חדר ניתוח. אילוסטרציה
חדר ניתוח. אילוסטרציהצילום: פלאש 90

מנהל המזון והתרופות האמריקאי (FDA), פרסם הנחיה ובה הוא מציע שיצרני ציוד רפואי ייקחו בחשבון סכנות של פריצה בעת עיצוב מוצריהם, זאת מבלי לדרוש אמצעי אכיפה.

המסמך פותח וקובע כי העליה בשימוש בתקשורת אלחוטית, מכשירים מבוססי אינטרנט כמו גם העברת מידע רפואי באמצעים אלקטרוניים, מעלים את הצורך בנקיטת אבטחה קיברנטית יעילה על מנת להבטיח את התפעול של המכשור הרפואי ובטיחותו.

ההנחיות הוכנו על ידי ה-FDA לשם תמיכה בתעשייה באמצעות זיהוי נושאים אשר להם זיקה לאבטחה קיברנטית שעל היצרנים לתת עליהם את הדעת בעיצוב ופיתוח המכשור הרפואי ובעת הכנת בקשות בטרם שיווק מכשירים אלה. זאת תוך קביעה כי אין במסמך זה אכיפת אחריות משפטית, אלא הוא משקף את "החשיבה הנוכחית" של רשות זו בנושא וכי הדברים צריכים להחשב כהמלצות בלבד, אלא אם קיימת הנחיה מפורשת אחרת, ולא בדרישה מיצרנים אלו.

המסמך ממליץ ליצרנים אלו לשקול את פעולות הגילוי, הגנה, זיהוי, תגובה ושחזור. בכלל זה בדיקת היכולות של מכשור רפואי לתקשר עם מכשירים אחרים, לאינטרנט, לרשת אחרת או לאמצעי אחסון שונים. ממשקי נתונים, סביבת השימוש הצפויה, חולשות קיימות באבטחה קיברנטית וכן הסיכון האפשרי למטופל בשל הפריצה הקיברנטית האפשרית.

היצרנים צריכים לבחון בקפידה את האיזון בין שמירה על אבטחה קיברנטית לבין השימושיות במכשיר בסביבתו המיועדת לכך. במסגרת זו ממליץ המסמך להגביל את הגישה למכשור תוך זיהוי המשתמש ואף יצירת שכבות של הרשאות בהתאם לתפקיד המשתמש, יצירת אבטחה פיזית למכשור ואמצעי התקשורת שלהם, הרשאות בטרם ביצוע עדכוני תוכנה, יישום תכונות המאפשרות גילוי פריצות אבטחה, מימוש יכולות שיאפשרו למשתמש הקצה לנקוט בצעדים מתאימים עם גילוי ארוע של אבטחה קיברנטית, מימוש תכונות אשר יאפשרו הגנה על תפעול קריטי של המכשור אפילו אם אבטחתו נפרצה, מתן אפשרות לשחזור תצורת המכשור באמצעות משתמש מורשה.

זאת לצד אזהרה בדבר הצורך להעריך כל סיכון בשל שימוש שגוי אם בכוונת תחילה ואם בשוגג, כבר בשלבי עיצוב המוצר. בנוסף, מכשור ומערכות רפואיות אמורות לעקוב ולתעד התקפות ולאפשר לטכנאים להגיב על התקפות שכאלה, בין אם באמצעות הטלאת החולשה או באמצעים אחרים. לצד תעוד סיכוני האבטחה הקיברנטית אשר נבחנו בעת עיצוב המכשור.

במהלך החודשים האחרונים היינו עדים למספר ארועים של פריצה למערכות מחשב במגזר הבריאות בארה"ב ובכלל זה דליפת 4.5 מיליון רשומות מ-Community Health Systems, קבוצת בתי החולים הגדולה ביותר בארה"ב; דליפת מידע אישי של כל 62 אלף עובדי המרכז הרפואי פיטסבורג; וגנבת פרטיהם של 56 אלף חולים בסן פרנסיסקו.

זאת לצד הדיווחים על חששו של סגן נשיא ארה"ב לשעבר מפני פריצה קיברנטית לקוצב הלב שלו, המבוססת על הוכחת יכולת לפרוץ לשתלים רפואיים שונים ובכללם היכולת לפרוץ לקוצבי לב.

הכותב, ד"ר טל פבל, הנו ד"ר למזרח תיכוןמייסד חברת Middleeasternet לחקר איומי האינטרנט והסייבר, ראש התוכנית ללימודי פשיעה קיברנטית באוניברסיטת אריאל, ומרצה בתוכנית לניהול מערכות מידע במכללה האקדמית תל-אביב יפו.