מחדלי הסייבר: נראה שבמדינה מחכים לאסון

שלשום (ג') קרה אירוע סייבר חמור: מתקפה על בית החולים מעייני הישועה בבני ברק, שהשביתה שת מערכות ה-IT שלו, וגרמה להפסקת קבלת חולים ולהפנייתם לבתי חולים אחרים. מדובר בתסריט שהזכיר במידה רבה את מה שחווה לפני כשנתיים בית החולים הלל יפה בחדרה, ומעיד על כך שמערכת הבריאות לא למדה הרבה מאותו האירוע. הרשות להגנת הפרטיות הודיעה בסוף השבוע, כי יש חשש לדליפת מידע רפואי כתוצאה מתקיפת הסייבר.

למתקפה על הלל יפה היה הד רחב, מנהלי בתי חולים כינסו בעקבותיו דיונים, מבקר המדינה התייחס לכך ומשרד הבריאות הוציא הנחיות, ונוצרה תחושה שהלקחים הופקו. אלא שכאמור, זה לא קרה, לפחות לא במידה הרצויה, שיכולה למנוע מתקפות מעין אלה. אמנם, למרבה המזל, בבית החולים מעייני הישועה הותקפו מערכות מנהלתיות, אבל תארו לעצמכם מה היה קורה אילו אלה היו מערכות שמתפעלות מכשור רפואי. אילו מטופל מסוים לא היה מקבל את הטיפול, או שהוא היה מופסק באמצעו, בגלל מתקפת סייבר. זוהי שאלה של חיים ומוות.

"לבוא ולטעון כלפי הנהלת מעייני הישועה או הלל יפה מדוע היא לא עשתה את מה שצריך זה קל מדי. את התשובות צריכה לתת הממשלה, שלאורך שנים לא השקיעה מספיק בתשתיות מחשוב במערכת הבריאות ובהגנה עליהן"

הסיבות לכך שבמקרה מעייני הישועה התסריט ממקרה הלל יפה די חזר על עצמו הן רבות, והן לא מתחילות ונגמרות בבתי החולים עצמם, אלא למעלה משם – במשרד הבריאות, שאחראי על כלל המערכת. הבעיות המרכזיות הן חוסר ראייה כוללת וכתוצאה מכך העדר מדיניות, שקובעת באופן מסודר אילו תקציבים על המשרד ועל כל בית חולים להשקיע כדי להגן על המערכות שמצילות חיים ולפחות משפרות אותם.

ההנחה המרכזית בתפיסת ההגנה של ארגונים היא שמתקפת סייבר עליהם בוא תבוא, שהשאלה היא לא האם היא תקרה, אלא מתי – ולכן, כל ארגון צריך להיערך לאירוע שכזה בדיוק כמו שצבא מתכונן למלחמה. לבוא ולטעון כלפי הנהלת מעייני הישועה או הלל יפה מדוע היא לא עשתה את מה שצריך זה קל מדי. את התשובות צריכה לתת הממשלה, שלאורך שנים לא השקיעה מספיק בתשתיות מחשוב במערכת הבריאות ובהגנה עליהן. בריאות דיגיטלית זו סיסמה יפה, ונכון שישראל ניצבת במקום הראשון בעולם בתחום פתרונות דאטה לעולם הבריאות, אבל היא נמצאת הרחק מאחור בכל מה שקשור באבטחת המערכות האלה. בכלל, רוב אותן מערכות הן מיושנות, תוכננו לפני הרבה שנים ואין בהן הגנות מפני מתקפות סייבר.

נכון, הגנת סייבר על מערכת הבריאות, שלעתים מצריכה החלפה של מערכות טכנולוגיות שונות, עולה הרבה מאוד כסף. אלא שהכסף הזה קיים, והשאלה היא מהם סדרי העדיפויות – קודם כל בתוך משרד הבריאות, שהתקציב השנתי שלו הוא בין הגדולים ביותר. התוצאות בשטח מוכיחות שהגנת הסייבר לא נמצאת במקום גבוה בסדר העדיפויות שלו, וזהו חלק מתפיסת הזלזול הממשלתית, באופן כללי, על מה שקשור לתשתיות הלאומיות ולהגנה עליהן. נראה שהקברניטים בירושלים מסתמכים על המזל יותר מאשר על מערכות סייבר, שהם לא מקצים מספיק תקציבים ליישומן, ובשני המקרים – הן במעייני הישועה והן בהלל יפה – אכן המזל שיחק לנו, ולא היו נפגעים.

