כ' חשון התשפ"ה
21.11.2024

רצח בלחיצת כפתור: מתקפות הסייבר שיכולות להרוג

בתי חולים ומרכזים רפואיים נהפכו בחודשים האחרונים ליעד מרכזי של מתקפות סייבר - בארה"ב, בבריטניה ובישראל. האקרים הצליחו לשתק מערכות שלמות, להשבית חדרי מיון, לבטל ניתוחים דחופים ולזרוע פאניקה בקרב רופאים, מטופלים ומומחי אבטחה, במקום שאמור להציל את חיינו

רצח בלחיצת כפתור: מתקפות הסייבר שיכולות להרוג



צוות הרופאים בבית החולים בפניקס, אריזונה, היה חסר אונים. מערכת המשאבה האוטומטית, שמציגה את מינון החדרת התרופות למחזור הדם של החולה, הראתה שהכל בסדר. אבל בפועל, לחולה הוזרקה כמות עצומה של תרופות. במקרה אחר, מכשיר החייאה מציל חיים, שמספק זרם חשמלי כדי להשפיע על קצב פעימות הלב, הטיח פולסים חזקים ובלתי פוסקים לחולה אחר, אף שבמסך לא היתה כל אינדיקציה לכך. כשנשאלו הרופאים מה היו עושים לו היו מזהים בזמן אמת את התקלות הקטלניות, הם השיבו שהיו מחליפים את המשאבה ואת מכשיר ההחייאה. אבל גם זה לא היה עוזר. הבעיה לא היתה במכשירים — אלא במערכת הממוחשבת בבית החולים, שעברה מתקפת האקרים מתוחכמת.

למרבה המזל, החולה היה מדומה, המתקפה היתה הדמיה, וההאקרים היו מומחי אבטחת מידע מטעם ועדה של הקונגרס האמריקאי, שהנחתה להתחיל לבצע סימולציות של מתקפות האקרים על ציוד רפואי בבתי חולים. סימולציה כזאת, ראשונה מסוגה, נערכה ביוני בפניקס, לנוכח הפיכתם של בתי חולים ומרכזים רפואיים ליעד חדש ופגיע במיוחד של מתקפות סייבר בשנה האחרונה. מתקפות כאלה כבר התרחשו בחודשים האחרונים בארה"ב, בבריטניה וגם בישראל. בינתיים, הנזקים לא עלו בחיי אדם, אבל הם כבר מעוררים דאגה עמוקה בתעשייה שאינה ערוכה למתקפות עתידיות.

"הסימולציה הזאת הראתה שאפשר להביא לפגיעה בחיי אדם באמצעות סייבר", אומר ישי ורטהיימר, ראש תחום אבטחת מידע בפירמת רואי החשבון KPMG סומך חייקין, ובעל ניסיון של כ–20 שנה בעולם הסייבר. "אנחנו יותר ויותר מסתמכים על מערכות ממוחשבות, ומאמינים להן".

המתקפה הגדולה ביותר על בתי חולים עד כה נערכה בבריטניה ב–12 במאי השנה. לא פחות מ–65 בתי חולים — 20% מכלל בתי החולים במדינה — שותקו במסגרת מתקפת סייבר עולמית, מהגדולות והחמורות שידעה תעשיית אבטחת המידע בדברי ימיה הקצרים למדי. וירוס זדוני וקטלני שהתפשט במהרה ברשת האינטרנט פגע בשורה ארוכה של חברות עסקיות וארגונים ממשלתיים בכ–100 מדינות, כשלתוקפים דרישה אחת בלבד: תשלום כופר במטבע ביטקוין בתמורה להסרת שיתוק רשת המחשבים.

המתקפה בוצעה באמצעות נוזקה המכונה ransomware (וירוס כופר), שנשלחת דרך הודעת דואר אלקטרוני — ומרגע שנפתחה מתפשטת במהירות ברשת המחשוב של הארגון ומשתקת אותו. למרבה האירוניה, נוזקה נוספת, ששמה Eternal Blue, פותחה על ידי הסוכנות לביטחון לאומי של ארה"ב, אבל דלפה לאינטרנט באפריל ונהפכה כלי קטלני בשירות האקרים.

