מדאיג: 2/3 מחולשות האבטחה שנוצלו – בארגוני בריאות

 63% מחולשות האבטחה המוכרות שנוצלו בשנה החולפת, נמצאות ברשתות של ארגוני בריאות. ב-23% מהמכשור הרפואי – כולל מכשירי הדמיה, מכשירי IoT קליניים וציוד רפואי לחדרי ניתוח – קיימת לפחות חולשת אבטחה אחת ידועה, שנוצלה על ידי גורמי איום; כך לפי דו"ח חדש של קלארוטי (Claroty).

קלארוטי הישראלית – המגינה על מערכות סייבר-פיזיות (CPS) – משמשת כצוות מחקר האיומים של Team82. הדו"ח שלה חשף נתונים מדאיגים על אבטחת מכשירים רפואיים המחוברים לרשתות של ארגוני בריאות, כגון בתי חולים ומרפאות, וקבע כי "יש מציאות מאתגרת, שבה יותר ויותר ציוד רפואי ומערכות ניהול מטופלים מחוברים לאינטרנט, וכך, הם מגדילים את החשיפה לגל הגואה של מתקפות סייבר המתמקדות בשיבוש פעילות בתי חולים. הקישוריות הרחבה של מכשירים רפואיים קריטיים, וחשיפתם באינטרנט, היא בעלת קשר ישיר להשלכות שליליות פוטנציאליות על מטופלים".

מכשור בריאות מחובר: "וקטור תקיפה מסוכן"

מהמחקר עולה כי ל-22% מבתי החולים יש מכשירים מחוברים, המגשרים בין רשתות אורחים המספקות למטופלים ולמבקרים גישה לאינטרנט אלחוטי – לבין רשתות פנימיות. "זהו וקטור תקיפה מסוכן", נכתב בדו"ח. "תוקף עלול למצוא במהירות נכסים רפואיים ברשת האלחוט הציבורית ולמנף גישה זו לחדירה לרשתות פנימיות, שבהן שוכן ציוד הטיפול בחולים. כך, 4% מהמכשירים הכירורגיים – שהם ציוד קריטי שאם יותקף ויפגע עלול לסכן חולים – מתקשרים על גבי רשתות אורחים".

עוד עולה מהמחקר כי 14% מהמכשירים הרפואיים המחוברים פועלים במערכות הפעלה שאינן נתמכות, או נמצאות בסוף חייהן. בין המכשירים שאינם נתמכים, 32% הם מכשירי הדמיה, כולל מערכות רנטגן ו-MRI, החיוניים לאבחון ולטיפול רפואי מונע, ו-7% הם מכשירים כירורגיים, כמו מערכות ניתוח רובוטיות, דפיברילטורים ושערים, מכונות הנשמה ומערכות מרכזיות לניהול וניטור הרדמה.

בהיבט הניצול של המכשירים, קובעים מחברי הדו"ח כי "יש לכך הסתברות גבוהה לניצול". החוקרים בחנו מכשירים בעלי ציוני EPSS (ר"ת Exploit Prediction Scoring System) גבוהים, המייצגים את ההסתברות שחולשת תוכנה תנוצל בסייבר. מניתוח הנתונים עולה כי 11% מהמכשור הרפואי המיועד למטופלים, כגון משאבות עירוי, ו-10% מהמכשור הכירורגי בחדרי ניתוח, כוללים חולשות אבטחה עם ציוני EPSS גבוהים. לגבי מכשור רפואי עם מערכות הפעלה שאינן נתמכות, 85% מהמכשירים הכירורגיים בקטגוריה זו, הם בעלי ציוני EPSS גבוהים.

אמיר פרמינגר, סגן נשיא למחקר בקלארוטי וראש צוות Team82. צילום: קרן מזור

בעייתיות גם בנגישות מרחוק למכשור הרפואי 

עוד בדקו החוקרים אילו מכשירים רפואיים נגישים מרחוק ומצאו כאלה עם סיכוי גבוה לכשל, כולל דפיברילטורים, שערי דפיברילטורים ומערכות ניתוח רובוטיות.

נתון נוסף שעלה הוא ש-66% ממכשירי ההדמיה, 54% מהמכשירים הכירורגיים ו-40% ממכשור המיועד למטופלים – הם נגישים מרחוק.

לדברי אמיר פרמינגר, סגן נשיא למחקר בקלארוטי וראש צוות Team82, "הקישוריות הניעה שינויים גדולים ברשתות בתי החולים, ושיפרה דרמטית את הטיפול בחולים. עם זאת, הגידול בקישוריות יוצר חשיפה עמוקה יותר לתוקפים ויש לבנות בהתאם ארכיטקטורת רשת נכונה. ארגוני בריאות וגופי האבטחה שלהם חייבים לפתח מדיניות ואסטרטגיות שיבטיחו כי מכשירים ומערכות ניהול רפואיים יהיו עמידים בפני חדירות של איומי סייבר – כולל גישה מאובטחת מרחוק, תעדוף ניהול סיכונים והטמעת סגמנטציה".

"אין יום שבו לא מותקף בסייבר בית חולים בעולם המערבי"

ד"ר הראל מנשרי, ראש תחום סייבר ב-HIT – המכון הטכנולוגי חולון. צילום: באדיבות אוניברסיטת בר אילן

בעבר אמר ד"ר הראל מנשרי, ראש תחום סייבר ב-HIT – המכון הטכנולוגי חולון, כי "ארגוני בריאות הם מהמותקפים ביותר בסייבר מבין כלל המגזרים – בעולם בכלל ובישראל בפרט. זה נובע מכמה סיבות: חוסר במודעות לחשיבות הגנת הסייבר ואבטחת המידע; ריבוי מערכות – IT ,OT ומערכות רפואיות; ריבוי משתמשים מסוגים שונים; מצב שבו יש יותר מאדם אחד שעובד על אותה עמדה; ריבוי רגולציות שונות והיעדר רגולציה אחת, אחודה וכוללת לכל הגופים; וחוסר במשאבים: מנהל המוסד הרפואי הוא זה שמחליט מה, איך וכמה להשקיע בהגנת הסייבר, כי זה לא נמצא בראש מעייניו, אלא הרצון שלא תשכב זקנה במסדרון. וכמו בסיפור סבתא בישלה דייסה, הכסף חולק למטרה זו, אחרת ושלישית – ולמי לא נשאר? להגנת הסייבר".

"מאז 2016", ציין ד"ר מנשרי, "ארגוני בריאות, בתי חולים, קופות חולים ומכוני מחקר רפואיים – הם המותקפים ביותר מזה שנים, ובאופן עקבי. מגפת הקורונה גרמה לעלייה בהיקף המתקפות על ארגוני בריאות – אין יום שבו לא מותקף בסייבר בית חולים בעולם המערבי. מתקפת הכופרה WannaCry ממאי 2017 פגעה במאות אלפי מחשבים ביותר מ-150 מדינות בעולם. בשל המתקפה הזו, שחוו אותה גם ארגוני בריאות בבריטניה, נפטרו חולים".

"מגזר הבריאות במדינת ישראל חייב לקחת את נושא הגנת הסייבר יותר ברצינות – כי הוא לא מוגן מספיק", אמר ד"ר מנשרי. "הבעיה הכי גדולה היא ריבוי רגולציות – ממשלתיות, בריאותיות ותקנות של קופות החולים. לכל אחד מגופים אלה יש בקרות ורגולציות ספציפיות, והן שונות זו מזו. ארגוני הבריאות וארגונים בכלל חייבים להבין שבעולם הסייבר, אם לא תשקיע ותגן על עצמך – בוודאות תהיה בבעיה".