מתקפת סייבר. אילוסטרציה
מתקפת סייבר. אילוסטרציהצילום: iStock

בית החולים הלל יפה הותקף היום במתקפת כופר שככל הנראה דלתה נתונים על מטופלים בבית החולים.

על תופעת המתקפות על בתי חולים והסכנות שבמתקפות שכאלה שוחחנו עם רונן מואס, מנכ״ל חברת אבטחת המידע ESET ישראל.

מואס מציג מספר סיבות מרכזיות לכך שהאקרים בוחרים לתקוף דווקא בתי חולים, וביניהם גם עומס העבודה בבתי החולים והחוסר במשאבים, מה שגורם לפשרות בנושא אבטחת מידע. האם יתכן והתוקפים ניצלו את שמבר המתמחים כשבחרו בעיתוי הזה? מואס מסופק מאוד שכן לדבריו סוג כזה של מתקפה מחייב היערכות מוקדמת של חודשים.

סיבות נוספות למתקפות על בתי חולים הן השימוש במכשור רפואי מגוון שאינו תמיד מוגן באבטחת מידע וכן וידיעה שבבתי חולים נמצא מידע מאוד רגיש שבתי חולים ירצו להימנע בכל דרך ממצב בו יופץ מידע זה ויועבר לגורמים זרים, ומשום כך יעדיפו לשלם את הכופר כדרישת התוקפים. עם זאת הוא מעיר כי הנחה זו של התוקפים אינה בהכרח נכונה, שכן לכל בית חולים מדיניות עצמאית בנושא.

ניתן לשער שגם העובדה שמדובר בבית חולים שמאחוריו תקציב לא קטן מחזקת את המיקוד של תוקפים דווקא במוסדות אלה.

"צריך להבחין בין שני סוגי מתקפת כופר. עד לפני שנה היה סוג אחד של מתקפת כופר קלאסית, אבל מאז יש התפתחות של המתקפות. התקיפה הקלאסית הייתה כאשר האקר מפעיל תוכנת הצפנה ותמורת מפתח ההצפנה שישחרר את המידע הוא דורש כופר. בשנה האחרונה יש מתקפה חדשה. האקר פורץ, אבל לאו דווקא מצפין את המידע, אלא שואב אותו החוצה ודורש כופר על אי פרסום המידע", אומר מואס ומזכיר כי "בבתי חולים יש מידע על מטופלים שיכול להגיע לחברות ביטוח שיתחמקו מתשלום פרמיות, מידע רפואי אישי יכול לדלוף ואולי גם להביא לאפליה ואי קבלה לעבודה של אדם כזה או אחר וכו'".

שאיבת המידע בסוג השני של המתקפות נמשכת במשך תקופה לא מבוטלת שבה הפורץ עובר ממחשב למחשב, מתיקייה לתיקייה ושואב עוד ועוד מידע מבלי לערוך סלקציה כלשהי. מאחר וכך סבור מואס שהתקיפה בבית החולים הלל יפה תוכננה ולמעשה גם החלה לפני תקופה לא מבוטלת ואינה מהלך שעליו הוחלט בעקבות מחאת המתמחים.

מה יכול לעשות בית חולים לאחר שמתברר לו איומם של התוקפים? "הגישה הראשונה היא לצמצם נזקים ולשם את הסכום שבדרך כלל הוא כמה מיליונים. הגישה השנייה היא שאם תשלם תותקף שוב, כי התוקפים יודעים שהגישה בארגון הזה היא לשלם. אין גישה צודקת יותר או פחות", אומר מואס.

עוד הוא מציין כי לא כל התקיפות נועדות לגבות כופר כספי כזה או אחר וישנן תקיפות, כמו אלו שבעימות הישראלי-איראני, שנועדו רק לייצר תחושת חוסר יציבות שלטוני. בהקשר זה הוא מזכיר את התקיפה והפריצה לנתוני חברת הביטוח שירביט.

ומניין למותקף שאחרי שישלם אכן יקבל לא רק את מפתח ההצפנה אלא גם את החומר כולו? ומניין לו שהחומר לא זלג כבר והועבר לזרים? מואס מספר כי אחרי שהנושא נחקר התברר "שקבוצות התוקפים מנסות לייצר מצב של אמינות מול המותקף. ככל שלקבוצת התוקפים יש אמינות גבוהה שלאחר תשלום הכופר המותקף יקבל את מפתח ההצפנה וגם את כל החומר, יהיה להם מוניטין של ארגון שעומד במילה ואנשים ישלמו יותר".

עוד הוא מספר כי כחלק מיצירת המוניטין האמין שלהם מתחזקים התוקפים מערכת שיווקית משמעותית ואף מחלקת שירות המסייעת טלפונית למותקף אם הוא אינו יודע כיצד לשלם בביטקויין או בכל דרך אחרת.