"סבתא בישלה דייסה – ולסייבר במגזר הבריאות לא נשאר"

"ארגוני בריאות הם מהמותקפים ביותר בסייבר מבין כלל המגזרים – בעולם בכלל ובישראל בפרט. מצב זה נובע מכמה סיבות: חוסר במודעות לחשיבות הגנת הסייבר ואבטחת המידע; ריבוי מערכות – IT ,OT ומערכות רפואיות; ריבוי משתמשים מסוגים שונים; מצב שבו יש יותר מאדם אחד שעובד על אותה עמדה; ריבוי רגולציות שונות והעדר רגולציה אחת, אחודה וכוללת לכל הגופים; וחוסר במשאבים: מנהל המוסד הרפואי הוא זה שמחליט מה, איך וכמה להשקיע בהגנת הסייבר, כי זה לא נמצא בראש מעייניו, אלא הרצון שלא תשכב זקנה במסדרון. וכמו בסיפור סבתא בישלה דייסה, הכסף חולק למטרה זו, אחרת ושלישית – ולמי לא נשאר? להגנת הסייבר", כך אמר לאנשים ומחשבים ד"ר הראל מנשרי, ראש תחום סייבר ב-HIT – המכון הטכנולוגי חולון.

ד"ר מנשרי, ממקימי מערך הסייבר בשב"כ וכיום מרצה באוניברסיטאות תל אביב ובר אילן, התייחס למתקפת הכופרה שחווה הלילה (ג') בית החולים מעייני הישועה בבני ברק, ושהשביתה את מערך ה-IT שלו. על פי בית החולים ומערך הסייבר הלאומי, המתקפה אירעה על מערכות מנהלתיות של בית החולים, ולא נפגע כל ציוד רפואי.

המתקפה "מזכירה בדפוס הפעילות" קבוצה ששמה תשתיות קריטיות על הכוונת

באשר לזהות התוקפים, ד"ר מנשרי אמר כי "לא הייתי קובע שזו מתקפה של האקרים איראנים או שלוחי איראן. כאשר האיראנים תוקפים, פעמים רבות הכופרה היא רק מסווה, והמניע שלהם הוא תודעתי, או ריגול או רצון לפגיעה – ולא מניע כספי. ממה שידוע עד כה, המתקפה מזכירה בדפוס הפעילות שלה את קבוצת Ragnar Locker".

הקבוצה, הרוסית ככל הנראה, שהשם שלה הוא גם השם של הכופרה שפיתחה, טענה בשנה שעברה כי פרצה ל-DESFA – חברה יוונית שפועלת במגזר האנרגיה. היא פעילה מאז דצמבר 2019 וחבריה מכוונים לארגונים מתעשיות קריטיות. הם משתמשים בפעולת "הסחיטה הכפולה". חברי הקבוצה פועלים באמצעות הכופרה כנגד ארגונים שהמשתמשים שלהם דוברי אנגלית. היא נמצאת על הרדאר של ה-FBI מאז שחבריה פרצו ליותר מ-50 ארגוני תשתיות קריטיות.

שי בירנבוים, מנמ"ר בית החולים מעייני הישועה. צילום: אלעד גוטמן

על מנת להאיר זרקור על המשקל הסגולי של מנהל בית החולים בהקצאת משאבי הגנה הזכיר ד"ר מנשרי דיון שערכה ועדת המדע והטכנולוגיה של הכנסת בסוף 2018. הדיון עסק במוכנות של בתי חולים ציבוריים-פרטיים, כגון מעייני הישועה, למתקפות סייבר, ובמצוקות של המוסדות הללו. למעשה, מעייני הישועה עמד במרכז מקרה הבוחן של הדיון. שי בירנבוים, מנמ"ר בית החולים, אמר אז כי "הארגון יכול להחליט דברים מסוימים שהוא מקל עם עצמו או לוקח את הריזיקה על עצמו. בכל מקרה, מדובר בסיכונים, זאת אומרת שהוא לוקח על עצמו שאם תהיה התקפה – הוא יותר חשוף".

ד"ר מנשרי הסביר כי "דברי המנמ"ר בדיון בכנסת משקפים ראייה שבה המיקוד הוא בהיבטי העלות-תועלת, כאשר איומי הסייבר והסיכונים הם לא בראש סדר העדיפויות להשקעה".

"מגזר הבריאות חייב לקחת את הסייבר יותר ברצינות"

"מאז 2016", ציין ד"ר מנשרי, "ארגוני בריאות, בתי חולים, קופות חולים ומכוני מחקר רפואיים – הם המותקפים ביותר מזה שנים, ובאופן עקבי. מגפת הקורונה גרמה לעלייה בהיקף המתקפות על ארגוני בריאות – אין יום שבו לא מותקף בסייבר בית חולים בעולם המערבי. מתקפת הכופרה WannaCry ממאי 2017 פגעה במאות אלפי מחשבים ביותר מ-150 מדינות בעולם. בשל המתקפה הזו, שחוו אותה גם ארגוני בריאות בבריטניה, נפטרו חולים".

"מגזר הבריאות במדינת ישראל חייב לקחת את נושא הגנת הסייבר יותר ברצינות – כי הוא לא מוגן מספיק", אמר. "הבעיה הכי גדולה היא ריבוי רגולציות – ממשלתיות, בריאותיות ותקנות של קופות החולים. לכל אחד מגופים אלה יש בקרות ורגולציות ספציפיות, והן שונות זו מזו".

היבט נוסף שיש לבחון, לדברי ד"ר מנשרי, הוא מצב הגיבוי: "האם היו במעייני הישועה מערכות גיבוי? האם הן תפקדו כנדרש, או שנפגעו?". הוא ציין כי "המתקפה על בית החולים הלל יפה בחדרה פגעה בגיבוי, וזה האריך את משך ההתאוששות מאסון והחזרה לשגרה".

לסיכום הוא אמר כי "ממה שידוע עד כה, לשמחתנו, המתקפה לא הגיעה למערכות מצילות חיים. לא הייתה פגיעה במערכות CT או MRI. ועדיין, זה אירוע קשה, כי התוקפים השיגו נתונים רפואיים, חלקם מסווגים אישית-רפואית. מתקפה זו איננה קריאת השכמה, כי הקריאה נשמעה כבר באירוע של הלל יפה. היא זעקת השכמה. ארגוני הבריאות וארגונים בכלל חייבים להבין שבעולם הסייבר, אם לא תשקיע ותגן על עצמך – בוודאות תהיה בבעיה. אמנם אין הגנה הרמטית, אבל אני חושש שבמקרה זה לא נעשה מספיק".