ארגוני בריאות צריכים "להציל חיים" – גם בהגנת סייבר

ארגוני בריאות רבים שוקדים בימים אלה על תוכניות התייעלות, על ידי שדרוג מערכות מכשור רפואי ממוחשבות, שילוב מערכות המידע עם תשתיות בענן ועוד. במקביל לכך, הדאגות מהתרחשות של אירוע סייבר במערכות הבריאות בעולם הולכות וגוברות, וגוררות קבלת תקציבי ענק, כדי להתגונן טוב יותר בפני מגוון רחב של איומים, שמטרתם לפגוע במערכות המידע ובמערכות המחשוב הרפואי.

כל אלה הם יוזמות חיוביות וחשובות, אבל השאלה היא האם המנהלים בבתי החולים ובמרפאות משקיעים באמצעים הנכונים שישיגו את המטרה – להימנע ממתקפות הסייבר ולאיין את הסיכונים? כאן נתקלים בקשיים, שלעתים קשה להסביר אותם. אמנה ארבעה מהם: מנהלים רבים מעדיפים לא לשמוע על סיכוני סייבר כי הם לא ממש מבינים את ההשלכות של אירועי סייבר; המנמ"רים עסוקים סביב השעון בהטמעה של פתרונות חומרה ושדרוגי תוכנה; אנשי המכשור הרפואי מטמיעים פתרונות שכוללים התקני IoT, בין היתר כדי לתת מענה לדרישות התייעלות; ואנשי התחזוקה נלחמים על תקציבים לשדרוג המערכות, אבל בדרך כלל לא מצליחים במשימה.

זאת רשימה חלקית וקצרה. ניתן להרחיב אותה בעוד נושאים קריטיים שלא זוכים למענה הולם, בעיקר עקב חוסר מיומנויות בתחום סיכוני הסייבר. אלא שגם בלעדיהן, יש הנחיות לשדרוג מערכות ואבטחת סייבר שניתן ליישם. אלה נכונות וחיוניות לכל הארגונים הרפואיים באותה המידה שהן נכונות לתאגידי מים וחשמל, מפעלי ייצור ועוד.

הדרכות, הדרכות, הדרכות

כדי לתת מענה לפערים הקיימים ולהשיג הגנת סייבר משודרגת, הנה ארבע פעולות שמומלץ לכל ארגון בריאות לעשות: הדרכות סייבר מותאמות למהנדסים שמתכננים את מערכות המידע ואת מערכות המכשור הרפואי; הדרכה למפעילים של מערכות רפואיות, כדי שיוכלו לזהות אירועים חריגים במהירות, דרך המסך שלהם; הדרכה למנהלים שמקבלים החלטות לגבי השקעות באבטחת סייבר ועורכים חוזים עם ספקי שירות; והדרכות להנהלה הבכירה, כדי שחבריה יבינו שהשקעה באבטחת סייבר נועדה להבטיח רציפות תפעולית.

ארגונים נדרשים לבצע סקר פגיעויות תקופתי ולאתר חולשות במבנה מערכות המחשוב שעלולות לאפשר תקיפה באמצעות המסלולים המפורטים לעיל. כאן חשוב להדגיש שלהדרכות סייבר יש את החזר ההשקעה (ROI) הגבוהה ביותר מבין כל ההשקעות לצורך הגנת סייבר

כאשר מתמודדים עם סיכוני סייבר על מערכות תפעוליות, כפי שקיימות גם בארגונים רפואיים, יש להתייחס לארבע אפשרויות של תקיפות, שמתבצעות תוך שימוש בכלים שונים ובמסלולים שנים. התייחסות זו חשובה כדי שניתן יהיה להיערך באופן יעיל על מנת להקטין את רמת הנזק שהתקיפה עלולה לגרום לו.

התקיפה הנפוצה ביותר מתחילה ברשת האינטרנט הציבורית, באמצעות שיטות מוכרות כמו פישינג, ונועדה לפגוע במערכות המידע לצורך דרישת דמי כופר. היא לא נועדה לפגוע בתפקוד של המכשור הרפואי, ואם הארגון ערוך עם גיבויים וגישה מיידית למידע, ניתן לטפל בתקיפה זו, ברוב המקרים.

כשהתקיפה מבוצעת בשיטה אחרת, אם אין לבית החולים או למרפאה גיבוי שמאפשר גישה מיידית לנתונים המאוחסנים, לא ניתן יהיה לתת טיפול ראוי למטופלים, פרט לטיפולי חירום. במקרה שכזה, בית החולים עלול או המרפאה עלול.ה להיות מושבת.ת עד להשגת הסכם עם התוקפים, במטרה לקבל מפתח לפענוח של הנתונים המוצפנים.

תקיפה שמתחילה בחדירה למערכות המידע של הארגון עלולה להוביל לחדירה של התוקף למערכות המכשור הרפואי. מסלול תקיפה זה מתאפשר עקב חולשה שקיימת בהרבה ארגונים, ונוצרת כאשר לא קיימת הפרדה מספיק חזקה בין רשת המידע לרשת התפעולית של הארגון.

סוג אחרון הוא תקיפה ישירה, שעלולה להתרחש כאשר התוקף חודר לבניין בית החולים או המרפאה ולמחלקה הייעודית, ומחדיר התקן זיכרון נייד עם התוכנה הזדונית, או מחבר מחשב נגוע ישירות לאחד המכשירים. במידה שמכשירים רבים מקושרים לרשת זו ללא אמצעי הגנה, התקיפה עלולה לפגוע גם בהם.

לסיכום, מודגש שארגונים נדרשים לבצע סקר פגיעויות תקופתי ולאתר חולשות במבנה מערכות המחשוב שעלולות לאפשר תקיפה באמצעות המסלולים המפורטים לעיל. כאן חשוב להדגיש שלהדרכות סייבר יש את החזר ההשקעה (ROI) הגבוהה ביותר מבין כל ההשקעות לצורך הגנת סייבר. כך ניתן לבצע באופן מקצועי שדרוגים טכנולוגיים, וגם להוריד את עלויות הביטוח נגד סיכוני סייבר. ההדרכות צריכות להיות מותאמות לקהל של המשתתפים, בהתאם לידע שלהם ולתפקידם בארגון.

הכותב, דניאל ארנרייך, ירצה בכנס Digital Health 2023 של אנשים ומחשבים, שיתקיים ביום ד', ה-29 במרץ, ויתמקד בהטמעה של פתרונות דיגיטליים בארגונים רפואיים, לרבות בסיכוני הסייבר הכרורכים בכך. לפרטים נוספים ולהרשמה לאירוע לחצו כאן.