בית החולים מעייני הישועה. ארכיון
בית החולים מעייני הישועה. ארכיוןצילום: דוברות בית החולים

המרכז הרפואי 'מעייני הישועה' מצא את עצמו הבוקר (שלישי) תחת מתקפת סייבר. עד כה נטען שלא הייתה פגיעה במאושפזים או במכשור הרפואי, אך על בתי חולים כיעד לסוג כזה של מתקפות שוחחנו עם אושר עשור, מנהל הסייבר בפירמת הייעוץ Auren Israel.

המתקפה על 'מעייני הישועה' היא מתקפת כופר "שמשמעותה היא שתוקף נכנס לארגון, משבית את המערכות על ידי הצפנת הקבצים, ואומר שאם אתה רוצה את המפתח שיפתח את הקבצים תשלם כופר. כרגע אין נתונים לגבי התוקף ואף אחד לא לקח אחריות, אבל ניתן לומר שיש דמיון רב להתקפות שקורות כעת על בתי חולים בארה"ב".

עשור מבהיר כי כמו במקרה של מחשב פרטי שהותקף כך גם במקרה של בית חולים או כל ארגון אחר, לא נכון להיכנס לדרישת הכופר ממספר טעמים. ראשית כי לא בטוח שאכן הקבצים ישוחררו. שנית, המידע כבר נגנב ואינו עוד בשליטת בעליו וכעת, גם לאחר השחרור, הוא יוכל להימכר לכל מקום, בין אם בידיעתו ובין אם ללא ידיעתו של הבעלים. בנוסף, אומר עשור, כניעה לדרישת כופר מזמינה את התקיפה הבאה.

במציאות שכזו, הוא אומר, אין להיכנע לדרישה, אלא להתחיל עבודה מאומצת של מומחי סייבר על מנת לאתר את הפרצה דרכה נכנס התוקף לארגון, לפעול לחסימתה ולהשיב את המנגנון לתפקוד שגרתי מהר ככל הניתן.

בדבריו מציין עשור את המחויבות של מרכזים רפואיים לכללי רגולציה המחייבים גיבוי למערכות הממוחשבות שבידיהם ולמאגרי המידע שהם מחזיקים. בין סעיפי הרגולציה נכללים גם צעדי ההתמודדות עם מקרה שכזה.

האם האירוע הנוכחי, האירוע הקודם בבית החולים הלל יפה ובמקביל תקיפת בתי החולים בארה"ב מלמדים על התמקדות של האקרים דווקא בבתי חולים? האם העובדה שהחברה רגישה לסוגיה הרפואית נוטעת בלב התוקף תקווה לכניעת המותקפים?

"הציבור לא מודע לכמות ההתקפות. יש עשרות התקפות מהסוג הזה מדי יום. כשזה מגיע לבתי חולים זה יוצא לתקשורת ואז זה הופך לאירוע גדול", אומר עשור המציין כי דווקא בתי החולים מחוייבים ברגולציה הדוקה יותר מגופים אחרים. "בנוסף בתי חולים נחשבים תשתיות קריטיות ולכן הם מקבלים גם רגולציה של מערך הסייבר הלאומי. ההגנה מאוד מהודקת ומצופה מבתי החולים לעמוד בכך".

עם זאת, הוא מציין, ישנם פספוסים, בין השאר משום שלעיתים הנהלות בתי החולים, המחויבות לרגולציה הדוקה, פונים במכרז לחברות הגנת סייבר כמתחייב מהן, אך הן בוחרות את הזול ביותר שלא תמיד הוא הטוב ביותר.

"חוק הגנת הפרטיות מחייב כל ארגון שמחזיק מאגר מידע לבצע בדיקת חדירות. המשמעות היא שהארגון צריך לפרש מהי בדיקת חדירות ויש הרבה סוגים של בדיקות כאלה ברמות ידע שונות. אין תקן שקובע מהי בדיקת חדירות טובה או פחות טובה. בסופו של דבר הארגונים לוקחים את הזול ביותר כדי לסמן וי על החוק, וחלק מבינים את המשמעות ורוצים את הטוב ביותר כדי לדעת שהם מוגנים. מעבר לכך יש את ה'לי זה לא יקרה' הישראלי'".