דוח מבקר המדינה ממאי 2022 – הגנת סייבר על מכשירים רפואיים ואבטחת המידע הנאגר בהם

מפאת חשיבותו הרבה של דו"ח זה, להלן יובאו בתמצית הנקודות המהותיות שעלו בדוח:

בחודשים ינואר-נובמבר 2021 בדק משרד מבקר המדינה את הגנת הסייבר על מכשירים רפואיים ואבטחת המידע הנאגר בהם, תוך התמקדות במכשירי דימות מסוג CT, MRI, רנטגן ואולטרסאונד נשים. במהלך הביקורת, בחודש אוקטובר 2021 פרצו האקרים למחשבים ולשרתים במרכז הרפואי הלל יפה שבחדרה – באופן שהדגים והדגיש את הצורך במענה דחוף לסיכונים הנדונים בדו"ח.

במרכזים רפואיים קיימות מערכות שהשבתתן עלולה להוביל לפגיעה בפעילות המרכז הרפואי ואף לסיכון חיי המטופלים. מערכות אלה כוללות את תשתיות המרכז הרפואי כגון תשתיות מים, חשמל וגז, תשתיות מערכות מידע ובפרט רשתות תקשורת, רשומות רפואיות וכן מכשור רפואי. 

הגנת סייבר במכשור רפואי – היא תהליך שמטרתו למנוע מגורם בלתי מורשה לבצע שינוי במידע שנאגר במכשירים הרפואיים; שימוש בלתי מורשה או שימוש לרעה במידע הרפואי שנאגר במכשיר הרפואי, מעובד בו או מועבר מהמכשיר הרפואי ליעד חיצוני; ופגיעה בפעילות המכשיר הרפואי.

הגנת סייבר מתמקדת בשלושה מרכיבים: 
 

  • סודיות – הנתונים, המידע או מבנה המכשיר צריכים להיות נגישים רק לעובדים ולגורמים מורשים.
     
  • שלמות ואמינות – הנתונים והמידע מדויקים ושלמים ולא בוצעו בהם שינויים. 
     
  • זמינות – הנתונים, המידע ומערכות המידע נגישים וזמינים בזמן ובמקום הנדרש.
     

איומי הסייבר הנשקפים למערכות המידע המודרניות גוברים והולכים. תקיפות סייבר במערכת הבריאות עשויות לגרום לנזקים נרחבים, ובכלל זה: פגיעה במתן שירות רפואי חיוני בעתות שגרה וחירום; גניבת מידע רפואי אישי וניצולו לרעה; שיבוש מכוון של מידע בעקבות שינוי מידע בתיקים אישיים קליניים אשר יכול לגרום לקבלת החלטות רפואיות שגויות; פגיעה והרס של מכשור רפואי יקר. 

אבטחת המידע הרפואי היא בעלת חשיבות גבוהה, ועם התגברות האיומים על מערכות מבוססות מחשוב, נדרשים מוסדות במערכת הבריאות להגן על מערכות המחשוב הקריטיות שלהם על מנת להבטיח רצף טיפולי וניהולי כנדרש.

במהלך הביקורת, בחודש אוקטובר 2021 פרצו האקרים למחשבים ולשרתים במרכז הרפואי הלל יפה שבחדרה. התקיפה הובילה לשיבוש פעילות המרכז הרפואי וגרמה להסטת חולים למרכזים אחרים, מעבר לעבודה ידנית ולא ממוחשבת, מניעת גישה למידע הרפואי של המטופלים ועוד.

הביקורת בוצעה במשרד הבריאות ובמוסדות רפואיים שונים. התברר שכשש שנים לאחר קבלת החלטות הממשלה בנושא היערכות לאומית וקידום אסדרה לאומית בהגנת הסייבר, לא הוסדרו סמכויות מערך הסייבר הלאומי כלפי היחידות להכוונה מקצועיות במשרדי הממשלה, לרבות במגזר הבריאות.

דוח המבקר מצא כי משרד הבריאות לא השלים את גיבוש הנחיותיו בתחום הגנת הסייבר, הכוללות עקרונות יסוד לניהול הגנת סייבר וכלים להתמודדות עם אירוע סייבר ומשכך, הנחיות אלו כלל לא הופצו בין המוסדות הרפואיים השונים!

נתונים מרכזיים שעלו בדוח:

במסגרת ביקורת הרישוי שביצע משרד הבריאות במרכזים הרפואיים, הוא לא ביצע בקרה בנושא ההגנה על מכשור רפואי. כמו כן, הוא לא מבצע מעקב סדור אחר תיקון ליקויים שעלו בדוחות הבקרה בנושא אבטחת מידע.