הנזק העיקרי במתקפה נגרם למערכת הבריאות בבריטניה, ורוב בתי החולים שנפגעו נמצאים במזרח המדינה. זמן קצר לאחר תחילת המתקפה פירסמו עובדים תמונות של צגי מחשב נעולים, שעליהם הופיעה דרישה לתשלום של 300 דולר באמצעות ביטקוין בתמורה להסרת הנעילה. מערכות קבלת חולים חדשים ובדיקת מטופלים קרסו, וכמוהן גם מערכת קווי החירום. טיפולים רבים בוטלו, ניתוחים דחופים נדחו, צוותים רפואיים לא היו יכולים להתחבר למערכות המחשוב וחדרי מיון התקשו לתפקד. חלק מהחולים נאלצו לעבור לבתי חולים אחרים באזור. מערכת הבריאות של בריטניה (NHS) הודיעה לאזרחים הזקוקים לטיפולים רפואיים לא ליצור קשר עם שירותי החירום ולהתייצב בבתי החולים רק אם מדובר באירוע מסכן חיים. ברשתות החברתיות דיווחו רופאים על חוסר אונים ועל תסריט בלהות שנהפך למציאות.

לאחר ההתקפה הקציבה ממשלת בריטניה תקציב מיוחד של כ–50 מיליון ליש"ט לטובת שיפור אבטחת המידע של מערכות המחשוב במערכת הבריאות הלאומית. ואולם עוד התברר כי ה–NHS התעלמה בשנה האחרונה מאזהרות חוזרות ונשנות של מומחי אבטחת מידע, שטענו כי מערכות ההגנה של רשתות המחשבים והציוד הרפואי במערכת הבריאות אינן מעודכנות וכי היא פגיעה להתקפות סייבר.

לבתי חולים אין תמריץ עסקי להשקיע באבטחת מידע

חודש וחצי לאחר המתקפה בבריטניה דיווח מרכז רפואי בפנסילווניה, ארה"ב, כי נפל קורבן למתקפת סייבר דומה נוספת. ב–27 ביוני אישר בית חולים המופעל על ידי חברת שירותי הבריאות Heritage Valley Health Systems, כי לפחות ניתוח אחד בוטל כתוצאה מהשבתת מערכות על ידי נוזקה. זה לא היה בית החולים הראשון בארה"ב שספג מתקפה כזאת. בתחילת 2016 נאלץ בית חולים פרטי בהוליווד, לוס אנג'לס, לשלם 17 אלף דולר כופר באמצעות ביטקוין להאקר בודד שהצליח להשבית את המערכות שלו.

יומיים בלבד אחרי המתקפה בפנסילווניה, גם ישראל נכנסה לסטטיסטיקה. ב–29 ביוני פקדה מתקפת סייבר ארבעה בתי חולים בצפון — רמב"ם בחיפה, פורייה בטבריה, העמק בעפולה וזיו בצפת. לפי הדיווחים, כ–50 מחשבים נפגעו בתקיפה, וזמן קצר לאחריה החלה מחלקת המחשוב של משרד הבריאות להדוף את הפריצה בשיתוף עם רשות הסייבר הלאומית.

ניסיונות התקיפה היו כלפי מחשבים אזרחיים בלבד, המאחסנים גליונות רפואיים ומשרדיים, ולא חדרו למערכות של ציוד רפואי. במהלך המתקפה קפצה במחשבים שנפגעו ההודעה "אתם תחת מתקפה". לפי רשות הסייבר, המחשבים שהותקפו כובו מיד, מה שמנע גרימת נזק ואיפשר את המשך העבודה הרגילה של הצוותים הרפואיים.

זהות התוקפים אינה ברורה, אך המתקפה התרחשה כיומיים לאחר מתקפת סייבר גדולה באוקראינה, ששיתקה מערכות בנקים, פגעה בתשתיות חיוניות וחדרה גם למערכות של שדה התעופה בקייב וגרמה לשיבוש טיסות. חקירה של חברות אבטחת מידע איתרה כי מדובר בווירוס כופר בשם Petya, שפעולתו דומה לתוכנת Eternal Blue — שתילת וירוס באמצעות דואר אלקטרוני, נעילת מחשבים ודרישת כופר באמצעות ביטקוין.

