"משרד הבריאות לא ערוך להגנה על בתי החולים ממתקפות סייבר"
"המתקפה על בית החולים הלל יפה המחישה שההיערכות של מערכת הבריאות לא מספקת", כותב מתניהו אנגלמן ● עוד מממצאי הדו"ח: מכשירים רפואיים קריטיים חשופים לפריצות ולמשרד הבריאות אין ביטוח סייבר
מבקר המדינה חושף ליקויים קשים בהיערכות משרד הבריאות בכל מה שקשור להגנה מפני מתקפות סייבר על בתי החולים הממשלתיים ועל המכשור הרפואי שקיים בהם. בפרק שהוא מקדיש למערכת הבריאות בדו"ח מבקר המדינה שפורסם היום (ג') כולל המבקר, מתניהו אנגלמן, התייחסות רחבה למתקפת הסייבר שחווה בית החולים הלל יפה, שאירעה באוקטובר האחרון – במהלך ביצוע הביקורת.
בית החולים חווה מתקפת כופרה, שהביאה לשיבוש ממשי של פעילותו וגרמה להעברת חולים לבתי חולים אחרים, מעבר לעבודה ידנית לא ממוחשבת, מניעת גישה למידע הרפואי של המטופלים ועוד. המבקר קובע שמתקפה זו "המחישה את החשיבות של הגנת סייבר במרכזים רפואיים" וש-"ההיערכות של מערכת הבריאות (למתקפות סייבר – י"ק) לא מספקת".
בית החולים הלל יפה. צילום: דוברות בית החולים, מתוך ויקיפדיה
מתקפות הסייבר עלו בקורונה; הבקרה של מערכת הבריאות בנושא – לא
בביקורת עלה כי "כשש שנים לאחר שהממשלה קיבלה החלטות בנושא היערכות לקידום אסדרה לאומית בהגנת הסייבר, לא הוסדרו סמכויות מערך הסייבר הלאומי כלפי היחידות להכוונה מקצועיות במשרדי הממשלה, לרבות במגזר הבריאות". עוד נכתב ש-"משרד הבריאות לא השלים את גיבוש הנחיותיו בתחום הגנת הסייבר, הכוללות עקרונות יסוד לניהול התחום וכלים להתמודד עם מתקפות, והן לא הופצו במסגרת בקרות הרישוי שביצע המשרד במרכזים הרפואיים".
ממצאים נוספים מראים שב-2019 וב-2020 לא בוצעו בקרות בנושא ההגנה על מכשור רפואי (על אף השימוש התכוף בו בקורונה והעלייה במספר מתקפות הסייבר על מגזר הבריאות במהלך המגפה), כמו גם מעקבים אחר תיקון ליקויים שעלו בדו"חות שפרסם המבקר בנושא אבטחת המידע.
המבקר מציין שיש שוני בהיערכות המוסדות הרפואיים לסייבר, בכל מה שקשור לאיוש כוח האדם. "בחמישה מוסדות יש רק איש צוות אבטחת מידע ל-1,000 עובדים ומטה, ובשלושה מוסדות יש איש צוות אחד ל-3,000 עובדים", כותב אנגלמן. הוא מצא גם שבשישה מ-11 המרכזים הרפואיים הכלליים-ממשלתיים הקצו תקציבים להגנת סייבר בשנים 2015-2020 בשיעור הקטן מזה שקבעה החלטת הממשלה – 8% מההקצאה התקציבית לאבטחת מידע. עוד כתב המבקר שבמועד ביצוע הביקורת לא היה ביטוח סייבר למרכזים הרפואיים שנבדקו על ידי המשרד.
