כמו לשטוף ידיים: בתי החולים בישראל חייבים לשמור על היגיינת סייבר

משרד הבריאות פרסם השנה תזכיר להצעת חוק "ניוד מידע בריאותי" להערות הציבור. החוק מסדיר את הנגשת המידע הדיגיטלי הרפואי של מטופלים במטרה שיוכלו לקבל שירותי בריאות מכל גוף, בכל מקום ובכל זמן. כלומר, במקום שהמידע הרפואי יישמר רק במחשבי קופת החולים, במרפאה, במכון הדימות או בבית החולים בהם ביקר המטופל, יהיה ניתן להעביר אותו בין המוסדות השונים - בין קופות החולים לבית החולים, בין בית האבות למוסדות הרווחה וכן הלאה, על מנת לסייע למטופל ולמטפלים לשלוף מידע רלוונטי כל אימת כשצריך אותו.

היוזמה לניוד מידע רפואי חשובה ביותר לצורך קידום מהפכת הבריאות הדיגיטלית בישראל ולמתן שירות טוב יותר למטופל, אך לצדה נשמעים קולות אזהרה מפני פגיעה בפרטיות המטופלים ומפני סוגיות בלתי פתורות באבטחת המידע של מוסדות הבריאות - במיוחד לאור הניסיון המר של מוסדות מקומיים בתחום.

לא מזמן פרסם מבקר המדינה דוח חריף על ליקויים חמורים בהגנת סייבר על מכשירים רפואיים ואבטחת המידע הנאגר בהם, בהם מכשירי MRI, אולטרסאונד, CT, רנטגן ועוד. הדוח פורסם חודשיים לאחר מתקפת הסייבר המתוקשרת כלפי בית החולים הלל יפה, ששיתקה את בית החולים מבחינה מחשובית וגרמה לנזק כלכלי של עשרות מיליוני שקלים.

תזכיר החוק החדש לניוד מידע בריאותי הוא תזכורת חשובה לחשיבותה של היגיינת סייבר טובה עבור כל ארגוני הבריאות על רקע התקדמות מהפכת הבריאות הדיגיטלית ועל רקע הסיכונים ההולכים ומתפתחים. ואכן, תזכיר החוק מתייחס לאמצעים הרגולטוריים והטכנולוגיים שיש לנקוט בהם להסדרת אבטחת המידע.

בבסיס אבטחת המידע של מוסדות הבריאות עומדת היגיינת סייבר טובה. ממש כמו שטיפת ידיים תכופה של אנשי רפואה, היא דורשת טיפול ותשומת לב מתמידים. אם ארגוני הבריאות יזניחו אותה, הם עלולים למצוא את עצמם מתמודדים עם השלכות בלתי צפויות ויקרות מאד.

על פי ארגון הבריאות העולמי, "היגיינה מתייחסת לתנאים ולפרקטיקות המסייעות לשמור על הבריאות ולמנוע התפשטות מחלות". באופן דומה, היגיינת סייבר מתייחסת לשיטות ולמנגנונים המסייעים בשמירה על הפרטיות ועל השלמות של רשתות ובמניעת התפשטות התקפות סייבר. היא מבוססת על היכולת המתמשכת של מוסד הבריאות לגלות, להעריך ולנהל את סיכוני אבטחת הסייבר, ככל שגוברת התלות במכשירים מחוברים ועם העלייה המתמשכת במספר האיומים וחולשות האבטחה.

ארגונים שלא שומרים על היגיינת סייבר עלולים לסבול מהפסדים כספיים, כמו גם מאובדן של שירותים חיוניים, כמו חשמל. בניגוד לתחומים אחרים, בתחום הבריאות, מוסדות שלא שומרים על היגיינת סייבר עלולים גם לסכן את חיי המטופלים. היגיינת סייבר טובה חייבת להיות מבוססת על פתרונות ונהלי אבטחה המותאמים לדרישות המאתגרות והייחודיות של מערכות הבריאות. היא מגדילה יעילות, מעלה את הערך של הטיפולים הרפואיים ואת הגמישות והזמינות של רפואה מחוברת.