"מגזר הרפואה הוא אחד החשופים והפגיעים ביותר לתקיפות", אומר ורטהיימר. "ראשית, בתי חולים נשענים כיום משמעותית על רשומות דיגיטליות ממוחשבות. שנית, בממוצע, המערכות הרפואיות מיושנות כך שקשה יחסית לתחזק אותן, כמו שקשה לתחזק למשל כור גרעיני, ולא כל כך מהר מעדכנים ומשדרגים אותן. שלישית, יש בעולם הרפואה בעיה גדולה של משאבים. בתי חולים נמצאים הרבה פעמים במצוקה תקציבית והם צריכים לתעדף לאן הולך הכסף. בארה"ב, למשל, להרבה בתי חולים אין אפילו מנהל מערכות מידע, ובעולם ככלל המצב בתחום הזה לא טוב. יש כאן ריכוז של חשיפות אבטחת מידע שרק מחכות שינצלו אותן, ולכן בתי חולים הם עסק מורכב בהגנה על ציוד מחשבים ורשתות".

לפי ורטהיימר, הבעיה מחריפה הן משום שלבתי חולים אין תמריץ עסקי להשקיע באבטחת מידע, והן משום שהשקעה במערכות הגנה מתקדמות מחייבות השקעה גבוהה במיוחד. "להגן על בית החולים דורש הרבה מאוד השקעה, וזה סיפור יקר יותר מאשר בארגונים כמו בנקים, כי המורכבות של המערכות דורשת השקעה גדולה יותר, כמו גם הגנה על מערכות ישנות ותחזוק שוטף. עסקתי במשך שנים בעולם כרטיסי האשראי והיו בו פעם אחר פעם פריצות לרשתות גדולות וגנבו הרבה רשומות של לקוחות. אבל לרשתות הקמעונות לא כל כך אכפת מהפריצות האלה, משום שזה לא באמת פוגע במוניטין שלהן.

"לעומת זאת, לבנקים חשוב לשדר ללקוחות שהכסף שלהם מוגן, אז הם ישקיעו כמה שצריך כדי להגן על המערכות, ומדובר בגופים עם הרבה מאוד כסף להשקעה במערכות הגנה. אבל לבית חולים יש יעדים אחרים — הצלת חיים וטיפול רפואי — לכן, הנושא הזה לא נמצא בראש סדר העדיפויות. למעשה, ברוב המקומות בעולם מצב אבטחת המידע בבתי החולים נקבע לפי חוזק הרגולציה, כי אם לבית החולים אין אינטרס להגן על מערכות המחשוב, אז זה תלוי רק ברגולטור".

הפשע המאורגן מחליף את ההאקרים המסורתיים

ורטהיימר, ששימש בעבר מנהל סיכוני ההונאה בחברת כרטיסי האשראי CAL, צבר ניסיון רב בשנים האחרונות בניתוח מתקפות האקרים ובזיהוי הכלים הטכנולוגיים שבהם נעשה שימוש. "ראיתי במהלך השנים איך עולם אבטחת המידע עובר מתחום יחסית נאיבי של האקרים, שהם ברובם אנשים טובים שפשוט אוהבים לעשות שטויות ולהתחכם, לאזור שבו נכנס הפשע המאורגן ולוקח את זה למקום אחר והרבה יותר מסוכן. בשנים האחרונות נכנס גם ההיבט המדיני־ממשלתי, שהופך את תחום הסייבר לזירת עימות בינלאומית".

לדברי ורטהיימר, "במקרה של בריטניה, לא היתה מתקפה מכוונת כלפי בתי החולים. זה רק מלמד עד כמה גרוע יכול להיות האימפקט של מתקפה מכוונת. כשבית חולים סוגר את חדר המיון שלו ליומיים, אז מעבירים מטופלים לבית חולים שכן עובד, אבל אם מצליחים להשבית בתי חולים באזור שלם, אז זה יכול לגרום לפגיעה בחיי אדם. במקרה הזה מדובר באירוע שיחסית היה קל להשתקם ממנו". ורטהיימר השתתף השבוע בכנס הגנות סייבר בעולם הרפואה שהתקיים בחיפה ביוזמת BeWell.Haifa, החברה הכלכלית לחיפה וחלל העבודה In-Vent ליזמים בעיר, בהשתתפות כ–150 איש מהקהילה היזמית־טכנולוגית של חיפה.

