החיסונים מגיעים ברכבת אווירית, מאוחסנים ומופצים תחת הנחיות קפדניות והמבצע הלאומי לחיסון האוכלוסייה לקורונה מתקדם בקצב מהיר. אבל ברגע אחד, כל זה יכול להשתנות: מתקפה מוצלחת אחת של האקרים על אחת מחוליות שרשרת החיסון, עלולה לחרב מאמץ אדיר ולשנות את פני המציאות.
חברת אבטחת המידע הישראלית צ'ק פוינט פרסמה בשבוע שעבר דוח, ששורה אחת בו צריכה להדאיג את העוסקים במלאכה בפרט ואת הציבור בכלל: "עלייה חדה בהתקפות סייבר על מוסדות רפואיים בעולם בהיקף של 45%, כשבישראל ישנה עלייה ל-813 מתקפות מדי שבוע ביחס ל-652 מתקפות מדי שבוע לפני נובמבר".
חברת שירביט ואוניברסיטת בן גוריון נפלו בשבועות האחרונים קורבן למתקפות סייבר. מקרים אלה מעידים עד כמה ההגנה על תשתיות מערכת הבריאות וזרועותיה השונות היא קריטית. פגיעה בתשתית מערכת הבריאות מהווה כל העת אתגר עבור האקרים, אך משבר הקורונה העלה את חשיבות הנושא בארץ ובעולם.
"תרחיש האימים הוא שארגון האקרים יציג מצג שווא שהוא הצליח להגיע לחיסוני הקורונה ולפגוע בהם", אומר ליאור עטרת, מנהל הפעילות של חטיבת התוכנה של General Electric Digital ישראל, וראש מחקר אבטחת המידע העולמי. "ההאקרים יספקו עדויות למהלך, זה ייצור בלגן ויהיו לכך השלכות. כך לדוגמה, הציבור יכול לחשוש מלקבל את החיסון ולכל הפחות זה יגרום לעיכובים, או שהאזרחים לא ירצו להתחסן. יכולים באופן פוטנציאלי לפגוע במקרר, והחיסון לא יהיה תקף. זה תרחיש פחות סביר, אבל אפשרי".
לקריאה נוספת על מתקפות סייבר
"כשאנחנו מדברים על אתגרי הסייבר של מערכת הבריאות, צריך להבין שלא מדובר רק במשרד הבריאות ובתי חולים, אלא גם בקופות חולים, מכונים פרטיים להדמיה, מעבדות ואף רופאים שעובדים ממשרד ביתי - כך שהחשיפה לסיכונים היא רבה ממה שנדמה", מוסיף רועי שרייבר, מנהל אקסנצ'ר סקיורטי ישראל, שמספקת אבטחת סייבר ללקוחות ברחבי העולם. "בשנת קורונה שכזאת, שבה פתחו מחלקות ייעודיות במהירות, ועשו שינויים בצורת מערך בתי החולים, אין ספק ששינויים כאלה מגבירים את הסיכוי לבעיות אבטחה".
בעוד שעד כה החשש העיקרי היה מפריצה למאגר נתונים ומניפולציות חומרה, עתה הדאגה היא ממצב שבו האקרים יצליחו לחבל בתפקוד שרשרת האחסון וההפצה של החיסון. במשרד הבריאות ישנה יחידת "בריאות דיגיטלית ומחשוב" שאחראית על הגנה בסייבר. זו זרוע פנימית שאינה חלק ממערך הסייבר הלאומי, אך נתמכת על ידו.
