המתקפה על רמב"ם – כנראה נוצלה חולשה במערכת ניהול פגיעויות

מתקפת הסייבר אותה חווה השבוע המרכז הרפואי רמב"ם בחיפה היא, כנראה, בשל ניצול חולשה ב-VPN של איבנטי (Ivanti), כך נודע לאנשים ומחשבים.

מתקפת הסייבר אירעה בלילה שבין הימים א' ל-ב' השבוע. היא השנייה במערכת הבריאות מאז תחילת המלחמה ורביעית בחצי השנה האחרונה. לפי משרד הבריאות, מערך הסייבר הלאומי ובית החולים, "אירוע הסייבר זוהה ונבלם בלא שיבוש או השפעה על המערכות השונות ועל תפעול המרכז הרפואי… בית החולים פועל כרגיל ומעניק טיפולים רפואיים". בהודעה לא צוינה זהות התוקפים והאם הם קשורים לאיראן, לחיזבאללה או לחמאס.

בינואר השנה דיווחנו כי האקרים סינים ניצלו שתי פגיעויות ב-איבנטי, ותקפו את מערכת ניהול הפגיעויות של ספקית תוכנות ה-IT והאבטחה. איבנטי חשפה כי צמד נקודות התורפה הן בדרגת חומרה גבוהה, וכי הניצול שלהן לרעה משפיע על ה-Connect Secure VPN שלה. בדצמבר האחרון גילו חוקרי וולקסיטי שניתן לנצל פגיעויות אלה כדי לאפשר שליטה מרחוק במכשירי Connect Secure VPN של ספקית האבטחה.

לפי איבנטי, שפרסמה אמצעים להפחתת הפגיעות, גורמי איומים עלולים לעשות שימוש בפגיעויות, ולהתמקד בלקוחותיה שיש להם Connect Secure VPN שלה. בדרך זו, ניתן לנצל את הפגיעויות בלא צורך באימות. מצב זה מאפשר לשחקן האיום ליצור בקשות זדוניות ולבצע פקודות שרירותיות במערכת.

לפי החברה, ידוע לה על יותר מ-10 לקוחות ארגוניים שהושפעו מהפגיעויות, אולם גורמים בענף העריכו שהנתון האמיתי גדול יותר.

איבנטי רכשה את הטכנולוגיה שמאחורי Connect Secure VPN שלה כשקנתה את Pulse Secure ב-2020. החברה מתמחה בעולמות ניהול משאבי ה-IT ואבטחת המידע. הפגיעויות זכו לציוני חומרה של 8.2 ושל 9.1. ולפי איבנטי, "הן משפיעות על כל הגרסאות הנתמכות של Connect Secure".

בנסיקה כבר שנים. מתקפות סייבר על ארגוני בריאות. צילום: שאטרסטוק

מערכת הבריאות – במוקד המתקפות

המתקפה על בית החולים רמב"ם היא עוד אחד בסדרה של מתקפות סייבר על בתי חולים בישראל שאירעו בחודשים האחרונים.

באוקטובר 2021, מתקפת סייבר נגד בית החולים הלל יפה בחדרה הביאה לשיבושים בפעילותו.

בנובמבר האחרון הותקפו המערכות של בית החולים זיו בצפת, וגם שם נמסר בתחילה שהאירוע "לא גרם לשיבוש או הפרעה על המערכות השונות ועל תפעול המרכז הרפואי". חקירה שמערך הסייבר, צה"ל, השב"כ ומשרד הבריאות ערכו העלתה שאיראן והחיזבאללה עומדים מאחורי המתקפה. אולם, בניגוד להודעה הראשונית, החקירה העלתה שהמתקפה גרמה ל-"גניבת חלק מהמידע הרגיש המאוחסן במערכות בית החולים".

בספטמבר הותקף בסייבר בית החולים הפסיכיאטרי כפר שאול איתנים בירושלים, במתקפת כופרה. קבוצת ההאקרים Mallox לקחה אחריות על האירוע, שגרם להצפנה של חלק קטן מהשירותים שנותן בית החולים, אולם לא זוהתה פגיעה במערכות קליניות.

חודש לפני כן, באוגוסט, הותקף בית החולים מעייני הישועה בבני ברק – במתקפה שגרמה ל-"אינדיקציה של ממש לדלף מידע אישי רגיש", לפי הודעת הרשות להגנת הפרטיות. במקרה זה היה מדובר במתקפה על רקע פלילי, שביצעה קבוצת ההאקרים Ragnar Locker. הקבוצה הצפינה מידע על חלק ממטופלי בית החולים ודרשה תשלום כופר, ומשלא נענתה – פרסמה אותו. מדובר בנתונים בהיקף של מעל טרה-בייט.

ד"ר הראל מנשרי, ראש תחום סייבר ב-HIT – המכון הטכנולוגי חולון. צילום: באדיבות אוניברסיטת בר אילן

באחרונה אמר לאנשים ומחשבים ד"ר הראל מנשרי, ראש תחום סייבר ב-HIT – המכון הטכנולוגי חולון, כי "ארגוני בריאות הם מהמותקפים ביותר בסייבר מבין כלל המגזרים – בעולם בכלל ובישראל בפרט. זה נובע מכמה סיבות: חוסר במודעות לחשיבות הגנת הסייבר ואבטחת המידע; ריבוי מערכות – IT ,OT ומערכות רפואיות; ריבוי משתמשים מסוגים שונים; מצב שבו יש יותר מאדם אחד שעובד על אותה עמדה; ריבוי רגולציות שונות והיעדר רגולציה אחת, אחודה וכוללת לכל הגופים; וחוסר במשאבים. וכמו בסיפור 'סבתא בישלה דייסה', הכסף חולק למטרה זו, אחרת ושלישית – ולמי לא נשאר? להגנת הסייבר".

"מאז 2016", ציין, "ארגוני בריאות, בתי חולים, קופות חולים ומכוני מחקר רפואיים – הם המותקפים ביותר מזה שנים, ובאופן עקבי. מגיפת הקורונה גרמה לעלייה בהיקף המתקפות על ארגוני בריאות – אין יום שבו לא מותקף בסייבר בית חולים בעולם המערבי. מגזר הבריאות במדינת ישראל חייב לקחת את נושא הגנת הסייבר יותר ברצינות – כי הוא לא מוגן מספיק".