שי אמיר, משרד הבריאות: "אנחנו מגנים היום מפני מתקפות בכלים של פעם"
"עלינו לשנות את החשיבה בכל הנוגע לאבטחת מידע ולסייבר ולהבין שהווירוס כבר אצלנו", אמר אמיר, ה-CTO והממונה על אבטחת המידע והגנת הסייבר במשרד ● הוא דיבר במפגש פורום CSC על אתגרי המחשוב בעולם הבריאות
"יש בעיית התמודדות עם אירועי סייבר ואבטחת מידע. אין כלים שעושים את הכול אלא הרבה כלים שכל אחד מהם עושה משהו אחד והם לפעמים לא מדברים האחד את השני. בנוסף, לא כולם מבינים מה זה סייבר ואיך מתמודדים איתו. אנחנו מגנים על מתקפות כיום בכלים של פעם", כך אמר שי אמיר, ה-CTO והממונה על אבטחת המידע והגנת הסייבר במשרד הבריאות.
אמיר אמר את הדברים במפגש של פורום CSC מבית אנשים ומחשבים, שנערך באחרונה בבית החולים בילינסון בפתח תקווה. בילינסון מהווה, יחד עם בית החולים גולדה, חלק מהמרכז הרפואי רבין.
לדברי אמיר, "עלינו לשנות את החשיבה בכל הנוגע לאבטחת מידע ולסייבר ולהבין שהווירוס שישבית את המערכות כבר אצלנו ועלינו לדעת איך להכיל אותו ולהתמודד מולו. אנחנו כבר לא בעולם האנטי וירוס".
בהמשך הוא התייחס להנהלות הארגונים ואמר כי "צריך לדבר אליהן בשפה שלהן, להעביר אותן מהעולם שהן מכירות, של האנטי וירוס, לעולם הסייבר. המנהלים חושבים שהכול אצלם תקין ולא שמים לב שהסרטן הסייברי כבר מתפתח בארגון. חשוב שהם יבינו את זה כי אם הם לא יבינו את הסכנות והפערים – הם לא ידעו לעשות את האיזון הנכון".
"מדינת ישראל מאוד מתקדמת בעולם בנושא אבטחת המידע. הרבה דברים מתחילים לקרות בממשלה בתחום ומשרד הבריאות הוא דוגמה לקידום אבטחת המידע והגנת הסייבר", ציין אמיר.
לדבריו, במשרד מודעים לכך שמתקפות סייבר יכולות "להשפיע ישירות על הטיפול הרפואי ולשבש או למנוע אותו".
"משרד הבריאות הוא גוף שהוא רגולטור, מבטח, בעלים ומבצע בקרה. זה יוצר הרבה אחריות, גם בתחומי האבטחה והסייבר. אנחנו נותנים מענה לכל אחד מהמעגלים", הוסיף.
עוד הוא אמר כי אחד האתגרים המרכזיים של המשרד בתחום הוא ריבוי המתקנים להם הוא צריך לתת מענה. "יש למשרד הבריאות הרבה מאוד טכנולוגיות ואתרים וצריך להגן על כולם. מדובר ב-25 בתי חולים, 17 לשכות, 18 אלף פורטים מנוהלים, 25 אלף פורטים ברשת וכ-1,000 שרתים פיזיים ו-וירטואליים", אמר.
בהתייחס לאתגרי הרגולציה ציין אמיר, "לפעמים, כשאין רגולציה – זה יתרון. לעתים קשה יותר לשנות רגולציה לא רלוונטית מאשר להתחיל מאפס. כשרוצים להחיל רגולציה – הדבר הראשון שעולה הוא אין כסף. אנחנו, במשרד הבריאות, צריכים להתייחס לזה. צריך לעשות רגולציה גם לעבודה דרך רשתות חברתיות וענן".
כאתגרים נוספים הוא מנה את ה-BI וה-Big Data. "אנחנו מנסים להקים מנגנון ש-'יתמים' את המידע, מלשון תמים", אמר. "זה אתגר מאוד לא פשוט".
לסיום הוא אמר כי "יש הרבה מאוד שאלות ופחות תשובות. כמו כל דבר בחיים, הפתרון הוא באיזון. המגזר הבריאותי צריך לטפל קודם כל בחולים, אבל בצורה מאובטחת".
"בעולם הבריאות בלתי אפשרי לדחות הכנסת טכנולוגיות"
ד"ר זיו רוזנבוים, ראש אגף טכנולוגיות רפואיות בשירותי בריאות כללית, ציין כי "בעולם הבריאות, כמעט בלתי אפשרי לדחות הכנסת טכנולוגיות, בגלל התועלות הרבות שלהן".
הוא אמר כי בקופה "עושים את המרב על מנת לשמור על המידע של החולה. אי אפשר שהמידע לא יהיה נגיש לצוותים הרפואיים, עליהם להיות חשופים לתיק הרפואי של המטופל".
ד"ר רוזנבוים ציין מספר מגמות שאליהן, לדבריו, בעולם הבריאות: "בני האדם עברו מתפיסה הישרדותית לשאיפה להעלות את איכות החיים; מזמן עזבנו את העידן בו הרופאים היו אלה שיודעים הכול, יותר טוב מהמטופל. המטופל משותף כיום בתהליך הרפואי, באמצעות המחשוב; נדרשת העצמת המטופל; הזדקנות האוכלוסייה; העדר סובלנות של החולים לכאב וסבל; שאיפה למניעת תחלואה; גידול בכמות המידע; והאתגר התקציבי".
"הפתרונות הטכנולוגיים חייבים להיות יותר מדויקים, כי אין סבלנות לתקלות", ציין. "הרבה מאוד מהניטור יבוצע מבית המטופל עצמו וכל השחקנים במערכת חייבים להיות נגישים למידע הזה".
לסיום הוא אמר כי "אין כיום אדם שיכול לדעת את כל מה שרופא צריך לדעת ולכן אנחנו תלויים במערכות מחשב, שיכילו את כל המידע הזה וייעצו לנו מה אנחנו יכולים לעשות".
מדינת ישראל מאוד מתקדמת בעולם בנושא אבטחת המידע. הרבה דברים מתחילים לקרות בממשלה בתחום ומשרד הבריאות הוא דוגמה לקידום אבטחת המידע והגנת הסייבר" - באמת? אז מדוע אתר האינטרנט של משרד הבריאות מאפשר להעביר פניות ב-Cleartext? מדוע הדואר של משרד הבריאות מעבירה דואר דרך ספק צד שלישי שאינו גורם ממשלתי?