הרפואי ואת הרשאות העובדים".
"הכל צריך להיות על שולחן ההנהלה – עליה להיות מעורבת באופן עמוק בתחום הגנת הסייבר", סיכם פרופ' גמזו. "יש לבנות אסטרטגיה ברורה, ליצור תרבות של מודעות לסיכון, להביא למודעות גדולה יותר של כלל העובדים. נדרש לבצע תרגילי סייבר, להיערכות הארגון, יש להכין את העובדים לעבודה ידנית, לבצע גיבויים ומבדקי חדירה, להקשיח את הרשת, להכניס כלים להגנה, לניטור, התראה ומניעת דליפה. עשינו לעצמנו פישינג בבית החולים – הצלחנו להגיע למאות סיסמאות. זה מראה כמה נאיביות יש בארגוני בריאות. אנו נמצאים באמצע של ההתחלה של מסע ארוך".
רק חבל שהמנכ"ל המהולל לא דואג לתקצב באופן ראוי את מערכת הבריאות. כאשר חולים נזרקים למסדרון משיקולי תקציב, אז ברור שלא יהיו משאבים נאותים אף להגנה בסייבר.