"מה שקרה לארגוני הבריאות בבריטניה עלול לקרות גם בישראל"

"רמת אבטחת המידע בארגוני בריאות בישראל עומדת כיום על הציון שש. אנו לא מספיק טובים, אף שמצבנו טוב יותר מהעולם. מדובר ברולטה רוסית. מה שקרה בבריטניה ספרד ורוסיה – אין כל סיבה שלא יקרה בישראל. גם בישראל יש מחשבים עם חלונות XP, גם בישראל לא מעדכנים הטלאות אבטחה בתוך יומיים", כך אמר איציק כוכב, הממונה על הגנת המידע בשירותי בריאות כללית.

כוכב דיבר בכנס InfoSec 2017. הכנס, בהפקת אנשים ומחשבים, נערך זו השנה ה-18, והוא התקיים היום (ג') במרכז הכנסים אווניו, קריית שדה התעופה, בהשתתפות מאות מקצועני אבטחת מידע והגנת הסייבר. את הכנס הנחה יהודה קונפורטס, העורך הראשי של הקבוצה.

לדברי כוכב, "לשאלה 'האם מערכת הבריאות בישראל מוגנת בסייבר?' יש מגוון תשובות. השאלה היא ממה מוגנת? ממתקפת מניעת שירות מבוזרת, DDoS? מנזק של עובד פנימי? יש שונות מארגון לארגון".

הסיבה לשונות ברמת אבטחת המידע בין הארגונים השונים, אמר כוכב, "נובעת מהיעדר מודעות לתחום, מכך שאין מחויבות של מנהלים לתחום אבטחת המידע. בנוסף, הרגולציה לתחום עמומה ולא ממש ברורה, אף שהכיוון אליו פונים מטה הסייבר ורשות הסייבר – הוא טוב".

"עולם הרפואה מתחיל להתחבר לגוף האדם", אמר כוכב, "ומצב חדש זה יוצר בעיות אבטחה חדשות. כך, בכל מיני ניתוחים והשתלות, מוטמעים בתוך החלקים המוכנסים לגוף האדם בניתוח, רכיבים זעירים המשדרים נתונים. זאת, על מנת לבחון את מידת ההתאמה של האיבר שהושתל, על מנת לפקוד ולנטר שחרור של תרופות באופן ישיר לתוך הגוף – ועוד".

"זהו מצב בעל פוטנציאל הרסני ומסכן חיים: המערכות הללו לא מאובטחות, וניתן, לדוגמה, לגרום להפרעות בקצב הלב של המטופל. בעבר, האדם הרגיל מהרחוב לא היה מחובר לסייבר. כך, אנו נמצאים כיום במצב בו הגוף נמצא באונליין".

"נדרשת רפואה מונעת בעולם אבטחת המידע"

"גם בעולם אבטחת המידע נדרשת רפואה מונעת", אמר כוכב. "הדבר הראשון שיש להתייחס אליו הוא אחריות וחובת מנהלים. ברגע שהמנכ"ל יבין שיש לו אחריות לתחום אבטחת המידע, הוא יקצה משאבים לכך".

בהתייחסו לרגולציות בתחום האבטחה בעולם הבריאות, אמר כוכב כי "איני צריך רגולציה חונקת – אלא כזו שתיתן לי לעבוד בצורה מסודרת. בנוסף, חשוב מאד שתהיה בקרה בזמן אמת שתקפו אותי ושאני נערך לטיפול במתקפה, זה שם המשחק. אין היום בישראל בקרה בזמן אמת".

בעיה נוספת, ציין כוכב, "היא היעדר ההכשרה של אנשי המחשוב לתחום – הם נטולי הכשרה באבטחת מידע".

לדברי כוכב, "אל לו למנהל האבטחה להיות חלק ממערך ה-IT, כי ה-IT כובל אותו מלהתפתח באבטחה". הוא ציין כי "חשוב שבכל תהליך ארגני, של פיתוח מוצר או שירות, אבטחת המידע תשולב כבר מההתחלה, ותהווה תשתית לאורך כל הדרך".

"צריכה להיות מודעות של ההנהלה והעובדים לתחום. על גורמי האכיפה והמשפט להיכנס ל'עסק' של אכיפת מדיניות אבטחת המידע בארגונים".

"לעולם יפרצו למערכות המידע בארגונים", סיכם כוכב, "לכן, נדרשת פעולה – לצד התפילה שכדאי שתתפללו, לפיה זה לא יקרה אצלכם".

"עליכם, מנהלי האבטחה בארגונים, למפות את נכסי ה-IT ואת נכסי המידע בארגונים שלכם, לעשות תעדוף, לפלח מה חשוב ורגיש – ולהגן בהתאם. אם תעשו את הכל כמו שצריך, הרי שיש בפעילות הזו פוטנציאל להעלאת הציון של ארגוני הבריאות בישראל, משש לתשע".