תעשיית הבריאות העולמית נמצאת במצוקה במובנים רבים. הקורונה פגעה לא רק בכל אספקט מנהלי כמו תשישות צוותי הרפואה, מחסור חמור באנשי מקצוע ועומס יותר על משאבים מוגבלים, אלא חשפה את חולשות מערך הסייבר של שירותי הבריאות, או יותר נכון את חוסר קיומו של מערך זה.
לעיתים רבות לארגוני בריאות, בעיקר ציבוריים, אין את המשאבים או המודעות לתחזק את מערך הסייבר שלהם, מה שהופך ארגונים במערכת הבריאות העולמית למטרה קלה ופופלרית עבור האקרים. מחקר של חברת הסייבר protenus לשנת 2021 מציג תמונה מדאיגה למדי- עלייה של 44% במתקפות הסייבר על ארגונים השייכים לתעשיית הבריאות, ויותר מ-50 מיליון רשומות רפואיות של מטופלים נחשפו רק בארצות הברית.
הגנה על מידע רפואי ePHI
האתגר המשמעותי ביותר שיש לארגונים בעשיית הבריאות, ביניהם בתי חולים וקופות חולים, הוא הגנה על מידע בריאותי מוגן אלקטרוני (ePHI – Electronic protected health information), שנחשב מידע רגיש ופרטי.
הדרך הטובה ביותר להבטיח את פרטיות המידע הזה הוא עמידה בתקן HIPAA. הרגולצייה היא חקיקה אמריקאית שמטרתה לקבוע סטנדרט אחיד לניהול ואחסון מידע רפואי דיגטלי כדי למנוע העברה והדלפה של מידע זה לגורמים לא מורשים.
החקיקה מכירה בשימוש בטכנולוגיות חדשות כדי לשפר את המענה למטופלים ולהפוך אותו לאיכותי ויעיל יותר, והיא רוצה להסדיר את פרטיות המטופלים בקרב ארגונים שמשתמשים במערכות טכנולוגיות אלה.
התקן שם במרכזו את זכותו של כל אדם לפרטיות על המידע הרפואי שלו.
הרגולצייה עצמה גמישה יחסית, ומאפשרת לכל ארגון לקבוע את תהליך הטמעת התקן על פי התשתיות הטכנולוגיות, היקף הארגון, הסיכונים הייחודים, ועוד שיקולים שנלקחים בחשבון על ידי מי שמספק לארגון שירותי אבטחת מידע.
מתקפות כופר בתעשיית הבריאות
מתקפות כופר הפכו לאחד מאיומי הסייבר הנפוצים ביותר לכלל המגזרים, אולם בסקטור הבריאות המצב עגום למדי- 66% מכלל הארגונים שהשתתפו בסקר השנתי ל-2022 של חברת סופוס הודיעו כי הם נפגעו מתוכנת כופר במהלך השנה. הסקטור הבריאותי הוא גם התעשייה שאחוזי התשלום שלה לפושעים הוא הגבוה ביותר- 61% מכל ארגוני הבריאות שנפגעו ממתקפת כופר שילמו את דרישות הפושעים.
מתקפת כופר מתחילה מתוכנה המוחדרת למחשב ולוקחת את המידע שלנו כשבי עד למילוי דרישות התוקף. הוירוס יכול להצפין את המידע או לנעול את המכשיר שלנו, וכך לנעול אותנו ללא גישה. מובטח שהמידע יחזור להיות זמין עבורנו לאחר תשלום כופר להאקר, לרוב בצורת ביטקוין כדי שלא יהיה ניתן לאתר את מקבל התשלום, אולם הצינים מבינינו יחשדו בכך שאין ערובה לשחרור המידע.
וירוס הכופר עובד במספר דרכים:
- הצפנה– תוכנה המאתרת קבצים הנראים חשובים למשתמש- טקסטים, מסמכים, תמונות, PDF ועוד. את המידע היא מצפינה, ובכך מונעת גישה אליו, אולם עדיין תוכלו להשתמש במכשיר שלכם. כאשר הקורבן הוא אדם פרטי, לרוב הכופר מסתכם בכמה מאות דולרים, והדרישה כוללת העברה של התשלום עד 72 שעות, אחרת המידע נמחק לצמיתות.
