פירצה באתר איכילוב חשפה מידע רפואי אישי
הפירצה באתר האינטרנט של המרכז הרפואי בתל אביב איפשרה לכל אחד לצפות בפרטים רפואיים רגישים של חולים. בעקבות פניית כלכליסט הפירצה נחסמה. בית החולים: "נדאג לאבטחת המידע בעתיד"
פירצת אבטחה חמורה באתר המרכז הרפואי סוראסקי אפשרה לצפות בפרטים אישיים של מטופלים, הכוללים מידע רפואי רגיש. הנתונים היו נגישים לציבור באמצעות גלישה פשוטה באתר, ולא היה צורך בסיסמה או בנתון מזהה כלשהו כדי לצפות בהם. בעקבות פניית "כלכליסט" נחסמה הפרצה.
המרכז הרפואי תל אביב על שם סוראסקי הוא בית החולים השלישי בגודלו בישראל, שמאגד תחתיו את בית החולים איכילוב, בית החולים ליולדות ליס ובית החולים לילדים דנה.
הפרצה נמצאה במערכת לזימון תורים שבאתר סוראסקי, והיתה פשוטה לשימוש באופן יוצא דופן. כדי להיכנס ולדפדף בחופשיות במאגר הנתונים הרגיש כל הדרוש היה לשנות כמה פרטים בכתובת האתר, והמאגר נחשף במלואו.
הפרצה חשפה יותר מאלף זימוני תורים של מטופלי סוראסקי ואת פרטיהם המלאים - כולל שם מלא, גיל, כתובת מגורים, מספר זהות ופירוט הבדיקה הרפואית שהם מבקשים לבצע. ניתן היה לראות למשל כי שמואל מבקש לטפל בהפניה הדחופה מהפסיכיאטרית הראשית בשלוותא, דנה קבעה תור לניתוח קיסרי רביעי, רמי עומד לעבור בדיקת קרישתיות יתר בדם בגלל נטייה משפחתית, ורוני קבע תור למרפאת הסוכרת (כל שמות המטופלים שונו כדי להגן על פרטיותם).
דן, מומחה למערכות מידע, גילה את הפרצה כשביקש להזמין תור דרך האתר. "הופתעתי לגלות כי כל אדם, בלי כל קושי וללא צורך בידע טכני מעמיק, יכול להציץ בפרטים רפואיים חסויים של אחרים", הוא אומר ל"כלכליסט".
"פגיעה בפרטיות ובסודיות"
"זו פרצה בסיסית מאוד, ולצערנו נפוצה מאוד", אומר היועץ לאבטחת מידע גיא מזרחי. "זו פרצה שנקראת URL Injection. הרעיון הוא שכשמקבלים כתובת URL, יש פרמטר שמייצג את הדף שאנחנו רואים. שינוי הפרמטר מאפשר לראות דפים של אנשים אחרים. קל מאוד לתקן פרצה כזו. נדרש רק שינוי קטן בקוד. באתר שמאחסן נתונים של חולים ומידע רפואי נדיר למצוא טעויות טיפשיות מהסוג הזה. מי שבנה את המערכת פשוט לא עשה את המינימום ההכרחי כדי לוודא שלא יגשו למידע רגיש".
"חשיפת פרטים אישיים הנוגעים לבריאותו ולמצבו הרפואי של אדם היא גם הפרת פרטיות וגם הפרת זכויות החולה", אומר עו"ד יורם ליכטנשטיין, המתמחה באינטרנט ובדיני טכנולוגיות. "חוק הפרטיות עוסק בנושאי פרטיותו וצנעתו של אדם ומגן עליהם. חוק הגנת הפרטיות קובע שזכותו של אדם היא שלא ייחשפו נתוניו הפרטיים, אלא אם הוא נתן לכך הסכמה ומדעת, מה שלא מתקיים במקרה הזה".
נוסף על כך אומר עו"ד ליכטנשטיין: "חוק זכויות החולה מחייב את מנהל המוסד הרפואי לנקוט את האמצעים הדרושים כדי שהעובדים שלו ישמרו על הסודיות הקבועה בחוק. הפרת סעיף זה עלולה להיות באחריותו האישית של מנהל המוסד. כמובן שלא תהיה אחריות אישית אם ננקטו כל הצעדים הדרושים בנסיבות, אך החשיפה נבעה מתקלה לא צפויה".
משרד הבריאות יבדוק
"החוק אף עוסק במאגרי מידע ומגדיר הנחיות לניהול ולהגנה על מאגרי מידע מסוגים שונים, בהם מאגר מידע רגיש. החוק קובע את דרכי ההתנהלות של מאגר מידע שכזה ודרכי ההגנה עליו. מאגר המצוי בידי מוסד רפואי נחשב למאגר מידע רגיש - מה שאומר שהוא מחויב ברישום אצל רשם מאגרי המידע, וגם בעמידה בתקנות אבטחת המידע שקיימות בחוק. לצערנו, התקנות לא קובעות אמצעי אבטחת מידע ספציפיים, אלא רק הנחיות כלליות"."אין ספק שפרצת אבטחה כזו היא בעיה רצינית מאוד, ואנו רואים מקרים דומים באינטרנט שבהם שמירה לא נאותה על אמצעי הזהירות גורמת פעמים רבות לפגיעה קשה במשתמשים", מסכם עו"ד ליכטנשטיין. "לדוגמה, שחרור נתוני החיפוש של כ־650 אלף משתמשים על ידי AOL בשנת 2006, שהכילו נתונים מזהים, כמו גם נתוני חיפוש על מצב בריאותי ואפשרות הצלבה של נתונים אלו".
משרד הבריאות מסר כי "שמירת החיסיון הרפואי היא אחת מאבני היסוד של ניהול מערכת הרפואה, הן במישור שבין הרופא למטופל והן כחובתו של המוסד הרפואי. מבדיקה ראשונית עולה כי אכן נמצאה פרצת אבטחה בטופס זימון התורים. ככל הידוע לנו, עם היוודע לבית החולים על הפרצה הטופס המדובר הוסר מהאתר לאלתר. יחד עם זאת, משרד הבריאות יקיים בדיקה מעמיקה של הנושא".
אתמול בערב, בעקבות פניית "כלכליסט", נחסמה הפירצה על ידי סגירה מוחלטת של טופס זימון התורים המקוון. נכון למועד כתיבת דברים אלה לא ניתן היה לבצע זימון תורים באתר.
תגובת המרכז הרפואי: "זה רק ערוץ תקשורת"
מהמרכז הרפואי סוראסקי נמסר בתגובה: "מדובר באתר אינטרנט המהווה ערוץ תקשורת של חולים עם בית החולים, ולא במערכות המידע של בית החולים. לא ניתן למצוא בו תיקים מלאים של מטופלים, אלא רק מידע מוגבל שהמטופלים הזינו.
"האתר מתוחזק על ידי חברה חיצונית לבית החולים. הטופס לזימון תורים, שהגישה אליו נפרצה, הורד מהאתר לאלתר, ובית החולים ינקוט בכל האמצעים הנדרשים לאבטחת מידע זה בעתיד".