מחלה כרונית: מתקפת סייבר על בית חולים נוסף היא שאלה של זמן

מתקפת הכופר על בית החולים מעייני הישועה הלילה היא בין השאר תוצאה של היעדר רגולציה וחקיקה מתאימה שימצבו את הגנת הסייבר של תשתיות חיוניות ובפרט של גופי בריאות, בראש סדר העדיפויות הלאומי – כך אומרים ל"לכלכליסט" מומחי סייבר ורגולציית סייבר, בהם כאלה שעובדים עם בתי חולים ועם גופי בריאות אחרים. "כל עוד לא יוקם כוח משימה לאומי, נמשיך לראות פגיעות רבות במרכזים רפואיים", הם מתריעים.

לדברי ד"ר תהילה שוורץ אלטשולר מהמכון הישראלי לדמוקרטיה, יש כיום צורך דחוף בחקיקה שתסדיר ותרחיב את סמכויות מערך הסייבר, באופן שיאפשר מניעה וטיפול טובים יותר במתקפות סייבר. "מתקפות סייבר אינן כוח עליון אלא סיכון ידוע מראש שצריך להיערך אליו", אמרה.

"מערך הסייבר הלאומי פועל עד היום מכוח החלטות ממשלה בלבד, ללא חוק מקיף המקנה לו סמכויות אכיפה וענישה. בהיעדר סמכויות כאלה אין בעצם על גופי המשק שום שוט. לא צריך לדווח על מתקפות וראשי ארגונים או חברות לא נענשים בכלל על כך שמערכת שלמה שותקה בגלל רשלנות של עובדים או של מערך אבטחת המידע שלהם. אין תמריץ לגופים ולחברות מסחריות להשקיע בהגנת סייבר כי ממילא לא יקרה להם שום דבר אם תתבצע מתקפה כזאת ואת הנזקים יספגו האזרחים, החולים, המטופלים, המשתמשים".

שוורץ אלטשולר ציינה גם שנראה כי לא הופקו הלקחים הנדרשים ממתקפת הכופר הגדולה על בית החולים הלל יפה לפני כשנה וחצי: "הערכת גורמי המקצוע בדיונים שנערכו בכנסת אחרי משבר הלל יפה היתה שהטמעת הגנת סייבר נאותה ומקיפה מחייבת השקעה של כמיליון דולר בכל בית חולים. בהינתן שמיכת התקציב הקצרה והיעדר סמכויות אכיפה וענישה בידי מערך הסייבר, ברור מדוע למשרד הבריאות ולבתי החולים אין תמריצים לאשר הוצאה כזאת.

נדרשת חקיקת חוק סייבר עדכני ומתאים לפיקוח על המשק ועל המגזר האזרחי, נדרשת גם חקיקת פרטיות מעודכנת כדי שתוסיף עוד שוט למי שמחזיק מידע פרטי על אודותינו ולא שומר עליו כראוי, ונדרשת תוכנית לאומית לשדרוג יכולות המשטרה בחקירה ובטיפול בפשיעת סייבר. כי כמו שהוכיחה תיאוריית החלון השבור: כשבעל חנות אופניים חווה מתקפת כופרה ויודע שאין לו לאן לפנות, זה רק עניין של זמן עד שישותקו מכונות החמצן בבתי חולים".

עו"ד ניר פיינברג, מנהל מחלקת הסייבר במשרד עוה"ד שבלת מייעץ לבתי חולים ולארגוני בריאות גדולים בנושא הגנת סייבר, ומקדם גיבוש רגולציית סייבר ייעודית למגזר הבריאות. הוא הזהיר מהעלות הכספית הגבוה של מתקפות אלה. "מחקרים עדכניים מראים שהנזק הכספי כתוצאה מאירוע סייבר בגוף בריאות עולה על עשרה מיליון דולר", אמר.

"רק לאחרונה פורסם שעלות ההתאוששות של המרכז הרפואי הילל יפה בעקבות האירוע הייתה 36 מיליון שקל. מידע רפואי נחשב אטרקטיבי ביותר גם לסוחרי מידע בדארקנט, שם מוכנים לשלם אלפי דולרים עבור רשומה בודדת. כל עוד לא יוקם כוח משימה לאומי עם שילוב יכולות מדינתיות-בטחוניות, נמשיך לראות פגיעות רבות במרכזים רפואיים - הן לאור ההד התקשורתי והפגיעה המוראלית הלאומית כתוצאה מתקיפה כזאת, והן לאור המאפיינים הטכנולוגיים והארגוניים של מרכזים רפואיים, שמייצרים כר פורה לתקיפות זדוניות".