- נעילה– במקרה זה המתקפה היא יחסית פשוטה, והתוכנה נועלת את כל המכשיר, והודעת הכופר מופיעה על המסך.
- Scareware–מתקפה זו מתחזה לתוכנה הסורקת אחר בעיות במחשב, ומודיעה לנו על תקלות חמורות שיש לטפל בהן מיד. התוכנה אינה מאפשרת לך להשתמש במחשב עד שניתן אישור לפתירת הבעיות, בתשלום כמובן. ההודעות המופיעות אשר מתריעות על איתור התקלות מחקות תוכנות אנטי וירוס חוקיות, ונותנת תחושה של מקור אמין בכך שהן מספקות מידע על כתובות IP ומיקום גיאוגרפי, או משתמשות בשמות של חברות מוכרות ואמינות.
- DoxWare– תוכנת הדלפה, כשמה כן היא, מאיימת על הדלפת המידע הגנוז לאתרים ב-Dark Web, או לאתרי הדלפות המיועדים להדלפת מידע אישי.
חולשות בתשתית ענן המכילות ePHI
בשנים האחרונות, ארגוני בריאות רבים אימצו שירותי ענן כחלק מתהליך דיגיטציה רחב המתרחש בכל העולם, ובפרט בשל מגפת הקורונה, שהביאה לעלייה בביקוש לשירותי בריאות מרוחקים. מידע על בריאות המטופל (PHI) ונתונים רגישים אחרים מאוחסנים בסביבות ענן מרובות ספקים.
המגמה הרחיבה את נקודות החולשה במערך הסייבר של ארגוני הבריאות והפכה אותם לפגיעים יותר להתקפות שמטרתן גניבת מידע בריאותי מוגן ונתונים רגישים אחרים.
ארגוני שירותי בריאות משתמשים לעתים קרובות במספר ספקים ושירותי ענן עם תקני אבטחה ונהלי אבטחה שונים, מה שמקשה עליהם ליישם מדיניות עקבית להגנה על נתונים בסביבת הענן, על פי אנתוני ג'יימס, בכיר בחברת הפלטפורמה Infoblox.
הדרכים הכי נפוצות לפריצה לענן הם:
- "חטיפת החשבון", כלומר גניבה של פרטי המשתמש לחשבון הענן על ידי פישינג, מתקפת XSS, ניחוש סיסמאות שיטתי ועוד.
- פריצות והדלפות מידע מהענן, שהסבולות העיקריות ממנה הן עסקים קטנים שפשוט לא מוגנים במערכות אבטחה משוכללות כמו החברות הגדולות.
- API לא מאובטח, שמהווה פתח כניסה להאקרים המנצלים פגיעות זו כדי להוציא לפועל מתקפות כמו DDoS.
מתקפות על נכסים אפליקטיביים של ארגוני הבריאות
ה-Open Web Applications יכולים להוות דלת כניסה לגורמים זדוניים המעוניינים לשבש את פעילות הארגון. בדיקות חדירות אפליקטיביות, המדמות מצב של מתקפת האקרים על אתרי אינטרנט, הפכו להיות שירות פופלרי שארגונים רבים לא רק מבקשים, אלא דורשים על מנת להמשיך התנהלות תקינה.
- מתקפת XSS- מתקפת XSS היא המתקפה הנפוצה ביותר על אתרים אפליקטיביים, יותר מ-40% מכלל מתקפות אלה מבוצעות על ידי הזרקת קוד לתוך שדות טופס של אתרים ואפליקציות- למשל טופס הרשמה, התחברות, השארת פרטים או חיפוש.
- הזרקת SQL- גם כן תחת קטגוריית מתקפות הזרקה, ה-SQL דומה מאוד לקודמו רק שהוא מנסה לשלוף מידע ממסד הנתונים של האתר. גם מתקפה זו מזריקה קוד למקומות רגישים באתר לדוגמא שדות טופס ושדות חיפוש, וכאשר מבוצעת על אתר לא מוגן יכולה לשלוף ממסד הנתונים של האתר מידע כמו שמות משתמש וסיסמאות.
