אבטחת סייבר ובריאות

20/12/21

התקפות סייבר על תשתיות שירותי בריאות מתעצמות במספרן ובאיכותן והולכות ומצליחות, מה שמעלה את הצורך בשיפור אסטרטגיות מניעה ותגובה. נתאר בקצרה את התחומים הטכנולוגיים והארגוניים העיקריים עליהם יש לשים לב מיד ולנקוט פעולות גם ברמת התקציב.

מכשור רפואי נפוץ כיום בדיגיטל ולכן הוא נתון להתקפות מסוכנות יותר ויותר מסיבה זו, יש להגן עליו כראוי. בתחום הבריאות, ניתן לסווג את רוב הנתונים המעובדים כרגישים ומשמשים בדרכים שונות על ידי סוגים שונים של משתמשים, ולשם כך יש לנהל ולהגן עליהם בפעולות מניעה והגנה. להלן נתייחס גם לנושא שירותי אבטחה מנוהלים שיכולים להיות מכריעים בסיוע לארגוני בריאות להגביר את יעילותם במניעה ותגובה לסיכוני אבטחת סייבר של מיומנויות גבוהות, קשה להשגה ללא השפעות המכבידות יתר על המידה על המבנים עצמם.

אבולוציה ותמונה עדכנית של סיכוני סייבר

בשנת 2019, אישה מאלבמה תבעה בית חולים מקומי על כך שלא הודיע ​​לה שהיא קיבלה מתקפת סייבר יום קודם לכן. לטענת האישה, במהלך הלידה לא הייתה לצוות הבריאות את הזמינות המלאה של הכלים הדיגיטליים הדרושים במהלך ההתערבות והדבר היה גורם לנזק לפני ובהמשך למותו של היילוד. מבית החולים נמסר כי התקיפה אירעה יום לפני הלידה. הפרקליטות טענה כי האישה, לו היו מודיעים לה על הפיגוע, הייתה יכולה לשנות את החלטתה, ולבחור במבנה אחר. 

פרק חשוב נוסף, שהתרחש בספטמבר 2020, רואה את מותה של אישה עקב מתקפת סייבר בגרמניה. התקפת תוכנת הכופר הפכה את שירותי הקבלה הדיגיטליים לבלתי זמינים ולכן האישה נאלצה להיות מועברת לבית חולים אחר. העיכוב גרם למותו.

באיטליה נראה שמצב האומנות לא הרבה יותר נוח גם אם עד היום לא היו מקרים מהסוג הזה.

בדיוק, במהלך שנת 2021 היו לא פחות מ-30 תקריות, התקפות והפרות פרטיות שהשפיעו על עולם הבריאות, כפי שדווח בצורה גרפית על ידי דו"ח 3Q 2021 שלExprivia מצפה הסייבר. פיגועים רבים נרשמו בתחילת השנה, בעוד תקריות (פיגועים מוצלחים) במידה פחותה.

למרות נתונים חיוביים מבחינת בטיחות, החדשות הטובות מסתיימות שם. למעשה, במהלך הרבעון השני של 2 והרבעון השלישי של 2021 הפער בין התקפות לתאונות הצטמצם באופן דרסטי.

בניתוח הנתונים לפרטי פרטים, עלייה זו באירועי אבטחה מעידה בהכרח על תשומת לב רבה יותר של פושעי סייבר בביצוע התקפות מתוחכמות יותר ויותר, ושנית, פחות תשומת לב מצד המשתמשים והמפעילים שהופכים לקורבנות.

בנוסף לפשעי סייבר, להפרות הפרטיות המדווחות על ידי הערב יש חשיבות רבה. ישנם 12 דיווחים בחלק הראשון של השנה וההיבט הזה, שבוודאי לא ניתן לייחסו לפעילות פלילית, מצביע על הרהורים חזקים מבחינה ארגונית ומבנית.

שיקול אחרון על הנתונים באיטליה שנאספו ונותחו על ידימצפה אבטחת סייבר di אקפריביה, זה נוגע לטכניקות התקיפה המשמשות נגד המבנים ומערכות הבריאות; הטכניקות המספקות ניצול של פגיעויות ידועות ומעקב אחר מסעות פרסום דיוג עם תוצאות קטלניות שולטות.

