07/07/2016

סקר של KPMG מגלה כי 81% מהמרכזים הרפואיים בעולם ספגו התקפת סייבר במהלך השנתיים האחרונות. חמור מכך, רק חצי מבתי החולים מרגישים שהם ערוכים להתמודד עם מתקפה כזו. האם הנתונים הכי חשובים שלנו באמת מאובטחים? האם זה רק עניין של זמן עד שהאקר מספיק מתוחכם יצליח להעביר אותם לחזקתו? דו״ח חדש מנסה לענות על השאלות האלה

בית חולים מגלה שתולעת חדרה לשרת המיילים שלו; במרכז רפואי חסרים כמה תיעודים בגיליונות האלקטרוניים של החולים; קופת חולים גדולה מקבלת התראה שקבצים שנשלחו אליה משותפים חיצוניים נגועים בסוס טרויאני. בעולם השירותים הרפואיים, מתקפות סייבר מהסוגים הנ"ל הן רק קצה הקרחון. ישנם איומי סייבר הרבה יותר מתוחכמים ויקרים.

הנתונים הרפואיים שלנו הם המידע הפרטי ביותר והיקר ביותר שיש לנו. לא סתם השוק השחור, למשל, מוכן לשלם פי עשרים (!) יותר על מידע רפואי מאשר על מידע בנקאי. אבל בכל הקשור למתקפות סייבר על ספקים של שירותי בריאות, העניין הקריטי הוא לא האם התקיימה מתקפה, אלא כיצד הארגון התמודד איתה, דיווח עליה וניטרל אותה. 

על פי סקר הסייבר-סקיוריטי האחרון שערכה KPMG, כ-81% מהמוסדות הרפואיים נפלו קורבן למתקפת סייבר בשנתיים האחרונות. מה שמטריד אפילו יותר הוא שמחצית מתוך בתי החולים האלה סבורים שהם לא ערוכים למנוע מתקפות דומות בעתיד. מאחר שבשוק השחור, מידע רפואי שווה פי עשרה או פי עשרים יותר מפרטים של כרטיסי אשראי, תעשיית הבריאות היא מטרה חביבה במיוחד לפשעי-סייבר. המידע הרפואי כולל לרוב גם מספרי זהות ואפילו מידע על הכנסה – אלמנטים שמשמשים האקרים לגניבת זהות.

הטכנולוגיה אמנם שיפרה משמעותית את איכות השירותים הרפואיים בשנים האחרונות ואיפשרה רצף טיפולי, שיתוף מידע בין ספקים פנימיים וחיצוניים וגישה של חולים למידע רפואי קריטי. אבל באותו הזמן, כל אלה מספקים גם ערוצי הסתננות נוחים במיוחד להאקרים בעלי כוונות זדוניות.

ידע הוא לא תמיד כוח

יש הבדל מהותי בין מודעות לאפשרות של תקיפות סייבר והיערכות להתגוננות מפניהן, לבין היכולת להתמודד איתן בפועל. נכון להיום, לרוב המוסדות הרפואיים אין תוכנית תגובה מפורטת, בוודאי בהשוואה לתעשיות אחרות שעוקפות את ארגוני הבריאות בקצב אדיר. כך למשל, 25% מהארגונים שנבדקו בסקר של KPMG דיווחו שאין להם מנגנון שמאתר מתקפת סייבר בזמן אמת. 47% מהם גם הודו שאין להן מנגנון להתמודד עם התקיפה אחרי שאותרה. 

אז מה עושים?

זיהוי של מתקפת סייבר לא באמת מועיל כל עוד לא פועלים כדי לרסן אותה. המצב הגרוע ביותר הוא כאשר ארגונים מנסים להילחם במתקפה אך בסופו של דבר רק מחמירים את החדירה של ההאקרים לארגון. אחת הטעויות הנפוצות ביותר שארגונים עושים היא לדווח על הפריצה למערכותיהם לפני שההנהלה למעשה הבינה מהו מקור האיום, מה התוקפים מנסים להשיג ומהו בדיוק החלק שנפרץ.

לפני שמנטרלים את המתקפה חייבים להבין את הממדים שלה, אחרת היא עשויה להתפשט ברשת המחשבים הארגונית כמו אש בשדה קוצים. טעות שכיחה נוספת היא להיחשף בפני התוקפים מהר מדי – כלומר, ברגע שהם יבינו שהמתקפה נחשפה הם עשויים להשתמש במנגנוני תקשורת מוסווים יותר שיקשו על נטרול המתקפה.

כדאי לנהוג בשקיפות מול החולים כדי להגן עליהם, אבל מצד שני לא להיכנס לפרטים שעשויים לגרום לפניקה מיותרת. כמו כן, חשוב להשתמש בטכנולוגיות מתקדמות כדי לאסוף מידע, לנתח אותו ולדווח עליו לרשויות וכך להימנע מקנסות על אי ציות לכללי אבטחת המידע.