- DDOS– מדובר ניסיון להפוך שירות אינטרנטי- כמו אתר- ללא זמין למשתמשים שלו, לרוב על ידי שיבוש זמני של השרת עליו מונח האתר- ומכאן מגיע שמו "מתקפת מניעת שירות". העיקרון הוא להציף את האתר והשרת שלו בתנועה זדונית שתגרום להשבתה בשל עומס יתר, וזאת על ידי שימוש במכשירים רבים שנפרצו פעם ומנוצלים ללא ידיעת משתמש המכשיר.
- MITM- האדם באמצע היא אולי השיטה הקשה ביותר לזיהוי ע"י מי שאינו מומחה. ה-MITM מתרחש כאשר על האקר ממקם את עצמו בין המשתמש לספק השירות, בין אם כדי "להאזין לתקשורת" ביניהם או בין אם כדי להתחזות לאחד מהצדדים.
פישינג בתעשיית הבריאות
הפישינג הוא ניסיון לגנוב מידע רגיש ע"י התחזות ברשת האינטרנט. מדובר בשיטת הטעיה שמטרתה לגרום למשתמש לבצע פעולה אשר תסכן את המחשב שלו, בין אם על ידי התקנת Malware או גניבה של מידע רגיש.
- אימייל פישינג- אימיילים הנראים כאילו הגיעו ממקור אמין כמו ארגונים, מוסדות ונותני שירות אמיתיים, אך בעצם נשלחו מהאקר שעשה עבודה מאוד טובה בניסיון להתחזות.
- Spear phishing- כמו אימייל פישינג, רק שבמקרה זה הוא מנוסח ייעודית לקבוצה קטנה של אנשים, לעיתים מטרה בודדת. התוקף אוסף מידע על שמות עובדים במחלקה מסוימת ומתחזה לגורם מוכר, לדוגמא ספק שירות העובד איתם או צוות IT. במקרה זה האימייל מיועד לאנשים מסוימים ולכן "תפור למידותיהם".
- Whaling- תת קטגוריה בתוך הדייג הממוקד, סוג פישינג זה מתמקד במנהלים בכירים
- Vishing- שימוש בטקטיקות של הנדסה חברתית דרך הטלפון, על ידי התחזות לגורם מוסמך כמו פקיד בנק, איש תחזוקה טכנית או נציג חברת כרטיסי אשראי.
התגוננות מפני פישינג כולל בין היתר שימוש באימות רב שלבי לחשבונות, הכולל לא רק אימות דו שלבי על ידי מכשיר נוסף אלא שיקלול נתונים נוספים כמו מיקום והתנהגות משתמש. בנוסף, ניתן להשתמש במערכות לסינון מיילים, ומבדקי פישינג לארגונים שמבוצעים על ידי חברת אבטחת מידע, ונמצאות כיעילות ביותר להגברת מודעות.
להמשך קריאה על נתוני פישינג עולמיים, ועל דרכי התגוננות מחפני פישינג, עברו למאמר הפישינג המלא שלנו.
אינטרנט של דברים רפואיים/ IoT של שירותי בריאות
האינטרנט של הדברים בתחום הבריאות מתייחס למכשירים רפואיים ויישומים הקשורים למערכות IT- תקשורת חיישנים באמצעות מכשירים ניידים, Wi-Fi, Bluetooth ואפילו רשתות חיצוניות כגון קישוריות ענן לאחסון וניתוח נתונים. דוגמאות כוללות משאבות עירוי חכמות, עטי אינסולין חכמים ו-Continuous Glucose Monitor. ל-CGM יש תכונות חכמות לניטור רמות הגלוקוז בדם באמצעות טכנולוגיה לבישה, יישומים ניידים וניטור מרחוק על ידי מטפלים.
מחקר של ForeScout מדגים את החולשות שניתן לנצל ב-IoT, כמו מחיקה או שינוי של תוצאות בדיקות רפואיות של מטופלים, וניתוק גישה למכשירים כגון צגי מטופלים.
יצרני המכשירים הרפואיים שמתעלמים מעקרונות אבטחת המידע בשלב התכנון, או לא מצליחים לטפל בבעיות כאלה לאחר שחרור המוצר מהווים דאגה רבה עבור לקוחות מכשור רפואי. ההשלכה של סיכונים אלה מתייחסת לגישה בלתי מורשית על ידי צדדים שלישיים למערכות בריאות קריטיות.
חזקו את מערך הסייבר של ארגונכם, ופנו לרד אנטרי חברת אבטחת מידע לקבלת שירותים מותאמים אישית:
