הדיווח על השבתת שירותים מצילי חיים בהלל יפה מעלה סימני שאלה קשים
מאת:
מערכת Telecom News, 13.10.21, 13:49
מתקפת סייבר על מערכות המחשוב של ביה"ח הלל יפה ושיבוש בפעילותו הרפואית מדגישה שוב, שכל ארגון חייב להבין, שתוקפים לא נותנים התרעה.
עדכונים בתחתית הכתבה. עדכון אחרון: 28.11.21
מערכות המחשוב של
ביה"ח הלל יפה בחדרה, שמשפיעות על טיפולים בחולים, נפגעו הבוקר קשות ע"י האקרים, שדורשים כופר. ההאקרים דלו מידע רב ממערכות המחשוב הללו של ביה"ח. בביה"ח ביקשו ממשרד הבריאות ומד"א להפנות רק מקרים דחופים. האירוע דווח למשרד הבריאות ולמערך הסייבר הלאומי.
מתקפת הסייבר על הלל יפה מצטרפת לשרשרת הולכת וגדלה של מתקפות שבהן הותקפו בתי חולים ברחבי העולם. המתקפה הזו חושפת עולם חדש של איומים, שלא מסתפקים רק בהשגת מידע או בגרימת נזק למידע, אלא מתקפות, שעלולות לפגוע במערכות מצילות חיים, כמו מכשירי הנשמה וחמצן, וציוד רפואי נוסף, שחיי חולים תלויים בו.
כלומר מתקפות כופרה אלו מסוכנות יותר ממתקפות רגילות כי הן מהוות גם סכנת חיים ממשית.
בנוסף, בבתי חולים יש הרבה נקודות פריצה אפשריות כמו מכשור רפואי רב ורשומות רפואיות עצומות, שיש להגן עליהן. במערכות המחשוב משתמשים רבים שלא תמיד מודעים לנושא אבטחת המידע. גם העובדה, שהבעלות בארץ על בתי החולים מתחלקת בין המדינה, קופות החולים השונות וגופים פרטיים מצביעה על ההכרח, שתהיה רגולציית סייבר אחידה והדרכות למשתמשי מערכות המחשוב.
עינת מירון, (בתמונה משמאל),
מומחית Cyber Resilience להערכות והתמודדות עם מתקפות סייבר בהיבטים העסקיים
: "לפני כשנתיים, כשתוקפים השיגו בטעות גישה למערכות המידע של
אחד מבתי החולים בגרמניה, הם שלחו ביוזמתם את מפתח ההצפנה ועדיין, הליך החזרה לשגרה נמשך כ-3 חודשים, כש-95 חדרי ניתוח, מתוך 100 קיימים, לא היו פעילים גם חודש לאחר סיום האירוע
.
מתקפת סייבר היא אירוע הרסני, שכמעט ובלתי אפשרי להתאושש ממנו. תשלום הכופר אינו מועיל או משנה דבר ולכן צריך להבין ביושר, שמדובר באירוע קשה במיוחד, שיצריך זמן ומשאבים כדי לחזור לאיזו שהיא שגרת עבודה
.
ככלל, הדיווח על השבתת שירותים מצילי חיים בבית החולים מעלה סימני שאלה קשים לגבי אפיון רשת התקשורת והממשקים הישירים בין המערכות השונות.
עוד מוקדם להפיק לקחים, אבל כל ארגון חייב להבין, שתוקפים לא נותנים התרעה וחובתו של המנכ"ל להיות אקטיבי כבר עכשיו ולהיערך להתמודדות עם הסיכון הזה.
הלל יפה לא חריג, ורק בשנה האחרונה סבלו כ-10 בתי חולים ברחבי העולם מפריצות למחשביהם. זה לא שבית החולים לא מוגן, זו תופעה רווחת בכל העולם. בשנה האחרונה ראינו מקרים דומים בארה"ב, בבלגיה.
בתי החולים מתמודדים עם בעיה תקציבית מורכבת. צריך לבחור בין איש אבטחת מידע, שיעשה עדכוני תוכנה חשובים וקריטיים לבין איזשהו מכשיר רפואי. מצד שני יש הרבה תהליכים, שאפשר לעשות בתקציבים הקיימים כדי להעלות את רמת האבטחה. כשמתפרסם בתקשורת, שהתקיפה הייתה דרך ה-
VPN, רכיב שמאפשר לעובדים להתחבר מרחוק למחשבים בבית החולים, שלא עודכן כמה חודשים למרות התראת סייבר מחודש מאי, זה עניין של תהליכים.
אנו יודעים מהעולם ,שתהליך ההתאוששות והשחזור לוקח כמה חודשים. באירוע הזה אני מעריכה שנתמודד עם 10 ימים, שבועיים של עבודה בחירום. אבל זה לא ייגמר בזה, מה שקרה עכשיו ישליך חודשים קדימה".