ורטהיימר מחלק את התקיפות על בתי חולים לשני סוגים: מתקפה על רשומות רפואיות, שנועדה לרוב לצורכי תשלום כופר; ומתקפה על מכשור רפואי, שמטרתה פגיעה בחיי אדם. "הפן של גניבת רשומות רפואיות הוא חלק מתחום שלם של מאגרי פרטי משתמשים, ובהם פרטי כרטיסי אשראי ופרטי חשבונות בנק גנובים. רשומות רפואיות הן אחד הנכסים בעלי הערך הכי גבוה בתחום, לכן האקרים עושים מאמץ להשיג אותן. מדובר בעשרות דולרים לתיק רפואי, כשפרטי כרטיס אשראי בממוצע זה דולרים בודדים, לכן זה שווה יותר באופן משמעותי. הנזק יכול להיות גדול מאוד מבחינה כלכלית ולהגיע למאות מיליוני דולרים לאירוע תקיפה אחד, גם אם אף האקר לא ירוויח דולר, בשל הוצאות הטיפול באירוע: צריך לדווח לכל אחד מהאנשים שהמידע שלו דלף, לחקור את התקיפה, לגייס ייעוץ משפטי, ובהרבה מקרים לבצע ניטור אשראי ללקוחות כדי שלא יגנבו את הזהות שלהם ואת פרטי האשראי שלהם.

"הסוג השני הוא התחום של הרפואה המחוברת — מכשור רפואי מתקדם, וזה סיפור אחר לגמרי. כאן אנחנו לא מסתכלים רק על הגנה על רשומות רפואיות, אלא גם על ציוד רפואי, שיכול לגרום למוות, ממש כמו ששיבוש של מכונית אוטונומית יכול לגרום לתאונה. כאן גם המוטיבציה יכולה להיות אחרת לגמרי — לעשות פעולת טרור, בין אם מי שמוציא אותה לפועל היא מדינה, ארגון טרור או ארגון כמו אנונימוס".

ככל ששירותי הרפואה יסתמכו יותר על טכנולוגיה, כך החשיפה שלנו כמטופלים לתקיפות סייבר תגדל?

ורטהיימר: "יש עלייה במתקפות על בתי חולים כחלק מעלייה בכל העולם במתקפות סייבר. החשש העיקרי הוא ממה שעוד לא קרה. היו תקיפות שבהן התוקפים עשו שרירים — כמו מתקפה שהאקרים רוסים השביתו תחנת חשמל אוקראינית אחרי הפלישה לקרים למשך כמה ימים, חצי עיר היתה בחושך כמה ימים. אבל עד היום לא היו מתקפות מהסוג הזה על בתי חולים, וייתכן שהסיבה שאנחנו לא רואים את זה היא שמתקפה על מערכות רפואיות נתפשת כנשק יום דין, כמשהו שארגוני טרור חוששים לעשות, אבל מוכנים לבצע ביום פקודה.

"הערכת ההסתברות לביצוע מתקפה כזאת הוא סימן שאלה. אם ארגון יחליט שארגון רפואי הוא היעד שלו, הוא יוכל לעשות פיגוע ראווה. עד היום ארגוני טרור העדיפו לפרוץ למטרות שייצרו להם כותרות, כמו פריצה לסוני, לחברות תקשורת, לגורמי ממשל, לבנקים, לכרטיסי אשראי, פחות לבתי חולים. עולם הסייבר נמצא כיום במקום עדין מאוד מבחינת עימות צבאי, בשאלה אם תקיפת סייבר היא עילה למלחמה. האמריקאים כבר הודיעו שזאת עילה מבחינתם להשיב אש".

מה זה אומר פיגוע ראווה בהיבט הזה? אם האקרים מצליחים לשתק מערכות, למה זה יכול לגרום? לשיבוש של ניתוחים מצילי חיים? לניתוק אנשים בתרדמת או בטיפול נמרץ ממכשירים חיוניים?

"פיגוע ראווה זה אומר מתקפה מכוונת נגד מערכות מכשור רפואי של בתי חולים, בין אם דרך דואר אלקטרוני שמכיל קוד עוין, בין אם בדרך מתוחכמת יותר כמו המתקפה על הכור האירני בנתאנז עם התולעת סטקסנט, שבה בוצעה תקיפה מתוחכמת, מכוונת, מתוכננת, שדילגה על מערכות הגנה ונועדה לתקוף ציוד מאוד מסוים. שאלת המפתח במקרה הזה היא תוך כמה זמן מגלים תקיפה. אם הבעיה מתפשטת ולא מצליחים לגלות, המצב יכול להפוך חמור במהירות.

