בית חולים הלל יפה חדרה | דוברות בית חולים הלל יפה חדרה
משרד הבריאות: עלות שיקום בית החולים הלל יפה אחרי מתקפת הסייבר - 36 מיליון שקל
לדברי מומחה, עלות הטיפול באירוע הסייבר בשנה שעברה, שהשבית לחלוטין את מערכות בית החולים, היתה יכולה להסתכם ב-5% מהסכום הסופי אם המדינה היתה מסכימה לשלם את הכופר; הבעיה העמוקה יותר היא שמשרד הבריאות ומוסדותיו אינם נחשבים תשתית קריטית בעיני המדינה
משרד הבריאות ביצע סיכום של עלות החזרת בית החולים הלל יפה לפעילות לאחר אירוע הסייבר שהשבית את מערכותיו בשנה שעברה למשך מספר שבועות.
לפי נתונים שהועברו על ידי משרד הבריאות, מדובר בסכום של כ-36 מיליון שקל הכולל "הקמה מחדש של תשתיות תקשורת ומערכות מידע, אובדן הכנסות, דחיית ניתוחים לא דחופים, גיוס טכנאים להקמת המחשבים ועוד".
לפי הערכות של אנשי מקצוע, הסכום הזה היה יכול להספיק למימון הגנת סייבר יעילה של כל בתי החולים הממשלתיים במשך כשלוש שנים מלאות. במשרד הבריאות מסבירים שהעלות הזו היתה נמוכה יותר מ"מצב שבו בית החולים לא היה חוזר לתפקוד מלא מהר ככל הניתן".
אבל לא בטוח שכך באמת ניתן לחשב זאת. לפי הערכת רם לוי, מנכ''ל חברת הסייבר קונפידס, המתמחה בניהול אירועי סייבר דומים (תקיפת חברת שירביט למשל, ר''ק), האירוע היה למעשה הצלחה מקרית עבור ההאקרים, שלא כיוונו ישירות לבית החולים. לדבריו, עלות הטיפול באירוע היתה יכול להסתכם ב-5% מהסכום הסופי אם המדינה היתה מסכימה לשלם את הכופר. "כך טופל אירוע דומה באירלנד", הסביר לוי ל"כלכליסט". כעיקרון אין חוק בישראל המונע מהמדינה לנהל מו''מ עם טרוריסטים או פושעים. הדוגמה הטובה ביותר היא המו''מ שניהלה המדינה כדי להחזיר את השבויים והנעדרים עם ארגוני טרור.
משרד הבריאות ומוסדותיו אינם נחשבים תשתית קריטית בעיני המדינה
גם עומרי מויאל מחברת Profero, שמטפלת גם היא באירועים דומים בעולם, הסביר שמדובר בהיקף גבוה מאוד שמעיד שככל הנראה הוחלט לנצל את האירוע להחלפת כל תשתית המחשוב של בית החולים. מניסיונו עלות טיפול באירוע מעין זה נמוכה מאוד מההיקף שנקב המשרד. "במקרה של בית חולים גדול זה יכול להגיע לכמה מיליוני יורו בודדים", אמר.
כאמור, אירועים מעין אלה קרו כבר במדינות רבות, כולל בריטניה שם מתקפת נוזקת כופר רוסית השביתה את מערך בתי החולים הממשלתיים ברוב המדינה למשך שבועות לפני מספר שנים. קשה לומר שבישראל לא היו מודעים למצב הירוד של אבטחת הסייבר בבתי חולים. על פי דו''ח מבקר המדינה האחרון שפורסם, מצב הסייבר במערכת הבריאות אינו טוב בלשון המעטה.
בדו''ח שפורסם לפני כחודש בלבד נמצא ש-11 מוסדות רפואיים לא גיבשו נהלים לעדכוני תוכנה; ב-13 מוסדות לא בוצע סקר סיכונים בנושא מכשור רפואי - סקר שמיועד למפות את נקודות התורפה במכשירים ולבדוק עד כמה הם מוגנים; 14 מוסדות לא ביצעו מבדקי חדירה שכללו תקיפה של מכשור רפואי - בדיקות המבוצעות באופן קבוע על ידי מומחי סייבר שמדמים תקיפות האקרים בזמן אמת (red team); ולשישה מוסדות אין אתר חלופי שניתן להפעיל במקרה של אסון, שיבטיח את המשך פעילות מערכות המידע.
מדובר בבעיות מבניות שקשורות לכך שמשרד הבריאות ומוסדותיו אינם נחשבים תשתית קריטית בעיני המדינה. תשתית קריטית מוגדרת כחיונית להמשך פעילות תקינה של חיי האזרחים במדינה גם במקרה של אירוע מלחמה או אסון. לא ברורה ההפרדה הזו של מערכת הבריאות מחברת חשמל או מקורות, ולמה היא לא מוגדרת כתשתית קריטית, בניגוד לחברות לייצור מזון למשל. אבל התוצאה היא שמי שאמון על נושא הסייבר בעולם הבריאות הוא למעשה משרד הבריאות עצמו - ולא מערך הסייבר כמקובל עבור תשתיות קריטיות.
משרד הבריאות אמנם עושה כמיטב יכולתו, אבל הוא אינו גוף שמסוגל להתמודד עם עולם אבטחת המידע שנחשב תחום מקצועי נפרד. המשרד כבר עומל שנים על כתיבה של תקנון סייבר מחייב כפי שיש במוסדות הפיננסיים ובנק ישראל למשל, שגם הם לא חוסים תחת מערך הסייבר. במקביל ממשלות ישראל מתעכבות שנים בחקיקה של חוק סייבר רשמי שיגדיר את הסמכויות ואת האחריות של כל גוף בתחום.