כשלי הסייבר בהלל יפה: העדר הפרדת רשתות ומערך גיבוי שהוצפן גם הוא
המשטרה הסירה את הצא״פ על אירוע הסייבר בהלל יפה ועינת מירון משתפת קצת מהכשלים שהיו באירוע. זאת, בתקווה שחשיפתם תאפשר לבתי חולים להיות מוגנים יותר בפעם הבאה
עינת מירון
| 22/12/2021
מאת משרד הדוברת של המרכז הרפואי הלל יפה, CC BY 3.0, https://commons.wikimedia.org/w/index.php?curid=48968101
באופן מפתיע למדיי, מתקפת הסייבר שהתרחשה ב-13 באוקטובר נגד בית החולים הלל יפה בחדרה, תפסה את אזרחי ישראל בהפתעה. כפולה. פעם אחת הופתעו שמתקפת סייבר מגיעה ללא התרעה מוקדמת.
בפעם השניה הופתעו שאין להאקרים כללי אתיקה (״הם תוקפים גם בתי חולים. ועוד באמצע מגיפה עולמית״). אלו שהופתעו, נראה שחיים בעולם אוטופי שבו האקרים פועלים לפי אתיקה המרחיקה אותם מפגיעה ממוסדות שיש להם ערך וצורך ממשי. כמו מוסדות בריאות.
הופתעתי מהנאיביות. זו הרי אינה מתקפת הסייבר הראשונה בישראל וממתי האקרים מודיעים על הגעה? ובכלל, איפה הייתם במאי 2017 כש-150 בתי חולים באנגליה הושבתו? האירוע שלח את סגן שרת הבריאות הבריטי לצאת לתקשורת ביום שישי, 10 בלילה ולבקש ממי שלא חייב, שימנע מהגעה לבית חולים. ומה עם מתקפת WannaCry?
טוב, האמת שהופתעתי גם מהחיבור שעשו בין אתיקה והאקרים, אבל כנראה שזה כבר למאמר אחר.
התוקפים השיגו גישה רוחבית
מפה לשם, השבוע הוסר צו איסור הפרסום שביקשה משטרת ישראל על פרסום כל פרט מאירוע הסייבר בבית החולים הלל יפה. מהלך מפתיע. במקור הצו נדרש עד לחודש פברואר 22 והנה, אנחנו במהלכו של דצמבר 21. מעניין יהיה לדעת בהמשך מה גילתה המשטרה. בינתיים, מהמעט שכן ידוע לנו, אפשר וצריך להצביע על מספר כשלים שארעו במערך המחשוב של בית החולים.
במאמר מוסגר אספר שביום הראשון למתקפה, התראיינתי באולפן Ynet ביחד עם מנכ"ל בית החולים שהרגיש צורך לספר שרק חודשיים טרם המתקפה, בית החולים עבר בדיקה של מכון התקנים ״בהצלחה יתרה״, לדבריו. בחוגים מקצועיים ההצהרה הפכה למם ובדיחה. אמירה כזו ממחישה את הפער העצום בין הרלוונטיות של התקינה ודרישות רגולטוריות ובין המציאות שבה פועלים האקרים.
מי שמכיר אותי, יודע, שאני מצביעה בדרך כלל על הדברים הפשוטים לכאורה. אלה שגורמים לתפוס את הראש בתסכול ולשאול איך אפשר, איך לא ידעתם, איך לא שמרתם. אחרי שאצביע על חלק מהכשלים, תגידו אתם אם בדיקת התקינה לא היתה אמורה לזהות אותם. אם כל איש מקצוע לא היה אמור לזהות אותם.
רגע לפני, חשוב להדגיש - ניהול אבטחת מידע בבית חולים הוא תפקיד מאתגר וקשה מאוד. הצורך לאפשר סנכרון בין ממשקים רבים ומגוונים, כדי לסייע בהליך קבלת ההחלטות הרפואיות, החלטות שלפעמים צריכות להתקבל בתוך שניות, הוא אתגר בפני עצמו. ויחד עם זאת, קלות ההשתלטות על בית החולים מעלה שאלה קשה. גם עבור אלו שנכחו רק בשיעור הראשון בקורס אבטחת מידע.
