"המתקפה על הלל יפה לא חדשה – אבל מהווה עליית מדרגה"
בתי חולים מועדים מאוד למתקפות סייבר, עקב ההנחה שהם ישלמו יותר, כי המערכות שלהם מצילות מומחים - כך מעריכים מומחים ● וגם: מה ארגונים יכולים לעשות כדי למנוע מתקפות שכאלה מבעוד מועד?
בתי חולים הפכו יעד מבוקש עבור ההאקרים לביצוע מתקפות סייבר בכלל, ובפרט מתקפות כופרה – עקב ההנחה שמאחר שהם רוצים להציל חיי אדם, ומערכות המחשוב מסייעות להם בכך, הם ישלמו את הסכום הנדרש. לכן, ההאקרים דורשים מבתי החולים תשלום גבוה יותר מאשר במתקפות כופרה אחרות שהם מבצעים. מסקנות אלה עולות מדברים של מומחים שונים בעקבות המתקפה שאירעה אתמול (ד') על בית החולים הלל יפה בחדרה – ועדיין לא נפתרה.
מערכות המחשוב של בית החולים טרם שבו לפעולה מלאה ועל פי גורמים המקורבים לאירוע, זה ייקח עוד כמה ימים. אנשי המחשוב של הלל יפה, יחד עם משרד הבריאות ומערך הסייבר הלאומי, פועלים גם בשעות אלה על מנת להשיב את המערכות. בינתיים, טיפולים רפואיים לא דחופים נדחו ויש מטופלים שהופנו לבתי חולים אחרים.
ניר בר נתן, מנהל חטיבת הסייבר של SQLink, אמר כי "המתקפה על הלל יפה היא עליית מדרגה. בפעם הראשונה, בית חולים בישראל מותקף במתקפת כופרה, שמשביתה חלק נכבד מהשירותים שלו". הוא ציין ש-"אף שזו – ללא ספק – עליית מדרגה בקרב התוקפים בקשר לבחירת היעד, הרי שאופן התקיפה וניצול החולשה הם לא חדשים. נראה ששוב נוצלה חולשה ברכיב היקפי, שמיועד לחיבור מרחוק, שלא עודכן – למרות התראות חוזרות שנשלחו לארגונים על ידי מערך הסייבר הלאומי".
ניר בר נתן, מנהל חטיבת הסייבר של SQLink. צילום: רומן בויצוב
לדבריו, "יש דרכים להתמודד עם מתקפות כופרה – בשילוב של כלים ושיטות עבודה. רק שילוב שכזה יביא להגנת סייבר מיטבית ולמזעור משמעותי של הפגיעה".
בר נתן קרא למדינה "לאכוף את רמת המוכנות לאירועי סייבר גם בשירותי הבריאות הציבוריים, בדיוק כמו שהיא עושה בתשתיות מדינה קריטיות אחרות – ולא רק בהוצאת תקנים. התקנים הללו לא שווים הרבה אם לא מוודאים שעובדים לפיהם באופן שוטף. אסור שהאירוע שקרה בהלל יפה יחזור בשנית".
"ארגוני הבריאות – מהחשופים ביותר למתקפות כופרה"
לדברי רונן מואס, מנכ"ל ESET ישראל, "ארגוני בריאות הם מהחשופים ביותר למתקפות כופרה. בתי חולים וארגוני בריאות בעולם כבר חוו לא מעט מתקפות כופרה, והחשש הגדול הוא השבתה של מערכות מצילות חיים, שיביאו לפגיעות בנפש".
"בשנה שעברה", ציין, "קרה מקרה בגרמניה שבו מטופלת שהגיעה לטיפול רפואי דחוף בבית חולים שהיה תחת מתקפה נאלצה לעבור לבית חולים אחר, כי המערכות היו מושבתות – ובדרך היא נפטרה. בארצות הברית, רשת בתי חולים נאלצה לדחות ניתוחים ולהפנות מטופלים למוסדות אחרים בשל מתקפה".
רונן מואס, מנכ"ל ESET ישראל. צילום: יח"צ
מואס אמר ש-"חשוב להבין שמתקפה בסדר גודל כזה לא מתרחשת בן לילה. לפעמים היא מתוכננת חודשים מראש. אפילו כשהתוקפים כבר הצליחו ופרצו לארגון, הם לא ממהרים לבצע את מתקפת הכופרה ולהצפין את המידע, או לפרסם את קיומה – עד שהם בטוחים שיש להם מספיק מידע בידיים ושחזור מידע מגיבוי כבר לא יעזור".
"מאוד מפתה לתקוף ארגוני בריאות", הדגיש מואס, "בעיקר בתי חולים, כי ההאקרים נוטים לחשוב שהם ימהרו לשלם את דמי הכופר כדי למנוע מוות של חולים כתוצאה מהמתקפה. מידע פרטי של מטופלים שווה הרבה לתוקפים. מדובר בנתונים אישיים במיוחד, שאפשר למכור בקלות. עוד סיבה שבתי חולים הם יעד אטרקטיבי לתוקפים היא שעומס העבודה והמשאבים המוגבלים שלהם מביאים לפשרות בגזרת אבטחת המידע, מה שמקל על עבודת התוקפים. גם הצורך בגישה לנתונים והעבודה מרחוק, שהפכו להיות חלק אינטגרלי מהחיים אף בבתי החולים, מהווים שער גישה לתוקפים. כאשר המידע הרפואי ניתן לשיתוף של הצוותים הרפואיים, גם ההאקרים יכולים להשיג גישה אליו. ולסיום, מכשור רפואי נוצר למטרה רפואית, ולא נעשתה בו חשיבה מקדימה על אבטחת מידע".