ליאור חן, מנהל תחום הסייבר סקיוריטי בחברת אבטחת המידע והאנליטיקה
Varonis,
בתגובה למתקפת הסייבר על מערכות המחשוב של ביה"ח הלל יפה: "מתקפות כופרה, בהן תוקפים מצפינים מידע חיוני לארגון ומבקשים תשלום עבור הפענוח שלו, תוך פגיעה בתהליכים העסקיים של הארגון, הן כלי מרכזי הנמצא בשימוש ע"י תוקפים כיום. מתקפות כופרה כיום מלוות במנגנוני סחיטה שונים כדוגמת גניבת מידע רגיש בכמויות גדולות, ואיום של שחררו לציבור אם הנתקף לא יענה לדרישת הכופר. בכך מעלים התוקפים את הסיכוי לתשלום באופן משמעותי, גם במקרה בו לנתקף יש גיבוי מלא של המידע שהוצפן.
היחס לנושא הסייבר צריך להיות בדומה לחקירת משטרה: קבוצת פורנזיקה החוקרת לעומק מה ואיך קרה לפי עקרון
Follow the Data - המוודא האם הלקוח באמת יודע היכן יושב המידע הרגיש שלו, האם הוא יודע למי יש גישה אליו והאם נעשה בו שימוש ראוי.
ישנן 2 סוגים של מתקפות כופרה:
האחד הוא האופורטוניסטי, בו התוקפים סורקים ארגונים רבים ברשת בניסיון למצוא ארגון בעל רמת אבטחה ירודה. התוקפים יחפשו רכיבי תוכנה לא עדכניים עם חולשות ידועות, מדיניות סיסמאות חלשה, העדר מודעות אבטחת מידע ושימוש חסר או לוקה במוצרי אבטחה.
הסוג השני לו אנו עדים כעת הן מתקפות ממוקדות, בהן התוקפים מנסים להגיע לארגון מסוים ומשקיעים זמן רב ללימוד הארגון ואופן העבודה שלו. במקרים כאלה רואים תוקפים, שנמצאים ברשת הארגונית שבועות ואפילו חודשים לפני הוצאת ההתקפה לפועל. בכך מוודאים התוקפים, שהם מבינים היכן נמצא המידע שיסב את הנזק המקסימלי לארגון. כלומר, ההאקרים, שתקפו את הלל יפה, לא עשו זאת במקרה. מדובר בהתקפה ממוקדת, ששמה ליעד פונקציות בארגון ללא מודעות מספקת לסיכוני סייבר.
חשוב, שארגונים יערכו מבעוד מועד למתקפות סייבר, ע"י:
ביצוע מיפוי של המידע הרגיש ומתן גישה רק למי שנדרש,
עדכון סדיר של רכיבי תוכנה,
הטמעת מוצרי אבטחה לניטור, חסימה ומניעת גישה למידע ותשתיות,
העלאת מודעות בתחום אבטחת המידע בקרב העובדים בארגון,
גיבוי עדכני של כל המידע,
הכנת תוכנית מגירה להתמודדות עם אירוע סייבר".
ראוןי לציין, שמ
סקר, שערכה לאחרונה סופוס בקרב 5,400 מקבלי החלטות
IT בארגונים המתפרסים על פני 30 מדינות, עולה, ש-70% מהמשיבים דיווחו על גידול בהתקפות פישינג על ארגונים מאז תחילת המגיפה.
בישראל, עמד שיעור המדווחים על הגידול במתקפות על 90% מהמשיבים. הגידול חוצה את כל המגזרים, כאשר גופי ממשל חווים את הגידול הגבוה ביותר (77%), ומיד אחריהם נמצאים שירותים מקצועיים ועסקיים (76%)
ושירותי בריאות (73%).
הכתבה:
פריצת הסייבר ל-Voicenter מכעיסה בגלל מה שמתגלה כעת בלי מחקר עומק -
כאן.
עדכון 22:20: בהקשר למתקפה על ביה"ח הלל יפה פרסם מערך הסייבר את הכתבה הבאה: מתקפת כופרה כנגד גוף במגזר הבריאות בישראל. לאחרונה בוצעה מתקפת כופרה כנגד אחד מגופי מגזר הבריאות בישראל ע"י קבוצת תקיפה. מערך הסייבר מוצא לנכון לשתף מזהים, שעלו עד כה במסגרת החקירה, כדי לאפשר לארגונים במשק לזהות ולמנוע מתקפה דומה העלולה לצאת לפועל נגדם. התרעה זו תעודכן ככל שימצאו מזהים נוספים בחקירה.
פירוט דרכי התתמודדות -
כאן.
עדכון 14.10.21, 11:05: הודעה משותפת משרד הבריאות ומערך הסייבר הלאומי: עדכון סטטוס אירוע סייבר במרכז הרפואי הלל יפה:
"אירוע הסייבר, שהחל אתמול בשעות הבוקר במרכז הרפואי הלל יפה מצוי בטיפול משרד הבריאות, המרכז הרפואי הלל יפה ומערך הסייבר הלאומי. מ
שרד הבריאות ומערך הסייבר הלאומי מבצעים חקירה לאירוע סביב השעון עם מומחים נוספים במקום. כ"כ, במקום צוותים רבים וציוד לשם החזרת מערכות המחשוב של בית החולים לתפקוד מלא במהירות האפשרית.
