דו"ח מבקר המדינה: ליקויים חמורים בהיערכות בתיה"ח למתקפת סייבר

הדו"ח השנתי של מבקר המדינה מתניהו אנגלמן לשנת 2022 שפורסם אתמול (ג') מתמקד בפרק על מערכת הבריאות ומשרד הבריאות בשני נושאים: הליקויים החמורים שהמבקר מצא בהיערכות בתי החולים למתקפות סייבר וכן בתקציב ועדת סל התרופות השנתית ובכלל זה היעדר פיקוח על תרופות יקרות. הדו"ח המלא מחזיק מעל 260 עמודים.

על הליקויים בהיערכות בתי החולים למתקפות סייבר, נכתב בדו"ח: "מוסדות הבריאות לא ערוכים למתקפת סייבר כמו זו שאירעה בבית החולים הלל יפה. בשנתיים שקדמו לביקורת, שישה מוסדות רפואיים לא ביצעו עדכון לרשימת המשתמשים בעלי הרשאות לוגיות (שם משתמש וסיסמה) למערך המכשור הרפואי ולא נקטו אמצעי אבטחה בסיסיים".

לפי הדו"ח, ב-2020 נעשו כ-9.5 מיליון נסיונות למתקפות סייבר ברחבי העולם שמטרתן להשבית מערכות מחשוב. הגנת סייבר (אבטחת מידע) במכשור רפואי, לרבות מכשירי דימות, היא תהליך שמטרתו למנוע מגורם בלתי מורשה לבצע שינוי במידע הנאגר במכשירים הרפואיים, מעובד בו או מועבר ליעד חיצוני וכן פגיעה בפעילות המכשיר עצמו.

באמצע אוקטובר 2021, פרצו פצחנים למחשבים ושרתים ב"הלל יפה". התקיפה הובילה לשיבוש בפעילות המרכז הרפואי וגרמה להסטת חולים ממנו למרכזים אחרים, למעבר לעבודה ידנית ולא ממוחשבת, ומנעה גישה למידע הרפואי של המטופלים ועוד.

לפי הדו"ח, כשש שנים לאחר קבלת שתי החלטות ממשלה על היערכות לאומית וקידום אסדרה לאומית בהגנת הסייבר ועל אף החשיבות הלאומית שבהסדרת הגנת הסייבר, לא הוסדרו סמכויות מערך הסייבר הלאומי כלפי היחידות להכוונה מקצועיות במשרדי הממשלה (יחידות מגזריות) לרבות במגזר הבריאות.

משרד הבריאות מצידו לא השלים את גיבוש הנחיותיו בתחום הגנת הסייבר הכוללות עקרונות יסוד לניהול הגנת סייבר וכלים להתמודד עם אירוע סייבר - והן לא הופצו; במסגרת בקרות שביצע המשרד במרכזים הרפואיים ב-2019 ו-2020 לא נעשתה בקרה בנושא ההגנה על המכשור הרפואי ולא בוצע מעקב סדור אחרי תיקון ליקויים שעלו בדו"חות הבקרה בנושאי אבטחת מידע כדי לוודא את אי הישנותם.

ה-SOC - המרכז לניטור, לשליטה ולבקרה על אירועי סייבר במשרד הבריאות - מאויש חלקית ורק בשעות מסוימות בימי חול. נתגלו פערים מסוימים בפעילותו. הנחיות אגף ציוד רפואי במשרד הבריאות העוסק ברישום מכשירים רפואיים ובמתן היתרי יבוא ושיווק שלהם לארץ אינן נוגעות לצורך בעמידתם בתקני אבטחת מידע.

בחמישה מוסדות רפואיים יש איש צוות אבטחת מידע ל-1,000 עובדים ומטה ובשלושה מהם איש צוות אחד ל-3,000 עובדים; שישה מ-11 מרכזים רפואיים כלליים-ממשלתיים הקצו תקציבית להגנת הסייבר בממוצע בשנים 2020-2015 - שיעור קטן מזה שקבעה החלטת הממשלה - 8% מההקצאה התקציבית לאבטחת מידע. כמו כן, חסר במרכזים הרפואיים הממשלתיים ביטוח סייבר. בשאר המוסדות הרפואיים, לחלקם יש ביטוח סייבר ולחלקם לא; חמישה לא כללו בתכנית העבודה שלהם לשנים 2020 ו-2021 התייחסות לשיפור ההגנה על מכשור רפואי ואבטחת המידע הנאגר בו.