הנחיות אגף ציוד רפואי (אמ"ר) במשרד הבריאות שעוסק ברישום מכשירים רפואיים ובמתן היתרי יבוא ושיווק שלהם לארץ אינן נוגעות כלל לצורך בעמידתם בתקני אבטחת מידע.

עוד עלה מהדוח כי לחטיבת המרכזים הרפואיים במשרד הבריאות אין תמונת מצב מיטבית בדבר איכות אבטחת המידע בכל אחד מהמרכזים הרפואיים שבאחריותה.

התאוששות מאסון והמשכיות עסקית של מכשור רפואי – מתוך 17 המוסדות שנבדקו, לשניים אין תוכנית להתאוששות מאסון (למשל, מתקפת סייבר על תשתיות המוסד הרפואי) או תוכניות להמשכיות עסקית (יכולתו של ארגון להמשיך בפעילותו הרגילה); לשישה אין אתר חלופי זמין לטובת המשך פעילות מערכות המידע במקרה של אסון; 13 מוסדות לא שילבו בתוכניות שלהם להתאוששות מאסון או בתוכנית להמשכיות עסקיות את אופן הטיפול וההתאוששות של מערך המכשור הרפואי.

אבטחת מידע בעת רכישת מכשיר רפואי חדש – חמישה מוסדות לא כללו בנוהלי הרכש שלהם התייחסות להיבטי אבטחת מידע במכשור הרפואי, ולאחד אין נוהל רכש כלל; חמישה לא התנו את רכישת המכשור הרפואי בכך שממונה אבטחת המידע יאשר את ביצוע הרכש, ולעיתים מוסדות רפואיים שדרשו בנוהליהם אישור של ממונה אבטחת המידע לצורך הרכש, רכשו את המכשירים בלי שהתקבל אישור לכך.

הגנה על המכשירים הרפואיים בזמן השימוש בהם במוסד הרפואי – 11 מ-17 המוסדות לא גיבשו נוהל להסדרת עדכוני תוכנה, הנדרש על מנת להבטיח פעולה רציפה ובטוחה של המכשור הרפואי, ועשרה מוסדות לא תיעדו את עדכוני גרסאות התוכנה שביצעו במכשירים רפואיים; 14 מוסדות לא ביצעו מבדקי חדירה שכללו תקיפה של מכשור רפואי, כפי שקבע נוהל משרד הבריאות.

בקרות הרשאה פיזיות ולוגיות למכשירי דימות – שבעה מוסדות לא ביצעו לפחות פעם אחת עדכון של רשימת המשתמשים בעלי הרשאות לוגיות (שם משתמש וסיסמה) למערך המכשור הרפואי; בשני מוסדות יש מכשירי רנטגן ללא בקרת הרשאה פיזית (חדר נעול) ולוגית. בשני מוסדות אין בקרות הרשאה פיזיות ולוגיות על חלק ממכשירי אולטרסאונד הנשים. בארבעה מוסדות רפואיים לא קיימת בקרת הרשאה לוגית בשום סוג של מכשירי הדימות שנבדקו.

הגנה על המכשירים ועל המידע שבהם בעת תחזוקתם ובעת פיענוח תוצאות – במוסד אחד טכנאים חיצוניים מבצעים פעילות תחזוקה ללא ליווי של המוסד הרפואי ושני מוסדות רפואיים לא החתימו את החברות הנותנות שירותי תחזוקה למכשירים הרפואיים, או את טכנאי חברות אלו, על הסכם סודיות; מתוך 14 מוסדות המאפשרים ליצרני המכשירים להתחבר למכשירי ה-MRI וה-CT מרחוק, מוסד אחד לא הסדיר את אופן ההתחברות מרחוק באמצעות נוהל, ושניים לא ביצעו ניטור של ההתחברות מרחוק; ועוד.

המלצות למוסדות הרפואיים:

o    כי המנכ"ל של המוסד הרפואי יעמוד בראש ועדת ההיגוי לתחום הגנת המידע כנדרש בחוזר מנכ"ל משרד הבריאות משנת 2015; שיפעלו בהתאם להוראות החלטת הממשלה ויקצו תקציב ייעודי להגנת סייבר בשיעור שקבעה החלטת הממשלה; שיבצעו סקר בנושא הסיכונים הנשקפים למכשירים הרפואיים שהם משתמשים בהם ויגדירו קבוצות סיכון למכשור רפואי. על המבקרים הפנימיים במוסדות הרפואיים להכין תוכנית ביקורת פנים שתשלב בחינה של נושאים בתחום אבטחת המידע.