קופות החולים מקבלות הגנת סייבר מחברות פרטיות, שלהן חוזי עבודה סגורים עם הקופות. המערך, שכולל גופים רבים שאבטחת הסייבר שלהם אינה מסונכרנת ביניהם, עלול ליצור בעייתיות בהגנה על מכשור ומידע. לדוגמה, יכול לקרות מצב שבו קופת חולים אחת משתמשת במערכות אבטחת סייבר של חברה אחת, ואילו קופת חולים אחרת משתמשת במערכת של חברה אחרת. ייתכן שחברה אחת תזהה סכנה או התקפה ותדע למנוע אותה, אבל לא בטוח שהיא תדע לעדכן את חברת אבטחת הסייבר השנייה. לכן ההגנה מפני מתקפת האקרים בכל הקשור למערך החיסונים אינה הרמטית.
האחריות להנחיית תשתיות קריטיות הוטלה בשנת 1998 על שירות הביטחון הכללי, בהתאם לחוק להסדרת הביטחון בגופים ציבורים. עם זאת, בשנת 2016, הוחלט להעביר את האחריות להנחיית התשתיות הקריטיות, למערך הסייבר הלאומי. כך למעשה, כל גוף שמוגדר כתשתית קריטית, מקבל ליווי צמוד של מערך הסייבר. העברת האחריות הוסדרה במסגרת הוראת שעה, ובוצעה במהלך 2017. התשתית של מערכת הבריאות מוגדרת חיונית, אך לא קריטית.
לפי שרייבר, "חלקים נרחבים ממערכת הבריאות עדיין אינם מוגדרים תשתיות קריטיות ולכן אינם מקבלים את אותה התייחסות כשזה מגיע להגנה מפני אירועי סייבר". משרד הבריאות לא השיב לפניית וואלה! NEWS בדבר האופן שבו המשרד עצמו נערך לאיומי הסייבר בזמן הקורונה, האם בוצעו התאמות נדרשות והאם ונלקח בחשבון תרחיש שבו ינסו לפגוע במערך שרשרת האספקה של משרד הבריאות.
לפני כשנתיים מבקר המדינה ניתח את המוכנות של המשרד, והראה את הפער בין היכולות, למה שנדרש בפועל. "עד מועד סיום הביקורת, אוקטובר 2017, שנתיים וחצי לאחר שמנכ"ל משרד הבריאות החליט שיש לגבש מדיניות להגנת הסייבר ואבטחת המידע, המשרד טרם סיים את הכנתה", נכתב בדוח. "על משרד הבריאות לזרז את אישורה ותיקופה של המדיניות בתחום הגנת הסייבר המגזרי ולהפיצה לכל ארגוני הבריאות, כדי לחזק את מוכנות הארגונים הרפואיים ומגזר הבריאות לאירועים בזמן אמת".
במשרד הבריאות השיבו אז למבקר כי "יש להבחין בין מענה להגנת סייבר משרדי המיועד למשרד הבריאות, לבין מענה להגנת סייבר מגזרי - המיועד לכל מערכת הבריאות". לפי המשרד, בשנת 2015 "הכין אגף המחשוב תכנית עבודה מפורטת בנושא זה, שמטרתה לקבוע את ההיערכות של מערכת הבריאות להרחבת מערך הגנת הסייבר. במסמך נקבעו עקרונות מנחים, דרכי מימוש ותוכנית פעולה עקרונית. ב-2016 החל מימוש התוכנית, במקביל לפעילות המשרד בתהליך הגנת הסייבר המגזרי בשיתוף חברת ייעוץ. גרסת מסמך ראשונה הושלמה באוגוסט 2016 והועברה לאישור ותיקוף של המשנה למנכ"ל המשרד, שעם כניסתו לתפקיד הוגדר כאחראי להובלת מערך הסייבר המשרדי, והחליט להרחיב ולהעמיק בנושאים. אגף המחשוב פועל במקביל בהתאם לעקרונות תכנית עבודה שהוגדרה בסוף שנת 2015".
