דו"ח מבקר המדינה שפורסם אתמול (שלישי) חשף כי בתי החולים בישראל אינם ערוכים למתקפות סייבר, על אף שהם מהווים מוקד מועד לפורענות. בשנים האחרונות גברו איומי הסייבר על מערכת הבריאות, ובכלל זה על מרכזים רפואיים. לפי מערך הסייבר הלאומי מגזר הבריאות היה אחד מעשרת המגזרים המותקפים ביותר בישראל בשנת 2021.
בניסיון חדירת סייבר שביצע משרד מבקר המדינה לאחד מבתי החולים בישראל זוהו 13 ממצאים משמעותיים, עשרה מהממצאים היו בדרגת חומרה גבוהה ושלושה בדרגת חומרה בינונית. המבקר המליץ למשרד הבריאות לבצע בבתי החולים ובקופות החולים מבדקי חדירת סייבר, בהתאם לתוכנית סדורה ולהטמיע את הלקחים מהביקורת בפעילות בתי החולים.
עוד מבחזית החדשות
- מטח משמעותי של כטב"מים שוגרו אל עבר ישראל מכיוון עיראק
- "תהליכי עומק מדאיגים": בהרצליה ייאסר ללימוד במוסדות החינוך- ספר אזרחות המזוהה עם פורום קהלת
- איראן טוענת: ישראל ביצעה פעולה חשאית משמעותית במדינה
- תעלומת סינוואר: האם מנהיג חמאס חוסל? | גורמי מודיעין: מידע בלתי מבוסס
- מתקפה נוספת על החות'ים בתימן – הפעם על ידי הצבא האמריקני
באמצע אוקטובר 2021, חווה המרכז הרפואי הלל יפה בחדרה, מתקפת סייבר משמעותית, ששיבשה את הפעילות במרכז הרפואי במשך כשלושה חודשים, גרמה להסטת חולים מהמרכז הרפואי למרכזים אחרים, למעבר לעבודה ידנית ולא ממוחשבת, למניעת גישה למידע הרפואי של המטופלים ועוד. עלות שיקום המרכז הרפואי הלל יפה אחרי המתקפה הוערכה בכ-36 מיליון ש"ח. במשרד המבקר ציינו כי תקיפה זו מחדדת את החשיבות של היערכות מערכת הבריאות לאיום הסייבר ולאבטחת המידע.
משרד מבקר המדינה ערך מבדק חדירה, בסיוע חברה חיצונית, למרכז רפואי ששמו לא פורסם. במבדק נעשתה תקיפה של מערכות הארגון כדי לאתר בהן חולשות. במקרים אחרים מאותרת חולשה באפליקציות ואתרים של הארגון או נקודות חולשה בשרתים ומערכות הפעלה.
מטרת המבדק הייתה למדוד את רמת ההגנה על רשת המכשור הרפואי במרכז הרפואי, לרבות של מכשירים המשמשים לבדיקות הדמיה כמו MRI CT וממוגרפיה וגם של מאגר תוצאות בדיקות הדמיה. במסגרת המבדק נסרקו יותר מ-100 שרתים ועמדות קצה במערכות הקשורות למכשור הרפואי. כאמור, נמצאו 13 ליקויים, כאשר חלקם תוקנו עד למועד סיום הביקורת. הליקויים התגלו בחמישה תחומים: סגמנטציה ובקרת זרימה, בקרת גישה לרשת, הגנת עמדות ושרתים, תוכנה לא עדכנית וגישה לא מאובטחת.
הנהלת המרכז הרפואי מסרה בתגובה לממצאי הביקורת שעוד לפני ביצוע המבדק היא התמודדה עם פגיעות שעלו, בין השאר, גם במבדק החדירה, והטמיעה פעולות להפחתת סיכון, שבכוחן להקטין נזקים שעלולים להיגרם בשל פגיעות המערכת. עוד העריכו בבית החולים שהעלות הכוללת של תיקון הליקויים יכולה להסתכם ביותר מ-10 מיליון ש"ח לשנה באופן שוטף.
ממשרד הבריאות נמסר בתגובה לדו"ח המבקר כי: "המשרד פועל בכמה מישורים כדי להגביר את רמת המוכנות של המוסדות הרפואיים לאירועים כאלה. במסגרת זו המשרד פרסם חוזר הקובע למוסדות הרפואיים עקרונות להתמודדות עם איומי הסייבר; המשרד החל בשנת 2022 בקידום פרויקט לאומי להגנה על מכשור רפואי במוסדות הרפואיים, שהטמעתו תחל בשנת 2023; ב- 2022 בוצעו סקרי סיכונים בבתי החולים, במטרה לאמוד את מוכנותם להתמודדות עם האיומים ולשפר את מערך ההגנה של המוסדות הרפואיים ואת חוסנם. עוד נעשו ב- 2022 מבדקי חדירה ב-19 בתי חולים ובשתי קופות חולים".