o    על מנת להבטיח את היכולת של המוסדות הרפואיים לחזור, בהקדם האפשרי, לפעילות תקינה וסבירה במקרה של אירוע אסון, נדרש שהם יקדמו הקמה של אתר חלופי (DR). כמו כן מומלץ שהם ישלבו בתוכניות שלהם להמשכיות עסקית והתאוששות מאסון התייחסות לאופן הטיפול והשחזור של מערך המכשור הרפואי, בהתאם לתיעדוף של המכשירים על פי מידת חשיבותם במסגרת פעילות המוסד הרפואי.

o    מומלץ שהמוסדות יוודאו שנוהל הרכש יתייחס להיבטי אבטחת מידע של מכשור רפואי, ובכלל זה – למעורבות בעלי תפקידים בתחום אבטחת מידע, עמידת המכשירים הרפואיים בתנאי סף שקבע המוסד הרפואי והבדיקות שיש לבצע מול הספק; על המוסדות הרפואיים שטרם עשו זאת לשלב את ממונה אבטחת המידע בשרשרת האישורים של מכשור רפואי חדש, ולהטמיע הליך זה בפעילות הרכש השוטפת שלהם; מומלץ גם שישלבו בדיקות מקיפות של המכשירים הרפואיים שהם רוכשים לפני השימוש בהם ושיקבעו גורם אחראי במוסד שיהיה אמון על ביצוע הבדיקות ועל תיעוד הביצוע.

o    מומלץ שהמוסדות ישלימו את החוסרים שנמצאו אצלם במרכיבי ההגנה על מכשור רפואי; ישלימו גיבוש של נוהל המסדיר את תהליך עדכוני התוכנה במוסד הרפואי, שיתעדו את עדכוני הגרסאות שביצעו במערכות המחשוב לרבות במערך המכשור הרפואי; על המוסדות הרפואיים לשלב בתוכניות העבודה שלהם מבדקי חדירה עיתיים למכשור רפואי הן ברמת התשתית והן ברמת היישום, מומלץ שהמבדקים יבוצעו על בסיס סקר סיכונים שיאפשר לזהות את המכשירים הרפואיים החשופים לסיכון האבטחתי הגבוה ביותר; מומלץ גם שכל המוסדות הרפואיים ישפרו את מערך הבקרה הלוגית במערך מכשירי הדימות שלהם, ואם קיימת מגבלה להגדרת בקרה כזאת, מומלץ שיטמיעו בקרות מפצות בסביבת עבודה זו, על מנת לצמצם את הסיכונים הנלווים לשימוש במכשירים אלה.

o    מומלץ כי המוסדות יוודאו כי טכנאים חיצוניים המבצעים עבודות תחזוקה במוסד הרפואי יגיעו רק לאחר תיאום עם הגורמים הרלוונטיים, וילוו כל העת בעובד המוסד; שיסדירו בנוהל את אופן ההתחברות מרחוק של הספקים ויטמיעו תהליכי בקרה על פעילות התחזוקה מרחוק; על המוסדות הרפואיים לנהל רישום מלא של כל המידע הנחוץ קודם להוצאת המכשירים הרפואיים לתחזוקה מחוץ למוסד, ובכלל זה עליהם לציין במסגרת הרישום אם המידע הרפואי השמור במכשירים נמחק לפני הוצאתם לתחזוקה ועם סיום השימוש בהם.

בשולי הדברים:

הן מניסיוננו הרב בתחום והן מהשיעור שאפשר ללמוד מהמקרים שכבר קרו בתחום הזה (אשר חלקם אף פורסמו), הדבר החשוב ביותר לדעתנו – הוא שעל כל מוסד / גוף רפואי לפתח תוכנית מניעה פרו אקטיבית, מורכבת, נכונה, מותאמת לאיומים החדשים ומעודכנת וזאת, תוך התייעצות עם גורמי המקצוע, אשר הינם גם מתחום הסייבר וגם מהתחום המשפטי, שמבינים את המורכבות, החשיבות ובעלי יכולת והבנה של ניהול הסיכון.

הניסיון מראה שגופים אשר בחרו שלא לאמץ לעצמם תוכניות מניעה מורכבות ומקיפות, כפי שאנו ממליצים כאמור, גילו לצערם כי רוב מקרי הסייבר במחוזותיהם, חוזרים על עצמם.

לאתר משרד מבקר המדינה בו מפורט הדו"ח לחץ כאן.

נשמח לעמוד לרשותכם לכל שאלה ו/או הבהרה.

בברכה,
מחלקת סייבר, אבטחת מידע ופרטיות
מחלקת פארמה, מערכות בריאות ורגולציה
שבלת ושות'


האמור במזכר זה ניתן כמידע כללי בלבד, ואין להסתמך עליו בכל מקרה פרטני ללא ייעוץ משפטי נוסף.

חדשות נלוות