אתר זה עושה שימוש בעוגיות על מנת להבטיח לך את חוויית הגלישה הטובה ביותר.
אסור לחכות: להיערך מיד לטרור הסייבר הרפואי צילום: LinkedIn

אסור לחכות: להיערך מיד לטרור הסייבר הרפואי

באירופה כבר הושלמה חקיקה, ה-FDA כבר פעל בנושא בארה"ב, וגם לנו אסור לחכות. אינטרס השמירה על חייהם ובטחונם של עשרות אלפי מטופלים, ראוי כי יגבר על כל שיקול אחר

24.11.2017, 07:30 | איציק כוכב

הרגולציה שתחייב יצרנים ומשווקים להטמיע מערכות הגנה במכשור רפואי, תייקר את הייצור ב-10% וייתכן שתעלה את המחירים שמשלמת המדינה עבור הציוד. בכל זאת, באירופה כבר הושלמה חקיקה, ה-FDA כבר פעל בנושא בארה"ב, וגם לנו אסור לחכות.

ישראל חייבת לחוקק מייד חוקים ולהתקין תקנות לפיהם יצרנים ומשווקים של מכשור רפואי, לא יורשו למכור בארץ מכשור רפואי שאיננו מוגן מפני מתקפות סייבר. כפועל יוצא, ניתן יהיה לקבוע כי גם מרכזים רפואיים ומכוני טיפול, לא יורשו להשתמש במכשירים שאינם מוגנים. ושי לזה כאמור מחיר כלכלי.

חשוב לקרוא לילד בשמו; כל עוד אין חוק המחייב הטמעת הגנות (cyber security), הציבור חשוף למתקפות סייבר רפואי שעלולות להיות קטלניות ולעלות בחיי אדם. הטכנולוגיות להגנה על מכשור רפואי מפני חדירה של האקרים, הבשילה לאחרונה, בחודשים האחרונים ממש.

בישראל אמנם כבר יש חוק לאישור מכשירים רפואיים (המכונה "חוק אמ"ר"), אשר קובע שורת קריטריונים בהם צריך לעמוד ציוד ומכשור רפואי כדי לקבל אישור שיווק, אך החוק אינו כולל תקנות אבטחת מידע. לפיכך, על משרד הבריאות לתקן תקנות אבטחת מידע בחוק אמ"ר, ובהקדם.

קוצב לב, קוצב מוח ומשאבת אינסולין

מהו, למעשה, אותו איום סייבר? כל קוצבי הלב המודרניים, למשל, כמו שתלים רפואיים אחרים, הם סוג של מחשבים. הם מתקשרים ומוסרים נתונים לרופא המטפל ולחברה המפתחת של המכשיר. למחשבים רגילים כמו מחשב ביתי או מחשב נייד, יש מערכות אבטחת מידע, אולם על מחשבים "רזים" כמו קוצב לב, קוצב מוח, משאבת אינסולין, זרז גסטרואנטרולוגי, מכשירי הליכה לסובלים מרגל שמוטה (DROP FOOT), או דפיברילטור תת עורי, לא ניתן להגן באותו אופן.

אילוסטרציה, צילום: אוראל כהן אילוסטרציה | צילום: אוראל כהן אילוסטרציה, צילום: אוראל כהן

ככלל, מערכת אבטחת מידע ברמה סבירה ומעלה, מסוגלת להגן רק על מחשבים או על רכיבי מחשב שבהם מערכת הפעלה טובה, זיכרון (RAM) חזק, מעבד (CPU) חזק, ומאוורר טוב שיקרר את המעבד הפולט חום. שתל רפואי אינו יכול להכיל את כל אלה בשל גודלו, ועל כן אין בו כלי אבטחת מידע כמעט כלל. גם מכשור רפואי כבד לעתים קרובות אינו מכיל מערכות הגנה, בשל העלויות והיעדר חוק מחייב.

שתלים ומכשירים רפואיים המחוברים לאינטרנט הם חלק ממשפחת ה IOT (Internet Of Things) ההולכת ומתפתחת בקצב מסחרר, והם משתייכים לתת משפחה הנקראת HEALTH IOT. תת משפחה זו וכשלי האבטחה שלה מהווים האיום הגדול ביותר כיום בעולם הסייבר. הדרך להגן על מחשבים אלו על אף היותם רזים, היא לאבטח את התקשורת עמם באמצעי הצפנה היוצר זיהוי חד חד ערכי בין המכשיר לבן שיחו.

גם מכשירים שכבר הושתלו בגופם של חולים, ניתנים להצפנה באמצעות שינוי התוכנה שמעורבת בתקשורת שלהם. כל עוד הם אינם מוצפנים, הם מהווים יעד ריאלי ואטרקטיבי למיליוני האקרים מזיקים ברחבי העולם. 

חשוב להבין שהנזק הפוטנציאלי הוא אינסופי וקטסטרופלי בחומרתו: ניתן בקלות להשבית או לשנות פעילותו של שתל רפואי, ניתן לשבש פלטים וממצאים, ולמשל ליצור וירוס שיציג ליקוי רפואי שאירע בצד שמאל של הגוף, כאילו התרחש בצד ימין. הנזק עלול להיות עצום; החל בקבלת טיפול לא נכון, דרך השהיית טיפול חיוני, ועד למוות מיידי שיגרם למטופל אשר בגופו שתל שנפרץ ונעשה בו שימוש קטלני מרחוק (דפיברילטור תת עורי, למשל, עלול להכות את לבו של המטופל במכת חשמל שלא לצורך).

הסיבה לאי אבטחת המכשירים הרפואיים, כעת כאשר הטכנולוגיה כבר קיימת, היא רק כלכלית אולם, אינטרס השמירה על חייהם ובטחונם של עשרות אלפי מטופלים, ראוי כי יגבר על כל שיקול אחר.

השאלה איננה האם ניסיונות טרור רפואי יתרחשו, אלא רק מתי הם יתרחשו, והאם נהיה ערוכים לכך.

הכותב הוא הממונה על הגנת המידע, הפרטיות והסייבר בשירותי בריאות כללית, שיקיים דיון בנושא ביום רפואה דיגיטלי מיוחד שיתקיים בכנס ici לחדשנות ברפואת לב וכלי דם

תגיות