"למתקפות יש שתי סיבות עיקריות", ציין מאוס. "הראשונה היא כסף. ארגונים גדולים נדרשים לשלם מיליוני דולרים כדמי כופר, וזה עושה טוב לתוקפים. הסיבה השנייה, שרלוונטית בעיקר לישראל, היא מלחמת הסייבר שמתנהלת בינה לבין איראן. מחקרים מעלים שרוב קבוצות התקיפה שביצעו מתקפות כופרה על ארגונים ישראליים היו איראניות. גם הפעם ייתכן שמדובר במתקפה איראנית, שנועדה, בין השאר, להביך ולפגוע בישראל".
"האקרים לא שולחים זימונים למועד שבו הם תוקפים", סיכם. "זו בדיוק הסיבה שבגללה ארגונים צריכים להחזיק מערכות הגנה שיודעות לזהות פעילות חשודה שמתבצעת בארגון כבר ברגע החדירה. אלה יסייעו למנוע מתקפה ויביאו לצמצום האפשרות לחשיפת המידע".
דורון כחילה, מנהל סופוס ישראל. צילום: יח"צ
"במתקפות הכופרה מיישמים טקטיקות שונות ומתוחכמות יותר"
דורון כחילה, מנהל סופוס ישראל, אמר כי "במתקפות כופרה, התוקפים מיישמים טקטיקות שונות ומתוחכמות יותר. בעבר, מתקפת כופרה הייתה מסתיימת בהצפנת הקבצים ובדרישה לכופר, וכיום ההצפנה והדרישה מגיעות בסוף תהליך המתקפה, כשהתוקפים מוציאים מידע ונתונים מתוך הארגון החוצה ומשתמשים בהם כאמצעי סחיטה כלפי המותקף באמצעות פרסום הנתונים או סחר בהם".
לדבריו, "בשל הרגישות הגדולה שמייחסים גופי בריאות לנתוני החולים והעובדה שהחיסיון הרפואי הוא המשמעותי והחשוב ביותר עבורם, בתי חולים הפכו להיות יעד מבוקש על ידי פושעי סייבר ודרישות התשלום מהם גבוהות בהרבה בהשוואה לגופים אחרים".
"ארגוני בריאות מהווים מטרה איכותית לתוקפים"
טל יכנין, מנהל אבטחת המידע וארכיטקט ההגנה של אואזיס. צילום: אינגה אבשלום שיליאן
טל יכנין, מנהל אבטחת המידע וארכיטקט ההגנה של אואזיס, ציין כי "בשנים האחרונות, אירועי הכופרה הרבה יותר שכיחים בשל התשלום במטבעות דיגיטליים, שמאפשרים לתוקף לקבל את התשלום בלי לחשוף את זהותו. לרוב, מדובר בתוקפים שהמוטיבציה שלהם היא כלכלית. כמה שהמערכת יותר קריטית ורגישה לקורבן, כך עולה הסיכוי שהוא יסכים לשלם את הכופר במהרה". הוא הוסיף ש-"נכון לעכשיו, אין לדעת האם בית החולים הלל יפה היה מטרה מוגדרת, וייתכן שהוא הותקף בצורה אקראית – פעולה שחווים מאות גופים מדי יום".
יכנין ציין כי "ארגונים צריכים למזער את הסיכון להימצא באירוע שכזה, ומניעה היא דרך התמודדות הטובה ביותר. עליהם לחשוב סייבר בכל תהליך בארגון. הם צריכים למפות את הסיכונים, כולל את הסיכונים העקיפים, דוגמת קבלני משנה. אירועי סייבר שנגרמים עקב קבלן או עובד חיצוני שכיחים יותר ויותר. עליהם גם להכין תוכנית למזעור הסיכונים. בנוסף, חשוב שלארגונים תהיה תוכנית התמודדות לאירוע סייבר. זה לא רק אירוע טכנולוגי, אלא גם אירוע כלכלי, משפטי, לוגיסטי, תקשורתי (יח"צ) ורגולטורי. מומלץ מאוד שארגונים יכינו ויתרגלו התמודדות עם מתקפות סייבר, כי לא מדובר עוד בשאלה 'האם', אלא 'מתי' אירוע הסייבר יקרה בארגון – ואיך הוא יטפל בו".
אליק עציון, סמנכ"ל השקעות הסייבר באלרון. צילום: יח"צ
"להאקרים אין גבולות אתיים"
לדברי אליק עציון, סמנכ"ל השקעות הסייבר באלרון, "מתקפת הסייבר על בית החולים הלל יפה מזכירה לנו, שוב, את היעדר הגבולות האתיים של גורמי התקיפה בסייבר. בשנתיים האחרונות נרשמה, לצערנו, עלייה דרמטית בתקיפות סייבר על מרכזים רפואיים בעולם, בעודם נלחמים במגפת הקורונה. לפי מחקר של ביטגלאס, היקף התקיפות על המגזר הרפואי ב-2020 עלה בארצות הברית בלבד ב-55% – תוך פגיעה בפרטיות מידע רפואי אישי של כ-26 מיליון אמריקנים".
עציון ציטט נתונים ממחקר של יבמ שלפיהם "עלות הנזקים של תקיפות סייבר במגזר הרפואי הינה הגבוהה ביותר, אף יותר מהמגזר הפיננסי. הנתונים הללו מעידים על החשיבות ההולכת וגדלה של הטמעת מערכות סייבר ייעודיות במוסדות רפואיים. לארגונים אלה יש אתגר הגנתי, בשל השילוב בין מערכות IT למכשור ולציוד רפואי".
הנה כי כן,אנו רואים היום, שבר נתן צדק