עו"ד סער רוסמן, שותף וראש תחום פרטיות וסייבר במשרד עוה״ד אגמון עם טולצ׳ינסקי, אמר כי האירוע משקף את הקושי של גופי בריאות בישראל להתמודד עם איומי סייבר. "מכשור רפואי כפוף לרגולציה מוקפדת ורבת תחומים", הסביר. "לצד היתרונות שבדבר, רגולציה זו מקשה לעיתים על ביצוע פעולות טכנולוגיות מתבקשות לצורך התגוננות מאירועי סייבר - דוגמת עדכון תדיר מקומי או מרחוק של רכיבי החומרה והתוכנה בהם בנסיבות מסוימות. פער נוסף הוא העובדה שארגוני בריאות בארץ אינם מוגדרים כתשתית מדינה קריטית. כלומר, בעוד שבנקים, רשות החשמל, גופי מים ונמלים מוגדרים כתשתית קריטית ונהנים מקשב, מהנחייה וממשאבים ממשלתיים עודפים, מערכת הבריאות נותרת מאחור בהיבטים אלה ולא כל גופיה כפופים לפי דין למערך הסייבר הלאומי.

"לתוך הוואקום הזה נכנס משרד הבריאות עצמו, שעושה מאמצים רבים מאוד על מנת להדק את הפיקוח על גופי הבריאות ולתת להם הדרכה , אמצעים ואף סיוע בזמן אמת, ,אלא שהבעיה כאן טמונה בכך שמערכת הבריאות בארץ נמצאת בתת-תקצוב תמידי, וכך קיים קושי לדעתו לתת מענה מלא, במיעוט משאביה הנתון".

ליאור פרנקל, יו"ר פורום הסייבר באיגוד ההייטק ומנכ"ל חברת הסייבר ווטרפול סיקיורטי, הוסיף: "זה לא סביר שב-2023 בתי חולים בארץ מושבתים ויוצאים מכלל שימוש לשעות/ימים/שבועות בגלל התקפות סייבר. זה לא שאנחנו אמורים להיות מופתעים שהם מטרות להתקפות פליליות-כופרה או טרור סייבר. בכל תקיפה כזו, כפי שראינו גם במקרה הלל יפה, מיד מגיעים מומחים מצוותי תגובה, פרטיים וממשלתיים, ופועלים להחזיר לפעילות ולחקור מה בעצם קרה. כל זה טוב ויפה, אבל היה יותר נכון להתכונן מראש, לממש מערכות ושיטות הגנה אפקטיביות, שהיו מונעות את הצלחת ההתקפות האלו והנזק".

בובי גילבורד, אל"מ במיל' ביחידה 8200 ו-Chief Ideation Office ב-Team8, התייחס לכניסה לסכנות החדשות שמציבה בינה מלאכותית (AI). "התוקפים גילו את העוצמה האדירה שבטכנולוגיות ה-AI, והם משתמשים בהן במטרה ליצור תוכן מזויף אך איכותי", הוא אמר. לדבריו, "בחודשים האחרונים אנחנו רואים כי התוקפים משתמשים בטכנולוגיות מסוג זה כדי ליצור תוכן מתחזה מהימן יותר כמו טקסט ברמה גבוהה בשפות זרות כולל עברית, תמונות מזויפות ואף קול מזויף. העובד התמים יתקשה לזהות תוכן מזויף, ולכן בתמימותו יפתח את הדלת הראשית לנוזקה. מגזר הבריאות הוא יעד אטרקטיבי לתקיפות כאלו, מאחר שבו קיים שילוב בין רגישות גבוהה לפרטיות המטופלים לבין הצורך באבטחת מידע לשמירת רציפות תפקודית בכל עת".

עו"ד ורד זליכה, שותפה וראשת תחום סייבר ו-AI במשרד ליפא מאיר, שמייעצת לגופים במשק בהם ארגוני בריאות בתחום הסייבר, הוסיפה: "כלקח מתקיפת הסייבר על חברת הביטוח שירביט לפני קרוב לשלוש שנים, ניתן ללמוד שהרגולטור עלול לבחון בדיעבד את התנהלות בית החולים בשגרה - בהיבטי ציות לרגולציה, ניהול סיכוני סייבר, ממשל תאגידי ומנגנוני בקרה ופיקוח. תקיפות סייבר במגזר הבריאות עלולות להוביל למגוון סיכונים משמעותיים, בהם סיכון לדלף מידע רפואי רגיש, פגיעה בזמינות טיפול רפואי עקב שיבוש מערכות תורים, ועד סיכון לבריאות ולחיי אדם עקב פגיעה ישירה במכשור רפואי או כפועל יוצא משיבוש מערכות בריאות".