השורה התחתונה עדיין בעייתית: במשרד הבריאות נשענים על תוכניות עבודה לא מעודכנות, לא מוגדרים כתשתית קריטית ולמרות שמערך הסייבר כן עשה את ההתאמות הנדרשות, הוא עדיין מספק ייעוץ והכוונה, אך הוא לא זה שקובע או מבצע את ההתאמות הנדרשות בשטח. מערך הסייבר עוסק בעשרות גופים וחברות, ומקבל ראייה כללית על מגמות וסכנות במרחב הסייבר. רק מתבקש כי הוא יעסוק וגם יקבע כיצד המערך יגן על התשתיות, וגם יעשה זאת בפועל.
"צריך גוף אקטיבי מסייע, ולא להשאיר את הגנת מפוזר בין מספר חברות שונות", אומר עטרת ומתייחס גם למארג קופות החולים המשתתף במבצע. "בתחום האנרגיה או בתחום הגז או בבנקים, לא מעט גופים מקבלים את התמיכה וההגנה של מערך הסייבר ויש להם ניטור רציף".
"ככל שאני יודע, הגוף הבריאותי היחיד שתחת הנחיית מערך הסייבר הוא מגן דוד אדום", אומר עטרת. "משרד הבריאות הוא לא גוף אקטיבי שמנטר בעצמו איומים כאלו, והפעילות שם צרה מאוד. אם אתה מסתכל על חברות אחרות, אז יש להם ממש מרכז ניטור, שליטה ובקרה לאומי, כשכל הדיווחים מכל גופי הסייבר הרלוונטיים מגיעים אליו, מנטרים, מטפלים ולא כל גוף צריך לטפל בעצמו ולנסות לזהות את זה. חייבים להתייחס למערכת הבריאות שלנו כאל תשתית קריטית כמו שהתושבים שלנו צריכים חשמל, צריכים מים, צריכים את הכסף מהבנק, הם גם צריכים שתהיה להם יכולת לקבל שירותי בריאות ומאותו רגע המדינה צריכה להתנהג כמו שהיא מתנהגת מול הגופים האחרים".
לדבריו, כשזה מגיע למערכות הנוגעות לבריאותנו, הרי ששיבוש זרם מידע מוביל במקרה הקל לפגיעה באיכות החיים ובמקרה הקיצון לנזק בלתי הפיך הנגרם מנתינת טיפול לא נכון. "בשורה התחתונה כשמדברים על טרור - מדברים על זריעת פחד", סיכם עטרת, "שיבוש במערכת הבריאות מגביר לנו את הפחד בצורה חריגה והופך את הטרור ליעיל יותר. תקיפה שמכוונת בצורה רוחבית יכולה לגרום נזק משמעותי. אם לא בחיי אדם בפועל אז אפילו 'רק' באופן שבו הכלכלה, נניח, תגיב לתרחיש כזה".
מערך הסייבר: "המאמצים תוגברו בתחילת המגיפה"
ממערך הסייבר נמסר: "מערכת הבריאות בישראל מונחית בתחום הסייבר על ידי הרגולטור - משרד הבריאות - שמקבל הכוונה מקצועית ממערך הסייבר. עם פרוץ משבר הקורונה ביצע המערך פעולות רבות להעלאת החוסן ושיפור ההגנה לאורכה ולרוחבה של מערכת הבריאות - בתי החולים, המעבדות והקופות - ובכלל זה ביצע בדיקות חוסן למערכות של אבחון ואיתור נגיף הקורונה. מאמצי המערך אף תוגברו בתחילת המגיפה על ידי חטיבת הגנת הסייבר בצה"ל. המשך הבקרה והטיפול נעשה בידי משרד הבריאות והגופים עצמם. כמו כן, המערך מייעץ למשרד הבריאות גם בנושא השינוע ואחסון החיסונים בהיבטי הגנת סייבר".
מכללית נמסר: לכללית מערך סייבר In House שהוא חלק מחטיבת מערכות מידע ודיגיטל וכן התקשרות עם יועצים חיצוניים על פי התמחויות ספציפיות בתחום זה. בנוסף, אנו פועלים בשיתוף פעולה הדוק עם מערך הסייבר הלאומי.