"80% מהציוד הרפואי שמגיע לישראל - חשוף לפריצת סייבר"
מומחה לאבטחת מידע מתריע: אם לא נתחיל לאבטח היטב את מערכות הבריאות שלנו, לפחות כמו שאנחנו מאבטחים מאגרי מידע וביטחון, לא ירחק היום שבו מתקפת סייבר תהיה מנת חלקנו. בתפריט: שיבוש בקוצבי לב, מכונות הנשמה ומינוני תרופות, או בקיצור - רמה אחרת לגמרי של טרור
לפני כשבעה חודשים, הצליחה מתקפת סייבר לשתק את בתי החולים בבריטניה. ההאקרים נעלו את המחשבים בבתי החולים וגרמו לביטול ניתוחים או לדחייתם. על פי הערכות, אלפי חולים נפגעו מהמתקפה, שכללה עשרות בתי חולים באנגליה ובסקוטלנד. המתקפה חסרת התקדים יצרה כאוס אדיר בממלכה המאוחדת.
בשנים האחרונות ישנו חשש אמיתי ממתקפה על מערכת הבריאות גם בישראל. בתרחיש האימים של מתקפה על בית החולים במדינה, מערכות חיוניות עלולות להיות משובתות – החל ממערכת החשמל ועד מערכות המחשב.
חלק מתרחישי האימים שמתקפה כזו יכולה לכלול הם טרוריסטים שייכנסו לתיקים רפואיים וישנו את מינוני התרופות או יורידו ויעלו את רמות החמצן לחולים המונשמים, או ישנו את הטמפרטורה של מכשירי הסי-טי - דבר שעלול לגרום לכוויות ולפגיעה במטופלים.
בכנס ICI לרפואת לב וכלי דם שמתקיים השבוע, התריע איציק כוכב, הממונה על אבטחת המידע והסייבר בשירותי בריאות כללית, על בעיות אבטחה בציוד הרפואי בישראל: "שמונים אחוזים מהמכשור הרפואי שקופת חולים כללית רוכשת מוחזר ליצרן מסיבה של כשלי אבטחת מידע. כשלים באבטחת מידע הופכים את המכשור או השתל, ואת המטופלים, לחשופים לפריצות של האקרים שיכולים לשבש את המכשיר במגוון דרכים", הוא מסביר. "כך למשל, האקרים יכולים לגרום לשתל רפואי להפסיק לעבוד, לגרום למכשיר להציג אבחנה שגויה, ואף לגרום למכשיר לבצע פעולה קטלנית בחולה כמו למשל מכת חשמל של דפיברילטור תת עורי".
לדברי כוכב, לפרוץ ציוד רפואי שמתחבר לאינטרנט זו משימה לא מורכבת במיוחד והרבה קוצבי לב מתחברים למוניטור שפועל על WI-FI ובכך הם חשופים לשיבוש המכשיר. "הדבר הזה נכון לגבי הרבה מהציוד הרפואי כמו מנשמים ביתיים, משאבות אינסולין, קוצבי מוח ועוד. אחרי שאני בודק את המכשור ומוצא פגמים באבטחת המידע אני מחזיר אותו ליצרן. השאלה היא לא אם תתרחש תקיפה כזו בישראל, אלא מתי", מתריע כוכב.
"מי אמר שמכשור רפואי צריך להיות מחובר לרשת האינטרנט"
בישראל, בניגוד לאירופה וארה"ב, אין עדיין חוק או תקנה שמחייבים יצרנים לאבטח את המכשור. בשנים האחרונות הבשילו טכנולוגיות שיודעות להגן היטב על אביזרי מכשור רפואי, אבל בהיעדר חקיקה אין ליצרנים סיבה להשקיע בכך - שילוב טכנולוגיות כאלה ייקרו את הייצור ב-15-10 אחוזים מעלות המכשיר.
"צריכים לקרות שלושה דברים כדי לשפר את המצב בישראל", טוען כוכב, "קודם כל, מערכת הבריאות צריכה להגדיר מהן התשתיות הקריטיות שלה – כמו למשל פגיות, חדרי מיון, מכונות הנשמה, מכשירי מעבדה וכדומה. באותם מקומות של תשתיות קריטיות צריכות להיות מערכות עם רמת אבטחת מידע מאוד גבוהה, בדיוק כפי שיש בהרבה משרדי ממשלה אחרים", הוא מסביר.
"שנית - צריך להחליט מהו הציוד הרפואי מציל החיים ולא לאפשר לו להיות מחובר לאינטרנט. מי קבע שהמכשור במעבדה חייב להיות מחובר לאינטרנט? הרי גם בצבא ובמערכות נוספות אין חיבור לרשת חיצונית.
"ולבסוף, צריכים להיות חוקים בנוגע לאבטחת מידע. בישראל יש חוק אביזרים ומכשירים רפואיים. כל מכשיר חדש נדרש לעבור בדיקה של רמת הבטיחות והאיכות שלו, אבל אין חובה לבצע בדיקה על רמת אבטחה, ואת המציאות הזו צריך לשנות".
מנכ"ל רמב"ם ויו"ר כנס ICI פרופ' רפי ביאר: "ניהול חכם של מחלות כרוניות, ניטור ואבחון מרחוק, ומחקרים מבוססי ביג דאטה, נשענים כולם על רפואה דיגיטלית. לכן, מקומם של מכשירים ושתלים חכמים ואינטרנטיים הולך וגדל. בכנס התמקדנו בנושא הזה והמחשנו שאבטחת המידע במכשור רפואי הופכת חשובה יותר מדי יום. לצד התועלת האדירה של התנופה בתחום הבריאות הדיגיטלית אנו ללא ספק נדרשים כעת להתמודד עם איום הסייבר גם בהיבט החדירה לפרטיות וגם בהיבט המטריד של התערבות זדונית בטיפול רפואי".