"גם דלף של רשומה רפואית אחת עלול להסב נזק גדול"

"ככל ארגון, אנו חשופים למגוון איומי סייבר, והכופרות בראשם. אנחנו מתמודדים עם מגוון איומים, פנימיים וחיצוניים, מצד האקרים שלוחי מדינות, לצד פושעי רשת הפועלים ממניעים כספיים. בהיותנו ארגון בריאות, אנחנו ניצבים מול כמה אתגרים, בהם מגוון איומים על מערכות רבות, ישנות וחדשות, והגנה על נכסי המידע שלנו – שכוללים מידע רפואי, אישי. גם דלף של פרטי רשומה רפואית אחת – עלול להסב נזק גדול", אמרה הגר רשף פריד, מנהלת אבטחת מידע של קופת חולים מאוחדת.

רשף פריד דיברה במפגש בכירים, שנערך באחרונה בתל אביב, בהשתתפות עשרות מקצועני אבטחה. המפגש התקיים תחת הכותרת "משברי סייבר – כרוניקה של מקריות? מהתנהלות לניהול אירוע סייבר", והנחה אותו אלעזר בירו, מנהל מערך סייבר קונטרול, נס (Ness).

לדבריה, "מאוחדת היא ארגון הבריאות השלישי בגודלו במדינה, שמונה 1.74 מיליון מטופלים ואוחז בנתח שוק של 14%. לקופה יש 10,000 עובדים, מחציתם רופאים עצמאיים, שהם משתמשי קצה לכל דבר ועניין".

"יש לנו מערכות IT רבות, במערך מחשוב הטרוגני – חלקן מערכות ותיקות, שדורשות תחזוקה ייעודית, וחלקן חדשות וחדשניות. "עלינו לספק לכולם – המשתמשים, העובדים, השותפים והמטופלים – יכולת לתקשר ולהתחבר מכל מקום ובכל עת, תוך שמירה על חוויית שירות לצד רמת אבטחה קבועה וגבוהה".

"הקורונה והמאבק בה, הם בליבת העשייה שלנו".

רשף פריד אמרה ש-"הקורונה תפסה את כל העולם בהפתעה. אלא שבניגוד לארגונים אחרים, אצלנו, הקורונה והמאבק בה הם בליבת העשייה שלנו. הקמנו מאפס מרכזי בדיקות וחיסונים, כולל תשתיות מחשוב ומעטפת אבטחתית והגנתית. הכנסנו בזמן אפס המון שירותים חדשים, תוך חשיבה על צמצום החשיפה".

"היקף האיומים בסייבר גדל באופן אקספוננציאלי, הוסיפה. "האקרים איראניים לא התביישו לנסות לתקוף בית חולים לילדים. ארגוני רפואה חשופים כפליים למתקפות לעומת שנים קודמות".

היא דיברה על המתקפה על שירביט וכינתה אותה "מכוננת". "זו הפעם הראשונה בה הפנימו שזה לא אירוע טכנולוגי, אלא מהלך המכוון לפגוע בארגון ועל כולם, כולל ההנהלה, להיות מעורבים בו", ציינה רשף פריד. על המתקפה על בית החולים הלל יפה אמרה מנהלת אבטחת המידע של מאוחדת ש-"היא לא הייתה היחידה. תוך כדי, האקרים ניסו לתקוף את כלל ארגוני הבריאות בארץ. "ככלל", ציינה, מתקפה היא עניין של זמן. השאלה איננה 'האם נותקף?', אלא 'מתי?', ועל לכן נדרש להתכונן ולתכנן את צעדי המנע".

"האיומים שלנו", הדגישה רשף פריד, "רבים ומגוונים: ההאקרים רוצים להגיע לנתונים הרפואיים הרגישים; משתמשי הקצה עובדים מכל מקום, ואי אפשר לחסום אותם; יש כל הזמן ניסיונות להנדסה חברתית, לשכנע קורבנות תמימים לשלוח מידע חסוי; וההגנה על המכשור הרפואי מורכבת – מכשור רפואי חדשני, דוגמת קוצבי לב ומכשירי ניטור מחלות – משדר נתונים לעננים".

"אתגר גדול", הוסיפה, "הוא הצורך לדעת – במערכות השונות – IT, שו"ב, NOC ו-SOC – מתי תקלה הופכת לאירוע סייבר. יש קושי בסנכרון כל הגורמים. כשאירוע מאומת כמתקפת סייבר, יש לרתום את כל הגורמים למטרה אחת".

SOC – פנימי או חיצוני? משולב!

"במאוחדת", אמרה רשף פריד, "בחנו כיצד לבנות את מרכז תפעול האיומים החדש שלנו (SOC). התלבטנו בין שירות חיצוני להקמת מרכז פנימי, אצלנו. בחרנו במודל היברידי, המשלב את הטוב שבכל העולמות. במודל חיצוני, המערכת הייתה של גורם חיצוני, ולא יכולנו לחבר לה מערכות המכילות מידע רפואי רגיש. במודל פנימי, נדרשים תחזוקה וטיוב. במודל ההיברידי, המערכת בשליטה מלאה שלנו ומומחי סייבר קונטרול מבית נס עוזרים עם ניסיונם והידע התפעולי – לטייב אותה. מרכז התמיכה במחשוב שלנו מתופעל גם הוא על ידי מומחי נס".

היא הוסיפה ש-"התעקשנו שכולם, אנשינו ואנשי נס, ישבו צמוד למרכז, לטובת מעורבות גדולה מאוד של מרכז התמיכה בתרבות הארגונית והכרות מעמיקה של המערכות. כך, ב-SOC ההיברידי אני יודעת מאיזו מערכת מגיעה ההתרעה ומה נדרש לעשות, ויש סנכרון ותמיכה מלאים בין אנשי מאוחדת ואנשי נס, תוך שילוב מוצלח של שני העולמות".

לסיכום ציינה רשף פריד כי "באבטחת מידע, כמו במניעת מגיפות, אי אפשר להגיע לחיסון כולל של 100%. ניתן לצמצם את הפגיעה עם אמצעים שונים, וכיוון שאין חסינות מוחלטת, עלינו להיות מוכנים. חלק מהמוכנות זה הניטור – לדעת לזהות, ובזמן, מתי יש אירוע".