איך שומרים על היגיינת סייבר טובה במוסדות הבריאות? הנה כמה שיטות מומלצות שזוהו על ידי הסוכנות לאבטחת סייבר ותשתיות של ארצות הברית (CISA):

1. מידע מלא ומקיף אודות המכשירים הרפואיים המחוברים ברשת: מוסדות הבריאות חייבים לוודא שהם יכולים לגלות ולזהות 100% מהמכשירים המחוברים לרשת, כמו גם את מכשירי האינטרנט המורחב של הדברים (XIoT), אליהם הם מתחברים. יתרה מכך, עליהם להחזיק בכל המידע המיוחס למכשירים, כולל דרישות תפעול, יצרן, דגם, מערכת הפעלה, חומרה, גרסאות אפליקציה ומיקום, כמו גם מצב הרשת, רמת האבטחה וכל מידע נוסף אודות השימוש במכשיר. כמובן, יש להעשיר את המידע ללא הרף כשדברים משתנים ולהחזיק לא רק בנתונים שמגדירים את המכשיר, אלא גם במידע אודות תחזוקה תקופתית ודפוסי ניצול.

2. קביעת ציון סיכון לכל מכשיר ועדכון תמידי שלו: ניקוד הסיכון הוא תהליך דינמי. ארגונים עם היגיינת סייבר טובה בוחנים ללא הרף את אבטחת המכשיר. ההערכה הכוללת חייבת להתרחב מעבר לסבירות של סיכון ולכלול גם את בטיחות המטופל וגורמים עסקיים.

3. תעדוף פעילויות תיקון: יש לתאם את תהליכי העבודה הקשורים לניהול סיכונים של המכשירים. במיוחד לאור האופי הנייד של מכשירים רפואיים ומחוברים, המודעות לאבטחה שלהם חייבת לבוא לידי ביטוי בתהליכי עבודה חוצי-מחלקות.

4. אוטומציה של ניהל סיכונים: שילוב אוטומציה בתהליכי ניהול סיכונים הוא קריטי. אחרת, קשה לזהות ליקויים בביצועים ואי אפשר למדוד שיפורים. שוב, לאור האופי הנייד של מכשירים בתחום הרפואי, ניהול הסיכונים חייב להקיף גם מתקני אבחון וטיפול חיצוניים, חברות חיצוניות המשתפות פעולה עם המוסד הרפואי ועוד.

5. עדכון אנשי הרכש של המכשירים: ניטור ביצועי המכשיר מאפשר הכנסת מדדי אבטחה עבור מנהלי הרכש. מכיוון שאחריותם כוללת ניהול משא ומתן על חוזים עם ספקים מרכזיים, ברור שמדדים אלו צריכים להיות ידועים להם כדי שיוכלו להשתלב בתהליך הרכש. שילוב מנהלי הרכש בתהליך בניית היגיינת הסייבר, מסייע לארגון לשמור על רמת האבטחה הרצויה מול הספקים.

ישראל צועדת לעבר מהפכה דיגיטלית מקיפה בתחום הבריאות והציבור יכול ליהנות ממנה מאוד. כשניוד המידע יתאפשר, מידע רפואי רלוונטי יוכל להיות נגיש למטופל בכל מתקן רפואי שיהיה בו, הצוות הרפואי יוכל לקבל תמונה היסטורית מלאה ולהיחשף לבדיקות המעודכנות ביותר וכך רמת הטיפול הרפואי תעלה משמעותית. עם זאת, מוסדות רפואיים חייבים להבטיח היגיינת סייבר ברמה גבוהה על מנת להגן על המידע הרפואי הרגיש מפני תוקפים ובמיוחד עליהם לאבטח את נקודות התורפה הקשות ביותר - המכשירים המחוברים שבודקים, מצלמים ואוספים מידע ללא הרף מהמטופלים.

יונתן לנגר הוא סמנכ"ל התפעול של חברת קלארוטי