אלה הם ארבעת הצעדים החשובים ביותר שארגוני בריאות צריכים לנקוט במקרה של מתקפת סייבר:

   1.   תגובה: קודם כל לעצור

       בימים או בשעות אחרי שהתגלתה המתקפה, חשוב שצוות אבטחת המידע של הארגון יקדיש
       זמן להבנת היקפי החדירה למערכת. בשלב זה, המטרה היא לזהות את נקודות החדירה
       לשרתי הארגון, להעריך את ממדי הנזק ואחר כך גם לערב את רשויות החוק. 
חשוב לזכור
       שהמטרה העליונה היא למנוע מההאקרים לגרום נזק נוסף. אם נשים פלסטר על הבעיה מיד
       בהתחלה הוא אולי יעזור כדי לתקן את הנזק באופן מקומי, אבל הוא ימשיך להתפשט בחלקים
       אחרים של הרשת. ברגע שההאקרים מצליחים להפוך לסיסטם אדמין, הם יכולים להמשיך
       לגנוב תיקים של לקוחות, מידע שמוגן בחיסיון רפואי ולשבש מכשירים רפואיים במערכות בית
       החולים במשך חודשים ואפילו שנים.

       במקרה של מתקפה מאורגנת, חשוב לבדוק לא רק מה קרה באותו יום, אלא גם לבחון את
       הפעילויות החשודות שנרשמו בחודשים שקדמו למתקפה. חייבים גם לנקוט כמה צעדים לא
       טכניים, כמו הקמת צוותי תגובה (שיורכבו מאנשי המחלקה המשפטית, משאבי אנוש, IT,
       אבטחה ומומחי תקשורת), להכין תקשורים לגבי המשבר שיועברו ללקוחות, לבעלי עניין
       ולשותפים עסקיים, לבצע הערכה של ההשלכות המשפטיות והרגולטוריות וכן הלאה.

   2.   מענה: לחששות ולבעיות האבטחה

       עדיף, באופן עקרוני, שתוכנית התגובה תתחיל עוד לפני שהמתקפה מתרחשת. חייבים לבצע
       איתור מובנה של גורמי שורש (
root cause analysis) כדי לאתר נקודות חולשה במערכות
       המרכזיות, פרצות בשרתים שעובדים עם גורמים חיצוניים וכיו"ב. המטרה היא לא רק לטפל
       בשורש הבעיה, אלא גם לנצל את ההזדמנות כדי לשפר את ההיערכות של הארגון למצבים
       כאלה.

   3.   שינוי: להפוך את אבטחת המידע לנוהל ארגוני בסיסי

       מחקרים עדכניים מראים שכל ארגוני הבריאות יסבלו מניסיונות תקיפה רבים, שחלקם גם
       יצליחו. על פי סקר שערכו ב-
KPMG, 44% מארגוני הבריאות יירטו 50-1 ניסיונות תקיפה
       בשנה החולפת, ו-38% בין 50 ל-350 ניסיונות.

       ברגע שארגון הותקף, הוא נעשה פגיע יותר למתקפות נוספות בעתיד. בדיוק בשל כך חשוב
       שהמתקפות האלה ישמשו תמריץ לפיתוח יכולות אבטחת מידע בכל היישומים הטכנולוגיים
       בארגון ויהפכו את אבטחת המידע לנוהל ארגוני בסיסי. חייבים למנות מנהל אבטחת מידע,
       להקים מרכז אבטחה, לגבש תוכנית תגובה ולבחון אותה.

       השדרוג החשוב ביותר שחייב לקרות הוא באופן שבו הארגון מגדיר מהי אבטחה. תוכניות
       האבטחה אמורות להתמקד לא בהגנה על הרשת, אלא בהגנה על המידע הרגיש של החולים.
       סיווג מידע, מיפוי המידע לפי התקנות השונות, שליטה בגישה למידע ומעבר לאמצעי הזיהוי
       המתקדמים ביותר – כל אלה חייבים להיכלל בתהליך השינוי שקורה בשנה הראשונה אחרי
       המתקפה.

   4.   תחזוק: לעולם לא להרפות

       תהליך השיקום אחרי מתקפת סייבר הוא לא סיפור פשוט. אבל גם אם הארגון הצליח לשרוד
       אותה בלי שנגרם נזק בלתי הפיך למוניטין, לפעילות או למטופלים, אסור לו לעצור בנקודה
       הזאת. חייבים להפעיל תוכנית ניטור ופיקוח כדי שהמתקפות הבאות ייגדעו באיבן.

 

איך KPMG יכולה לעזור?

KPMG עוזרת לארגונים לשנות את מערך האבטחה והגנת הפרטיות באמצעות הטמעה של פלטפורמות עסקיות מותאמות. הפילוסופיה שלנו היא שאבטחת מידע היא תהליך ולא פיתרון. לכן, ההגנה על רשתות ה-IT ועל המידע הרגיש מתקיימת כל העת, ללא הפסקה. המומחים שלנו צברו ניסיון רב בעולם אבטחת המידע ועבדו עם המוסדות הרפואיים הגדולים בעולם. אנחנו פועלים בתחומי אסטרטגיה, ממשל, לתוכניות טרנספורמציית אבטחה רחבות היקף ושירותי הערכת סיכוני אבטחה ותגובה.