מכשירי ה- MRI מהווים פרצת אבטחת מידע בבתי חולים

"תחום הסייבר בעולם הרפואה הופך להיות נושא חם, מורכב ובעייתי. זה קורה, בין השאר, כיוון שמנהלי ארגוני הבריאות חושבים שהכל זה טכנולוגיה ומטילים את האחריות לתחום על מספר מצומצם של אנשי מחשוב", אמר פרופ' רוני גמזו, מנכ"ל המרכז הרפואי איכילוב בתל אביב בכנס אינפוסק של אנשים ומחשבים.

אינני יכול להסכים איתו יותר: הסטטיסטיקה מראה כי הארגונים שנתקפים הכי הרבה אחרי ארגונים פיננסים הם ארגוני בריאות.

תחום הסייבר בעולם הרפואה משקף לארגוני הבריאות אתגרים מורכבים הבאים לידי ביטוי בשני תחומים מרכזיים. הראשון הוא הגנה על המידע הרפואי של המטופלים והשני הוא קישוריות מאובטחת למתן שרות למערכות הליבה הרפואיות מתוך רצון לקצר את זמני הטיפול בתקלות ולשפר את זמני זמינות המערכות הרפואיות .

הגנה על המידע הרפואי של מטופלים

מספר רב של גורמים הופכים את ההגנה על המידע הרפואי של מטופלים לאתגר מורכב,
בין גורמם אלו ניתן למנות את הבאים:

• התפתחות השירותים הרפואיים והרצון לשפר את השרות למטופל מביאים לכך שהצורך בשיתוף המידע הרפואי הולך וגובר ומהווה תנאי הכרחי לפעילות הארגון הרפואי. המידע הרפואי משותף בין מטופלים לארגוני בריאות, ביו ארגוני הבריאות בינם לבין עצמם ,מול הרגלוטורים בתחום הרפואי ובנוסף ,קיים צורך בשיתוף המידע הרפואי הרגיש בין גורמים פנימיים בארגון הבריאות עצמו

• הרגולציות המתפתחות בתחום ההגנה על מידע רגיש בכלל ובעולמות הבריאות בפרט, מביאות לכך שארגוני הבריאות נדרשים לשמור ולשתף מידע רפואי רגיש בדרך מאובטחת ולשלב מגנוני בקרה ואבטחת מידע למידע המתקבל מגורמים חיצוניים על מנת לוודא שאינו נושא בחובו סכנה לארגון.

• מגוון המערכות המפיקות מידע רפואי, מגוון השיטות לשיתוף מידע רפואי והצורך לשפר למטופל את חווית המשתמש ולאפשר לו לקבל את המידע הרפואי במגוון הדרכים ( טלפונים חכמים , מחשב, הודעות SMS ועוד ) מקשות על הארגון הרפואי לעשות שימוש במערכת אחת מרכזית לשיתוף מידע ומביאות לכך שארגוני הבריאות עושים שימוש במספר רב של מערכות לשיתוף מידע באופן לא מאובטח וללא בקרות מרכזיות.

קישוריות מאובטחת לספקי שירות

המערכות הרפואיות הינן מערכות קריטיות שפעילותן התקינה הינה קריטית לחיי אדם מחד ולפעילותו השוטפת של הארגון הרפואי מאידך.

הארגונים הרפואיים מנסים לקצר את זמני הטיפול בתקלות למינימום האפשרי ואחת הדרכים להשיג זאת היא על ידי מתן גישה מרחוק לספקי השירות למערכות הרפואיות. מתן גישה מרחוק למתן שרות מקצר את זמני הטיפול והחזרת המערכת הרפואית לפעולה תקינה ואף מוזיל את עלויות השרות לארגון הרפואי. חיבור ספקי שירות מוגדר כאיום אבטחת מידע מהותי גם אם נעשה באתר הארגון הרפואי אולם על אחת כמה וכמה אם נעשה מרחוק.

האתגר במתן קישוריות מאובטחת לספקי שירות גדול עוד יותר מכיוון שמהנדסי השירות מתחברים למכונות הרפואיות עם הרשאות יתר כך ביכולתם למחוק תיעוד לפעולות זדוניות שביצעו ולמעשה אין כל בקרה על פעולתם.

אחד הנושאים ההופכים את האתגר לעוד יותר מורכב הוא העובדה שלעיתים רבות רשת המחשבים של הארגון הרפואי ורשת המערכות הרפואיות היא רשת אחת ובכך למעשה קיימת אפשרות לחדור ממכשיר MRI לדוגמא אל מערכות המחשוב של הארגון הרפואי ולהגיע אל מידע רפואי רגיש ועוד.

על מנת להמחיש את הבעיה ראוי לקחת לדוגמא את מרפאות מאיו (Mayo Clinic) האמריקניות. דברה ברומר, מנהלת בכירה במערך אבטחת המידע של המרפאות, סיפרה בכנס שנערך על ידי מנהל המזון והתרופות האמריקני, כי הם מקפידים לפני רכישת כל התקן רפואי לקבל מהיצרנים מפרט טכני מפורט על מנת לבדוק האם הוא עומד בדרישות אבטחת המידע שלהם. היא הסבירה כי למרפאות יש 32,000 התקנים רפואיים, מ-321 ספקים שונים המפוזרים על פני 5 מדינות וכולם מחוברים לרשת. מורכבות כזו הופכת אותנו לפגיעים במיוחד.

לדוגמא היא נתנה את מתקפת wannaCry, שהפכה להרסנית עבור בתי חולים באנגליה. למעלה מ-19,500 פגישות וניתוחים בוטלו ברחבי הממלכה האנגלית בעקבות התפשטות המתקפה והשבתת מספר גדול של בתי חולים עד לקבלת תשלום כופר גדול במיוחד.

חוסר מודעות לסיכונים

לסיכום, מערכות הבריאות בעולם, מפגרות יחסית אחרי התעשיות הפיננסיות הן בפיתוח והן בהטמעה של טכנולוגיות אבטחת מידע והסיבות רבות: חלקן קשור לחוסר מודעות לסיכונים, חלקן לתשתיות מידע מיושנות יחסית, מורכבות וריבוי מערכות והעדר משאבים כספיים תמיד יהוו סיבות אפשריות אך גם התרבות הארגונית והניהולית הן סיבה משמעותית.

ההיבט התפעולי של המכשירים וההתקנים הרפואיים הרבים הפך למשמעותי מאוד בבניית מערך הגנה אפקטיבי על מוסדות רפואיים , במיוחד בעולם בו התקפה אחת יכולה לשתק את פעילות בית חולים לחלוטין והיום בראיה כוללת של אבטחת המידע של הארגון הרפואי יש לתת מענה גם לנושאים אלו.

הכותב הוא מנהל מכירות ישראל בסייפטי (Safe-T).