שמונה מ-17 מהמוסדות הרפואיים לא ביצעו ביקורת פנים בתחום אבטחת מידע; 13 מ-17 מוסדות רפואיים לא ביצעו סקר סיכונים בנושא מכשור רפואי; 11 מ-17 המוסדות רפואיים לא הגדירו קבוצות סיכון למכשור הרפואי לפי סיווגי סיכון. מתוך 17 המוסדות, לשניים אין תכנית להתאוששות מאסון (למשל, מתקפת סייבר על תשתיות מערכות המידע של המוסד הרפואי) או תכניות להמשכיות עסקית (יכולת הארגון להמשיך בפעילותו הרגילה); לשישה אין אתר חלופי (DR) זמין להמשך פעילות מערכות המידע במקרה של אסון; 13 לא שילבו בתכניותיהם להתאוששות מאסון או בתכנית להמשכיות עסקיות את אופן הטיפול וההתאוששות של מערך המכשור הרפואי.

מתוך 17 המוסדות הרפואיים שנבדקו, חמישה לא כללו בנוהלי הרכש שלהם התייחסות להיבטי אבטחת מידע במכשור הרפואי, ולאחד אין נוהל רכש. חמישה לא התנו את רכישת המכשור הרפואי באישור הממונה על אבטחת המידע. מוסדות רפואיים שדרשו בנוהליהם אישור הממונה על אבטחת המידע לצורך הרכש רכשו בפועל את המכשירים בלי שהתקבל אישורו לכך.

זאת ועוד, ניכרים פערים בין סוגי בדיקות אבטחת המידע שביצעו המוסדות הרפואיים בעת רכישת מכשור רפואי ולפני התחלת השימוש בו ומספרן, ובכלל זה הסרת יישומים שאינם נדרשים מהמכשיר וסריקת המכשיר בכלי לזיהוי נוזקות,  פוגענים ופעילויות חריגות.

מבין 17 המוסדות הרפואיים שנבדקו, שישה לא מיפו את כל המכשירים הרפואיים שברשותם. לא כל המוסדות כללו במיפויים מאפייני אבטחת המידע העיקריים של המכשירים. קיימים חוסרים מהותיים במערך ההגנה שהמוסדות הרפואיים הטמיעו ברשת לצורך הגנה על מכשור רפואי ובכלל זה על מכשירי דימות (MRI ו-CT) ובחלק מהמוסדות יש שילוב של חוסרים המגבירים את חשיפת המכשירים לסיכוני אבטחת מידע.

11 מ-17 המוסדות לא גיבשו נוהל להסדרת עדכוני תוכנה, הנדרש על מנת להבטיח פעולה רציפה ובטוחה של המכשור הרפואי. עשרה לא תיעדו את עדכוני גרסאות התוכנה שביצעו במכשירים הרפואיים. 14 מוסדות לא ביצעו מבדקי חדירה שכללו תקיפה של מכשור רפואי בשנים 2021-2018, כפי שקבע נוהל משרד הבריאות.

שבעה מוסדות לא ביצעו לפחות פעם אחת עדכון רשימת המשתמשים בעלי הרשאות לוגיות למערך המכשור הרפואי בשנים 2020-2019. בשני מוסדות יש מכשירי רנטגן ללא בקרת הרשאה פיזית (חדר נעול) וללא בקרה הרשאה לוגית. בשני מוסדות אין בקרות הרשאה פיזיות ולוגיות על חלק ממכשירי האולטרסאונד לנשים. בארבעה מוסדות לא קיימת בקרת הרשאה לוגית בשום סוג של מכשירי  דימות.

מבקר המדינה הדגיש בדו"ח כי "איומי הסייבר על מערכת הבריאות הולכים ומתרבים, הם ממשיים ואינם רק בגדר איום.  נסיונות תקיפה של פצחנים (האקרים) מתבצעים כל העת. התקיפות האלו עלולות להוביל לשיבוש בפעילות השוטפת של המוסדות הרפואיים, לזליגת מידע רפואי של מטופלים ולגרימת נזק למכשירים רפואיים חיוניים".