הגנת סייבר על מכשירים רפואיים ואבטחת המידע הנאגר בהם

בעשור האחרון גברו תקיפות הסייבר על ארגונים ועל אנשים פרטיים ברחבי העולם, ובשנים האחרונות גברו גם איומי הסייבר על מוסדות רפואיים. במרכזים רפואיים קיימות מערכות שהשבתתן עלולה להוביל לפגיעה בפעילות המרכז הרפואי ואף לסיכון חיי המטופלים. תקיפות סייבר במערכת הבריאות עשויות לגרום לנזקים נרחבים, ובכלל זה: פגיעה במתן שירות רפואי חיוני בעיתות שגרה וחירום; גניבת מידע רפואי אישי וניצולו לרעה, דבר שיש לו השפעות חמורות ברמה האישית וברמת האמון במוסדות הרפואיים במדינה; שיבוש מכוון של מידע בעקבות שינוי מידע בתיקים אישיים קליניים אשר יכול לגרום לקבלת החלטות רפואיות שגויות; פגיעה והרס של מכשור רפואי יקר. 

לצורך הפעילות הרפואית משתמשים המוסדות הרפואיים בעשרות אלפי מכשירים רפואיים למגוון רחב של פעולות רפואיות; בין המכשירים הללו מכשירי הדימות MRI (דימות בתהודה מגנטית), CT (טומוגרפיה ממוחשבת), רנטגן ואולטרסאונד נשים. על מכשירים רפואיים להיות זמינים באופן מלא ובקביעות לנוכח מגוון הפעולות שיש לבצע באמצעותם ובייחוד לנוכח נחיצותם לתהליכים מצילי חיים. 

הגנת סייבר (אבטחת מידע) במכשור רפואי לרבות על מכשירי דימות, היא תהליך שמטרתו למנוע מגורם בלתי מורשה לבצע שינוי במידע שנאגר במכשירים הרפואיים; שימוש בלתי מורשה או שימוש לרעה במידע הרפואי שנאגר במכשיר הרפואי, שמעובד בו או מועבר מהמכשיר הרפואי ליעד חיצוני; וכן פגיעה בפעילות המכשיר הרפואי.

הדוח מתבסס על תשובות 25 המוסדות הרפואיים שהתבקשו להשיב על שאלון בנושא "הגנה ואבטחה של מידע במכשירים רפואיים" שהפנה אליהם משרד מבקר המדינה: 11 המרכזים הרפואיים הכלליים-ממשלתיים, שני המרכזים הרפואיים הציבוריים, שמונת המרכזים הרפואיים הכלליים של הכללית וארבע קופות החולים; הכללית השיבה בנוגע לחלק מהפרקים שבשאלון בשם כל שמונת המרכזים הרפואיים הכלליים שלה ומרפאות הקהילה, ולכן מספר המוסדות שבהם עוסקים פרקים אלה הוא 17.

באמצע אוקטובר 2021, במהלך תקופת הביקורת, פרצו פצחנים למחשבים ושרתים במרכז הרפואי הלל יפה שבחדרה. התקיפה הובילה לשיבוש פעילות המרכז הרפואי, וגרמה להסטת חולים מהמרכז הרפואי למרכזים אחרים, למעבר לעבודה ידנית ולא ממוחשבת, למניעת גישה למידע הרפואי של המטופלים ועוד. תקיפה זו מחדדת את החשיבות להיערכות מיטבית לאיום הסייבר ולאבטחת המידע.

בחודשים ינואר-נובמבר 2021 בדק משרד מבקר המדינה את הגנת הסייבר על מכשירים רפואיים ואבטחת המידע הנאגר בהם, תוך התמקדות במכשירי דימות (CT, MRI, רנטגן ואולטרסאונד נשים). הנושאים שנבדקו: הפעילות המינהלית בתחום אבטחת המידע במוסדות הרפואיים; ההגנה על המכשירים בכל מעגל החיים שלהם: רכישתם, השימוש בהם וסיום השימוש בהם. בכלל זה נבדקו ההגנה על המכשירים ברשת המוסד הרפואי, הרשאות הגישה למכשירים, ניהול המשתמשים, אבטחת מידע בעת פענוח ממצאי הסריקות, ההגנה על המידע הרפואי שנאגר במכשירים ודרכי התחזוקה של המכשירים. הביקורת בוצעה במשרד הבריאות, ב-25 מוסדות רפואיים: בקופות החולים, בכל המרכזים הרפואיים הכלליים-ממשלתיים והממשלתיים-עירוניים במרכזים רפואיים כלליים של הכללית, ובשני מרכזים רפואיים ציבוריים. בדיקות השלמה בוצעו במערך הסייבר הלאומי, ברשות להגנת הפרטיות במשרד המשפטים וב"ענבל חברה לביטוח בע"מ", שהיא חברה ממשלתית לביטוח.

דוח זה הומצא לראש הממשלה ביום 15.2.22 והוטל עליו חיסיון עד לדיון בוועדת המשנה של הוועדה לענייני ביקורת המדינה. מתוקף הסמכות הנתונה למבקר המדינה בסעיף 17(ג) לחוק מבקר המדינה, התשי"ח-1958 [נוסח משולב] ובשים לב לנימוקי הממשלה, לאחר היוועצות עם הגופים האמונים על אבטחת המידע הביטחוני ובתאום עם יו"ר הכנסת, משלא התכנסה ועדת המשנה האמורה, הוחלט לפרסם דוח זה תוך הטלת חיסיון על חלקים ממנו. חלקים אלה לא יונחו על שולחן הכנסת ולא יפורסמו. ממצאי דוח הביקורת והמלצותיו נכונים למועד המצאת הדוח כאמור לעיל.

​איומי הסייבר על מערכת הבריאות הולכים ומתרבים, הם ממשיים ואינם רק בגדר איום, ניסיונות תקיפה של פצחנים מתבצעים כל העת. תקיפות כאלה עלולות להוביל לשיבוש בפעילות השוטפת של המוסדות הרפואיים, לזליגה של מידע רפואי של מטופלים ולגרימת נזק למכשירים רפואיים חיוניים. ואולם לא מדובר רק בניסיונות תקיפה של פצחנים אלא גם בניסיונות מצד גורמים בעלי עניין שיש להם גישה למערכות ולמכשור ומעוניינים לפגוע בהם או לשבש את פעילותם. נוסף על כך, אף פעילות שגרתית ותמימה עלולה להביא לפגיעה במערכות המידע, במאגרי המידע ובמכשור רפואי. איומים אלה מחייבים את משרד הבריאות ואת הנהלות המוסדות הרפואיים לשים את הדגש הראוי על סיכוני אבטחת המידע הכרוכים בשימוש במכשירים רפואיים ועל הדרך הראויה להתמודדות עימם.