בעקבות מסקנות ראשוניות מהחקירה,
הפיץ מערך הסייבר הלאומי התרעה רחבה למשק עם המזהים של התקיפה כצעד התגוננות. חטיבת המרכזים הרפואיים במשרד הבריאות מסייעת בהקמת מערכות המחשוב ובשחזור המידע של בית החולים. בתי החולים וקופות החולים הונחו בהתאם להתפתחויות ומופצות הנחיות שוטפות להגברת הערנות וההערכות במידת הצורך".
עדכון 14.10.21, 15:07:
רונן מואס, מנכ"ל חברת אבטחת המידע
ESET ישראל: "למה ההאקרים מעדיפים לתקוף בתי חולים? - החשש הגדול הוא השבתה של מערכות מצילות חיים וכתוצאה מזה פגיעה בגוף ונפש של מטופלים. בשנה שעברה זה כבר קרה בגרמניה, מטופלת, שהגיעה לטיפול רפואי דחוף בבית חולים, שהיה תחת מתקפה, נאלצה לעבור לבית חולים אחר משום שהמערכות היו מושבתות ובדרך היא נפטרה. גם בארה"ב, רשת בתי חולים נאלצה לדחות ניתוחים ולהפנות מטופלים למוסדות אחרים.
במקרה בית חולים הלל יפה נראה, שהמתקפה תוכננה הרבה זמן מראש, וההתקפה פורסמה רק כאשר לתוקפים היה מספיק מידע ארגוני, שיוכלו לדרוש בעבורו תשלום כופר כאשר שחזור מידע מגיבוי כבר לא יעזור הרבה. כמו בפריצות לחברת הביטוח שירביט, אוניברסיטת בר אילן וחברת התקשורת וויסנטר, ייתכן שגם הפעם מדובר במתקפה איראנית.
מה מפתה בלתקוף בתי חולים? קבוצות ההאקרים מבינות את הרגישות של ארגוני בריאות, בעיקר בתי חולים, ונוטות לחשוב, שהם ימהרו לשלם את הכופר כדי למנוע מוות של חולים כתוצאה מהמתקפה. מידע פרטי של מטופלים שווה הרבה לתוקפים. מדובר בנתונים סודיים ואישיים במיוחד, שאפשר למכור בקלות. עומס העבודה וההגבלה במשאבים במוסדות בריאות מייצרים מצב, שנעשות פשרות על חשבון אבטחת המידע של הדאטה הרפואי. כך, שלתוקפים העבודה קלה יותר. המידע הרפואי צריך להיות פתוח וניתן לשיתוף של הצוותים הרפואיים. כך, גם ההאקרים יכולים להשיג גישה.
במקרה של מתקפת הכופר על בית החולים הלל יפה, פורסם, שהמתקפה בוצעה ללא התראה מוקדמת. האקרים לא שולחים זימונים למועד בו הם תוקפים. זו בדיוק הסיבה בגללה ארגונים צריכים להחזיק מערכות הגנה, שיודעות לזהות פעילות חשודה, שמתבצעת בארגון כבר ברגע החדירה. כך, שאלו יסייעו למנוע מתקפה וצמצום האפשרות לחשיפת המידע".
עדכון 15.10.21: יחידת הסייבר בלהב 433 של משטרת ישראל הודיעה, שפתחה בחקירה פלילית של התקיפה בהלל יפה.
עדכון 16.10.21: על פי
טל שחף מ-
Ynet , מדובר בקבוצת פשיעת הסייבר, שמכונה
DeepBlueMagic , שהגיעה למודעות העולמית רק בחודשים האחרונים. כלי תקיפת הסייבר, שבו היא משתמשת, פועל בצורה מרושעת במיוחד, ומצליח להפתיע את מערכות הגנת הסייבר החזקות ביותר. ובמקרה של הלל יפה, כנראה, שהוא לא היה צריך להתאמץ אפילו
.
עדכון 19.10.21: בעקבות התקיפה על הלל יפה, פרסם היום מערך הסייבר הלאומי מסמך בדבר דרכי התגוננות ומניעה של מתקפת כופרה -
כאן.
עדכון 27.10.21: החלה בבית החולים התקנת מערכות מחשוב ח
דשות המאפשרות ניהול קליני כולל היסטוריה רפואית, תוך חתירה לרמת אבטחת מידע הגבוהה ביותר.
עדיין בית החולים כמעט ואינו מקבל חולים חדשים, שיכולים להגיע לבתי החולים חלופיים.
עדכון 28.11.21, 14:13: בית החולים הלל יפה בחדרה הודיע כי חזר לפעילות סדירה, כחודש וחצי אחרי מתקפת הסייבר על מחשביו. מבית החולים נמסר כי הוחזרה השליטה על כל מערכות המידע.