"דווקא בעולם השלישי, שבו כמעט אין מערכות ממוחשבות, האקרים יתקשו לבצע פריצות סייבר. חדר מיון קטן ופשוט בעולם השלישי יצליח להסתדר בלי מחשבים, ואילו חדר מיון גדול ומשוכלל בעולם המערבי ייאלץ להיסגר — כי הוא לא יוכל להתמודד עם תקיפה. אם אין היגיינת רשת בבתי חולים, זה כמו חיידקים שמגיעים מכל עבר — ומי כמו בית חולים מבין על מה מדובר".

מיהם התוקפים של פריצת הסייבר שאירעה בישראל בסוף יוני?

"בישראל יש לא מעט גופים שיש להם מוטיווציה לתקוף, אבל השאלה היא היכולת שלהם. אם פעם חיזבאללה לא ידע איך לבצע מתקפות סייבר, כיום הוא יכול להזמין ספק חיצוני של מתקפת סייבר, כמו מיקור חוץ. כבר פורסם בעבר שארגוני טרור ומדינות עוינות לישראל ניסו לבצע מתקפות סייבר. מכיוון שבעולם הסייבר קשה לייחס מתקפות, החשוד המיידי בכל תקיפת סייבר מכוונת בישראל הם האויבים המיידיים — ארגוני טרור או מדינות אויב. רשות הסייבר ומשרד הבריאות חוקרים את המתקפה הזאת. בסופו של דבר, בשונה מעולם הפיזי, בסייבר הגבולות הרבה פחות ברורים".

האם משרד הבריאות ביצע מהלכים בנושא סייבר בשנים האחרונות?

"מערכת הבריאות בישראל התקדמה מאוד בשנים האחרונות. בין היתר, נקבע תקן שמיועד לאבטחת מערכות בריאות, שכל בתי החולים וקופות החולים צריכים לעמוד בו. אבל אם האינטרס של הארגון הוא לעמוד בהנחיות הרגולציה, תמיד נשארים דברים שהם לא מטופלים. לכן עדיין יש פערים ופרצות, והשאלה היסודית היא בפני מה אתה מוגן.

"האמריקאים עוד עסוקים באיומים של האקרים מזדמנים, ואילו בישראל יש מתאר איומים יותר בעייתי, כי יש פה ארגוני טרור שינסו לפרוץ למערכות בתי חולים. זה מכתיב שרמת האבטחה צריכה להיות הדוקה יותר, ולכן יש עוד הרבה לאן לצעוד בישראל בהיבט הזה. המיקוד של בתי החולים בארה"ב הוא הגנה על רשומות, ולא על הציוד הרפואי. שם יש עירנות גבוהה לפרטיות אז יש יחסית הקפדה של זה. בישראל העניין של פרטיות פחות ער, והמצב היה די גרוע עד שמשרד הבריאות התחיל לקדם את העניינים".

אם חלילה תצטרך לעבור פרוצדורה רפואית, תאמין למה שכתוב על המחשב?

"שאלה טובה. העולם הרפואי ממוקד כל כולו בהצלת חיים, וחדשנות היא חוד החנית. אנחנו צריכים להיזהר לא לדחוף לרגולציה שתחנוק חדשנות והתפתחות, שהמערכת תוכל לדעת לנהל את הסיכון מבלי לעצור פיתוח של טכנולוגיות ומערכות חדשות. אני משתמש בהרבה מחשוב לביש ודווקא מפני שאני חי את הסיכון, אני חושב שאני יודע לנהל את הסיכון בצורה נכונה, ולא לגרום לעצמי להיות משותק מפחד ממה שעלול לקרות".
עולם הסייבר בתי החולים מתקפות סייבר מומחי אבטחה

art

'בחדרי' גם ברשתות החברתיות - הצטרפו!

הוספת תגובה

לכתבה זו טרם התפרסמו תגובות

תגובות

הוסיפו תגובה
{{ comment.number }}.
{{ comment.date_parsed }}
הגב לתגובה זו
{{ reply.date_parsed }}