האם האקרים יכולים לפרוץ לקוצבי לב ומשאבות תרופות?

האם פושעי סייבר מסוגלים לפרוץ אל מכשור רפואי כקוצבי לב? שני מחקרים חדשים שפורסמו לאחרונה מראים כי מבנה קוצבי הלב לא מאפשר עדכוני אבטחה סדירים, מה שמעלה את הסיכון לפגיעה בהם. בנוסף, מעידים מוסדות בריאות בעולם על קשיים גדולים באבטחת מכשור רפואה ייעודי.

לפי דיווח של ה-BBC, המחקר הראשון בוצע בידי חברת אבטחת המידע Whitescope והצביע על שורת ליקויים בהתקנים רפואיים שונים, שמקשים על עדכוני תוכנה. בין היתר, אותרו גם פרצות אבטחה, נתונים ללא הצפנה ועוד. באף התקן לא היתה גישה מותנית שם משתמש וסיסמה או דרך מובנית לזהות כל מכשיר המתחבר לרשת כמורשה. לדברי החוקרים, ליקויים אלה עלולים לסכן את בריאות המשתמשים - ועל יצרניות הציוד לתקן בהקדם את הליקויים.

בעיות אבטחה במכשור רפואי

המחקר השני נשען על סקר שביצע מכון פונימון האמריקאי בקרב 260 מוסדות בריאות שונים, בתי חולים ו-250 יצרני מכשור רפואי, במטרה ללמוד עד כמה התעשייה תופסת את עצמה כמוכנה למתקפות רשת. לפי הסקר 80% מהמשיבים אמרו כי קשה להם מאוד לאבטח את הרשתות והמוצרים שלהם. זאת, בעוד רק 9% מהיצרנים ו-5% מבתי החולים חיפשו באופן פעיל ליקויי אבטחת מידע בכל שנה. כ-17% מהיצרנים נקטו בצעדים לוודא את אבטחת המוצרים שלהם, באופן בלתי סדור או קבוע. רק מחצית מהיצרנים התייחסו להמלצות ה-FDA בתחום. הסיבות העיקריות לליקויים באבטחה היו באגים בתוכנה, חוסר ידע בכתיבת תוכנה מאובטחת, מגבלות לו"ז ועוד. 

ומה בישראל?

המצב בשוק מורכב יותר ממה שמציגים המחקרים - כך עולה משיחה של "כלכליסט" עם גורם בכיר בתחום אבטחת המידע בארץ האמון על בדיקת רמת האבטחה של מוסדות בריאות. לדבריו, יש להפריד בין תקיפות סייבר נגד מערכות IT רפואיות ובין ניסיונות תקיפת התקנים כקוצבי לב ומשאבות תרופות. "הצלחת תקיפות על מערכות IT כפי שנצפו בקמפיין הכופר האחרון תלויה באבטחת רשתות נאותה. הסיבה בגללה התקיפה הצליחה כל כך בבריטניה היא שמטרות רבות היו מבוססות על מערכות מיושנות ומעודכנות", הסביר.

"בישראל למשל המצב טוב בהרבה מבריטניה ולמרות שאין חובה רגולטורית - לא מעט בתי חולים מאובטחים ברמה נאותה למדי בעיקר בזכות כך שלא מעט חברות סייבר ישראליות נוהגות לבצע התקנות של מוצריהן במסגרת בדיקות פיתוח שהן מבצעות", הסביר הגורם. עם זאת, תקיפה של התקנים רפואיים הוא תחום שונה לחלוטין, "זה נכון שלא מעט התקנים סובלים מרמת אבטחה ירודה למדי. הסיבות לכך הן רבות ובחלקן שקשה מאוד לאבטח קוצב לב שנמצא בתוך גוף המושתל ושדורש חיבור לעדכון. החדשות הטובות הן שגם תקיפה של התקן כזה דורשת גישה שלא קל להשיג. במקרים רבים, האקר שירצה לתקוף התקנים כאלה יצטרך גישה ישירה להתקנים אם ברמה פיזית או ברמת קרבה - מה שהופך את הסיכון לגבוה הרבה יותר עבורו".

חשוב לזכור שמדובר בתרחיש מאוד חריג ונדיר: למעשה, תועד רק מקרה אחד שבו חדר האקר למערכת מידע רפואית של מתקן צילום והשיג צילומים של חולה במהלך סריקת MRI. מקרה נוסף הוא סגן נשיא ארה"ב לשעבר דונלד ראמספלד, שביקש לכבות את גישת הבלוטות' לקוצב הלב שלו ב-2006 מחשש לתקיפת סייבר.