בעוד שמצד אחד לא ניתן להפריד את רווחת הקהילה מהצורך להשקיע בבריאות, מה שהופך אותה ליותר אפקטיבית מבחינה ארגונית, תוך ניצול מיטבי של הטכנולוגיות שהשוק מעמיד לרשותו, על מצד שני, לא יעלה על הדעת שהיתרונות הללו לא יעברו תהליך דיגיטציה אגרסיבי המלווה בהערכה מתמשכת של סיכוני ה-IT הקשורים בו.

ככל שהשימוש בשירותים דיגיטליים רב יותר, כך גדלה החשיפה של שירותים אלו להתקפות ולאירועים הנובעים מכך. 

לאור הנתונים שברשותנו, אפוא, תחומי תשומת הלב הגדולים ביותר והצעות נלוות.

מודעות לסיכונים הקשורים למתקפת סייבר

למרות שלתוקפים יש הזדמנות לנצל טכניקות מתוחכמות במיוחד, האירוע נגרם לרוב מנפילת קורבן למלכודות המבוצעות באמצעות קמפיינים של פישינג שהם טריוויאליים ביותר עבור אנשי מקצוע, אך עשויים להיות פחות ברורים עבור אנשים בעלי תפקידים והתמחויות שונות. באופן ספציפי, הצוות המתמחה ב-IT הוא אחוז מינימלי מאלה שעובדים במגע ישיר או עקיף עם המטופל (רופאים, אחיות...). לכן אין זה צריך להפתיע שדיוג אחראי לחלק גדול של מתודולוגיות תקיפה המשמשות בתחום הבריאות. 

לכן יש צורך להשקיע בתוכניות מודעות. חומת האש האנושית היא לרוב המחסום היעיל ביותר נגד פשעי סייבר. 

אימות מידת המודעות

השלב הבא, לאחר העלאת המודעות ורכישת המודעות, הוא להשקיע בבקרת איכות הגישה, ולכן הערכה כיצד תוכניות המודעות השונות הביאו שיפורים.

תעודה

הסמכת מיומנויות היא פרקטיקה מומלצת בתעשייה שאי אפשר להתעלם ממנה אפילו בתחום הבריאות. הפיכת תוכניות למודעות להשיג הסמכות בפלטפורמות מתאימות (למשל Open Badge 2.0) היא תוצאה של זה. 

טווח סייבר

כדי לוודא עד כמה גבוהה המודעות של הפרטים ועד כמה ארגון הבריאות מוכן לנהל מתקפת סייבר, ניתן לבצע סימולציות ולצפות בהתנהגות האוכלוסייה. תרגול זה, המכונה תחום סייבר, נפוץ בסביבות IT ובתעשיות אחרות שיכולות להשתמש במסגרות מפותחות אד-הוק (לדוגמה TIBER-EU), אך יש וניתן להתאים אותן לעולם הבריאות. 

עדכון מכשיר ואפס אמון

רוב ההתקפות המוצלחות בתעשיית הבריאות ניתנות למעקב לפגיעויות ידועות ולכן הן תקריות שניתן להימנע מהן. זה לא צריך להיות מפתיע שכן ההיקף בתחום הבריאות הוא נרחב ביותר וקשה לנטר שליטה פיזית מכיוון שמשתמשים לעתים קרובות במכשירי IT בודדים. קיום ניהול אחד של התשתית המזהה ואוכפת את המדיניות, בשל מגוון השירותים המוצעים, ההטרוגניות של הצוות הניגש לשירותים, היא קשה ומורכבת ביותר. 

כמו כן, עלינו להוסיף כי דיגיטציה מרמזת על חיבור חזק של שירותים והתקנים, ולכן תקלה של אחד מהם עלולה לגרום לבעיות לחולה שככל הנראה אינו מעורב בתאונה.

בגרמניה, מותו של החולה הוא תוצאה של המתקפה על שירות קבלת החולה, שככל הנראה לא נראה קריטי במיוחד מכיוון שהוא הפיך.