הדואר לא בא היום

בימים האחרונים חווינו מקרה חמור נוסף. הפעם לא מדובר במתקפת סייבר, אלא בכשל טכנולוגי, שגרם לכך שלקוחות נטוויז'ן לא היו יכולים לקבל מיילים במשך שבוע (!). זה עורר מחשבות על התלות המסוכנת שלנו באינטרנט והאם יום אחד אנחנו עלולים להישאר בלעדיה כליל. אופיר זילביגר, אחד המומחים הוותיקים בישראל בתחום אבטחת המידע, אמר בראיון לכתבנו ג'ון בן זקן, שפרסמנו אתמול, כי אפשרות שכזו לא סבירה ברמה הכלל עולמית, אבל אפשרית ברמות נמוכות ובהיקפים קטנים יותר, כגון ברמת המדינה.

נטוויז'ן שייכת לסלקום, וכאן המקום לכתוב כמה דברים על רמת האבטחה והיציבות של רשתות תקשורת הסלולר בישראל. כמעט לכל אזרחי ישראל, ודאי בגילאי נוער ומעלה, יש מכשיר סלולרי, ובמרבית המקרים זהו סמארטפון – גם אם לא נוציא מהמשוואה את הטלפונים הכשרים במגזר החרדי. התלות שלנו בסלולר היא קריטית, במקרים רבים. אצל רבים מאוד מאתנו, הטלפון הסלולרי הוא כלי עבודה לכל דבר ועניין. זאת, בנוסף לתפקודו ככלי שבו אנחנו מנהלים חלק ניכר מהחיים המשפחתיים והחברתיים שלנו. חברות הסלולר, שמן הסתם מודעות לזה, עושות פעולות שונות לאבטחת וייצוב הרשת. אבל האם מדינת ישראל יכולה להרשות לעצמה להפקיד את תשתית התקשורת הקריטית הזו בידי שלוש או ארבע חברות פרטיות? האם היא יכולה לא לקיים חשיבה כוללת ולא לנסח רגולציה, שתגדיר כללים אחידים לשמירה ולייצוב של רשתות הסלולר – ולא שכל חברה תדאג לעצמה ולמנוייה?

שר התקשורת, ד"ר שלמה קרעי. צילום: דוברות משרד התקשורת

איפה השר קרעי?

אמנם, בשנים האחרונות כמעט שלא היו תקלות ברמה של מה שאירע בימים האחרונים ללקוחות נטוויז'ן, וכמעט שלא היו תקלות סלולר נרחבות. אחת מאלה שכן קרו גרמה לשיבוש הפעילות באזור הצפון. תקלה באזור הצפון היא דבר חמור לכשעצמו, אבל מה היה קורה אם הרשת הייתה נופלת בכל הארץ? האם יש למדינת ישראל מענה לכך? ואיפה הרגולציה?

את השאלות האלה צריך להפנות בעיקר למשרד התקשורת ולשר העומד בראשו, ד"ר שלמה קרעי. אלא שבמחשבה שנייה, זה מיותר, כי כבוד השר קרעי עסוק בתוכניות שקשורות בתוכן שידורים ובצמצום חופש הביטוי, וגם ביחסי ציבור של פעולות בתחומי הסיבים האופטיים והדור החמישי הסלולרי, שאת חלקן הגדול לא הוא עשה. אלה היו כאן לפני כניסתו לתפקיד, והוא מקסימום גוזר את הסרט על תוצרי פעולות של קודמו, יועז הנדל. כך, למשל, פרשת נטוויז'ן אולי לא השפיעה על הרבה מאוד אנשים, אבל לא שמענו בה את השר – והיינו צריכים לשמוע אותו.

הן מתקפת הסייבר על מעייני הישועה והן התקלה בנטוויז'ן הן סימפטומים למחלה של העדר המדיניות בכל הנוגע להגנה על תשתיות לאומיות במקרה הראשון, ועל אמצעי תקשורת קריטיים כמו מיילים בזה השני. הן בכל הנוגע למערכות הטכנולוגיות במערכת הבריאות, הן בכל הנוגע למיילים והן בכל הנוגע לתחום הסלולר מחכים אצלנו, כרגיל, לאסון הבא ולוועדת החקירה, שאולי היא תשנה את המצב – וגם זה ספק גדול.