מחדלים חמורים בהמשכיות עסקית ובהתאוששות מאסון
המבקר חושף בדו"ח מחדלים חמורים במרכזים הרפואיים של משרד הבריאות בכל מה שקשור להמשכיות עסקית. "מתוך 17 המוסדות הרפואיים שנבדקו, לשניים אין תוכנית להתאוששות מאסון (למשל מתקפת סייבר על תשתיות מערכות המידע של המוסד הרפואי – י"ק) או תוכניות להמשכיות עסקית; לשישה אין אתר חלופי, DR, זמין לטובת המשך פעילות מערכות המידע במקרה של אסון; 13 לא שילבו בתוכניות שלהם להתאוששות מאסון או בתוכנית להמשכיות עסקיות את אופן הטיפול וההתאוששות של מערך המכשור הרפואי", כותב המבקר. אי סדרים נמצאו גם בנהלי הרכש של ציוד רפואי בכל מה שקשור לאבטחת מידע וסייבר.
עוד הוא מציין כי "מתוך 17 המוסדות שנבדקו, חמישה לא כללו בנהלי הרכש שלהם התייחסות להיבטי אבטחת מידע במכשור הרפואי, ולאחד אין נוהל רכש; חמישה לא התנו את רכישת המכשור הרפואי בכך שממונה אבטחת המידע יאשר את ביצוע הרכש, ולעתים מוסדות רפואיים שדרשו בנהליהם אישור של ממונה אבטחת המידע לצורך הרכש רכשו בפועל את המכשירים בלי שהתקבל אישור לכך".
"מכשירי MRI ו-CT חשופים לנוזקות"
אנגלמן מציג תמונת מצב מדאיגה גם בכל מה שקשור לבטיחות ההפעלה של מכשירים רפואיים קריטיים, כמו מכשירי CT ו-MRI, ומזהיר שחלק מהם חשופים לפגיעה של נוזקות וחדירה באמצעות כלים פוגעניים – מה שעלול לעלות בחיי אדם. בין הממצאים של המבקר בתחום זה: "מבין 17 המוסדות הרפואיים שנבדקו, שישה לא מיפו את כל המכשירים הרפואיים שברשותם; קיימים חוסרים מהותיים במערך ההגנה שהמוסדות הרפואיים הטמיעו ברשת לצורך הגנה על מכשור רפואי, ובכלל זה מכשירי דימות, ובחלק מהמוסדות יש שילוב של חוסרים המגבירים את חשיפתם של המכשירים לסיכוני אבטחת מידע".
מכשיר MRI. צילום: BigStock
בדו"ח מצוין לחיוב שב-2016, עוד לפני שניתנה הנחיית מערך הסייבר הלאומי, החליט משרד הבריאות להקים SOC מגזרי, שייתן שירות למוסדות רפואיים – יפעל כמרכז המשמש לניטור אירועי סייבר, וכן לשליטה ולבקרה עליהם. ה-SOC החל לפעול בסוף אותה שנה. עם זאת, נכתב בדו"ח, "מערכות ה-SOC של המשרד מאוישות באופן חלקי, רק בימי חול", נכתב.
לסיכום מציין המבקר כי "איומי הסייבר על מערכת הבריאות הולכים ומתרבים, הם ממשיים ואינם רק בגדר איום. ניסיונות תקיפה של האקרים מתבצעים כל העת. תקיפות כאלה עלולות להוביל לשיבוש בפעילות השוטפת של המוסדות הרפואיים, לזליגה של מידע רפואי של מטופלים ולגרימת נזק למכשירים רפואיים חיוניים. לא מדובר רק בניסיונות תקיפה של האקרים, אלא גם בניסיונות מצד גורמים בעלי עניין שיש להם גישה למערכות ולמכשור ומעוניינים לפגוע בהם או לשבש את פעילותם. איומים אלה מחייבים את משרד הבריאות ואת הנהלות המוסדות הרפואיים לשים את הדגש הראוי על סיכוני אבטחת המידע הכרוכים בשימוש במכשירים רפואיים ועל הדרך הראויה להתמודדות עימם".
לא התקבלה תגובת משרד הבריאות. היא תפורסם אם וכאשר היא תגיע.
תגובות
(0)