הגנה על מכשירי בריאות דיגיטליים

שירותי בריאות ורפואה באופן כללי יותר, רואים יותר ויותר כלים אלקטרוניים התומכים באבחון, טיפול וניהול של המטופל. השימוש במכשירים חכמים (IoT) הם ההוכחה לכך.

כלים אלו, אשר הולכים ומתרבים בבתי החולים ולעיתים מופקדים ישירות על המטופלים, מציעים מצד אחד הזדמנות לשפר באופן איכותי וכמותי את עבודתם של אנשי הבריאות, מצד שני, למרבה הצער, הם חושפים את מתקן הבריאות לסוג סייבר התקפות שעלולות להיות מסוכנות ביותר ולגרום נזק משמעותי לאנשים ולדברים.

מכשירי IoT אטרקטיביים ביותר עבור פושעי סייבר מכיוון שהם יכולים לשמש כבסיס להתקפות של מניעת שירות מבוזרת (DDoS). לא רק זאת, ישנם מקרים תכופים בהם זדוניים קטעו את השירותים של מחלקות שלמות בבתי החולים בבקשה לקבל כופר אחד או יותר (מה שנקרא סחיטה כפולה).

לכן זה בלתי נמנע והכרחי להתחיל לתכנן את מבני ה-IT והרשת בהתאם לגורמי סיכון אלו ולחזות מכשירי הגנה מתאימים.

אימוץ מדיניות אמון אפס גם באמצעות טכניקות מיקרו-פילוח רשת נחוץ כדי למנוע ממכשירים מוגנים בצורה לא מספקת לבוא במגע עם אנשים ומכשירים אחרים שיש להם מדיניות אבטחה שונה. 

פרטיות והגנה על נתונים

כאשר אנו מדברים על אבטחת סייבר אנו מתייחסים לעתים קרובות לאפשרות של הפרעה לשירות. עם זאת, איננו יכולים לשכוח שבאיטליה היו הפרות מידע הנוגעות לפרטיות מעבר לאירועי אבטחה בעולם הבריאות. 

לכך מתווספת העובדה שלעיתים קרובות עבריינים מעוניינים לא כל כך בשיבוש השירות, אלא בגניבת נתונים (בזמן האחרון התפתחו גם טכניקות סחיטה כפולה שבהן קודם גונבים את הנתונים ואחר כך מוצפן מסד הנתונים כך שניתן לסחוט הקורבן לשחזר את הנתונים, אך גם להחזיר את הנתונים). 

למעשה, אם הנתונים הם בסיסיים לביצוע השירות, בתחום הבריאות הם קריטיים ואטרקטיביים ביותר בשוק השחור. באופן כללי יותר, נתונים הם "קריטיים" מכיוון שהם עוזרים למכונות לגרום למטופלים לחיות, אבל הם גם "רגישים". אם מצד אחד יש להגן על הנתונים מפני הפרעות זדוניות אפשריות, מצד שני יש להבטיח רמה גבוהה של הגנת פרטיות.

מסיבה זו נדרשות רמות שונות של הגנה, כגון אימוץ טכניקות הצפנה מתאימות הן באחסון והן במהלך השידור, יצירת פרופילים קפדניים של המשתמשים/מערכות והתפקידים שיכולים לגשת אליהם ולבסוף שליטה מתמשכת בפעילויות המסוגלות לזהות. מעשי הונאה הן מצד גורמים חיצוניים ופנימיים של הארגון. 

המוזרויות של נתונים אישיים במגזר הבריאות מציעים אסטרטגיות ניהול מסוימות

נתוני בריאות מאופיינים בכך שהם נתונים לעיבוד בו-זמנית על ידי לפחות שלוש קטגוריות מאקרו של משתמשים ושירותים שונים בו-זמנית:

  • ברור שהם נתונים לשימוש מנקודת מבט קלינית לתמיכה בצוות רפואי לניהול פעילויות אבחון וטיפול;
  • במקביל הנתונים משמשים גם לתמיכה במבנה התפעולי של בית החולים על מנת להיות מסוגל לנהל נכון את הפעולות, העלויות והציוד;
  • לבסוף, נתוני בריאות הם לרוב בעלי עניין מחקרי למטרות סטטיסטיות או אנליטיות, גם במקרה זה עם מאפייני שימוש ספציפיים.

לשלוש הגישות הללו המתכנסות לאותם נתונים במציאות, לא תמיד יש צורך לגשת למכלול המידע הקיים, וגם לא לעשות זאת באותו אופן.

לדוגמה, הטיפול למטרות מדעיות כנראה לעולם לא צריך לגשת לנתוני הזהות האישית של האנשים החיוניים לסוגי הטיפול האחרים, להיפך הטיפולים הניהוליים והתפעוליים, בדרך כלל אינם צריכים להיכנס לפרטי פרטים על ההיבטים. ניתוח רפואי של מידע המתייחס לאדם מסוים, אך בדרך כלל הם נעצרים בגורמים כמותיים, כגון מספר וסוגי הבדיקות השונות, ללא קשר לתוצאות הבדיקות עצמן.

שיקולים אלו מציעים אימוץ מיידי של אסטרטגיית הגנה וגישה לנתונים הלוקחת בחשבון את הבדלי השימוש הללו ומאפשרת פילוח יעיל ואפקטיבי של הנתונים ורמות הגישה שלהם.

לכן רצוי שמשלב התכנון של מאגרי המידע יש לחזות באסטרטגיות להגנה על מידע מסווג ופרטני, דווקא משום שלא כל השימושים דורשים את כל המידע בכללותו. למרות שזה עשוי להיראות מורכב יותר בהתחלה מאשר ניהול מונוליטי של הצפנה, למעשה תוך התחשבות בכל מחזור החיים של הנתונים והצורך בבקרת גישה, זה לא המקרה מכיוון שקל יותר להגן על פרופילי גישה בודדים וחושפים פחות נתונים . 

ההפרדה המונעת והפירוט של מיסוך קריפטוגרפי מהווים גורם חשוב בעיצוב אסטרטגיות שימור ההגנה של האדם על פי השימושים השונים, חשיפת פחות מידע במהלך השימוש ולאחר מכן מפשטת את כל חלקי הבקרה וההגנה על תוצאות העיבוד. 

ארגון בטיחות בריאות

מבני בריאות שואפים להגנה ולרווחתו של הפרט, ולכן הם בעיקר ארגונים נרחבים ומובנים בשטח. זה מרמז שהם חייבים להיות מופצים בעצם על השטח וזריזים. 

תכונה זו, כמובן, מציבה כמה אתגרים בהקשר של ניהול אבטחת סייבר, בעיקר בגלל שהכישורים ומבני האבטחה הדרושים כדי להיות מסוגלים למלא את התפקיד ולהגן ביעילות הטובה ביותר האפשרית, קשים לארגון על קטן כקטן. מבנים טריטוריאליים.גודל בינוני, בין אם בשל חוסר מהותי במיומנויות במגזר הביטחוני הנוכחי, אך גם ובעיקר משיקולים כלכליים וארגוניים ברורים. 

לכן, זה נחשב לנכון להעריך אימוץ של אסטרטגיות ארגוניות המעדיפות שיתוף ושימושיות של מיומנויות מיוחדות מאוד, שהן קריטיות יותר עבור מגזר הסייבר, כך שיוכלו להיות משותפים ליותר מבנים עם יעילות וחסכון גבוהים יותר.

לפיכך יש לראות את הגישה המבוססת על שירותים מנוהלים בעניין רב משום שהיא מאפשרת גישה למיומנויות הטובות ביותר במגזרים הספציפיים הרבים והשונים של המגזר הביטחוני, בעת הצורך, מבלי לקחת על עצמה עומסים כלכליים מופרזים ומבלי לכפות על דמויות פנימיות. לקורסי הכשרה של מחויבות מופרזת מבחינת ידע ומיומנויות. 

אבטחת סייבר מתפתחת באופן מתמיד כל הזמן, עם גישות חדשות ואסטרטגיות חדשות עקב אימוץ טכנולוגיות חדשות. לא יעלה על הדעת שזהו מבנה זריז כמו בית חולים שיוכל להצטייד בכל כישורי אבטחת הסייבר שהם הכרחיים כעת במבני ה-IT שלו. 

פביאנו וינצ'נזו מלרבה (חוקר אבטחה של Expprivia)