על פי הידוע, התוקפים השיגו גישה רוחבית בכל מערכות בית החולים. החל בשערי כניסה ודלתות, המשך בתחנות עבודה של צוותי אדמיניסטרציה, תיקים רפואיים, ציוד רפואי ועוד. המשמעות שעולה מהישג כזה, מצביעה, ככל הנראה, שמנהל הרשת הגדיר סיסמה קלה לניחוש. כזו שלא הוחלפה בתדירות מומלצת. נראה כי מנגנון הבקרה על שימוש בסיסמאות בבית החולים כשל. פלוני היה מצפה שיוגדר, לכל הפחות, אימות דו שלבי (2FA) בנוסף לסיסמא חזקה.
האם הגישה לסיסמת מנהל הרשת הושגה באמצעות מתקפת פישינג ייעודית? האם אותרה בצורה אחרת? לא ידועה לנו הסיבה. עובדה שהושגה.
בלי הפרדת רשתות. והגיבויים? הוצפנו
עם הסיסמה הצליח התוקף לדלג בין מערכות מגוונות ושונות בכל סביבות העבודה של בית החולים. היכולת הזו מעלה שאלה לגבי הפרדת רשתות. האם הייתה והוגדרה לא נכון או שמא, לא הוגדרה כלל. נשאלת השאלה מדוע אדם שיש לו גישה למערכת הדלתות, מקבל גישה גם לשרתי התיקים הרפואיים. גם אם הוחלט שזהו מהלך לגיטימי, מדוע לא שולבו בקרות למניעת גישה רוחבית כזו.
מספרים שבבית החולים פעל אתר גיבוי (DR) עם מערכות גיבוי שנועדו לתת מענה באירוע מסוג זה. יחד עם זאת, הגיבויים, כמו שאר המערכות והשירותים שעליהם הצבעתי, הוצפנו גם הם. איך דבר כזה מתאפשר? מדוע מי שמשיג גישה לרשת אחת משיג גישה גם לרשת הגיבויים? מדוע אין הפרדה בין השניים?
לפי דיווחים בקבוצות מקצועיות, נרמז כי הגישה של התוקף התאפשרה בזכות ניצול חולשה בשירות ה- VPN (גישה מרחוק למערכות בית החולים). חולשה שפורסם עבורה טלאי יצרן, אך בית החולים התעכב בעדכונה. על פניו תוארו בקבוצות המקצועיות עוד הרבה תהיות לגבי איכות הבקרות בבית החולים. יכולות זיהוי האנומליות ברשת, כשלי מודעות פנים ארגונית לסיכוני אבטחת מידע ועוד.
כשל אחרון שאולי לא קשור למימוש המתקפה בפועל, אך מצביע על בעיה בזיהוי מהות האירוע ואופן התגובה, אפשר לייחס לקשר בין בית החולים למערך הסייבר. במערך טוענים כי עודכנו באירוע קרוב לזמן אמת. נקודת זמן סמוכה לתגובת בית החולים לאירוע. יחד עם זאת, המענה בשעות הראשונות היה מסורבל ומבולגן. רק כעבור כ-12 שעות, בהן כל דקה קריטית, הוחלט לאפשר לגורמים יותר מקצועיים להכנס לעובי הקורה.
אין ספק כי האירוע בהלל יפה מהותי בכל הקשור להגנה בסייבר של מוסדות ממשלתיים. אלו, מהווים יעדי איכות להאקרים שמחפשים כסף, תהילה, הישג פוליטי או כאלו הפועלים בחסות מדינה ורוצים לבצע נזק. לצד ניהול מקצועי יותר של מערך ההגנה, רצוי גם לתרגל ולתכנן את אופן התגובה למתקפת סייבר עתידית. אלו, עשויים להשפיע, בפעם הבאה, אם תגיע, על מידת הנזק למוסד הרפואי.
הכותבת יועצת מומחית למנהלים בהיערכות והתמודדות עם סיכוני סייבר עסקיים.
המשטרה הסירה את הצא״פ על אירוע הסייבר בהלל יפה ועינת מירון משתפת קצת מהכשלים שהיו באירוע. זאת, בתקווה שחשיפתם תאפשר לבתי חולים להיות מוגנים יותר בפעם הבאה
מאת משרד הדוברת של המרכז הרפואי הלל יפה, CC BY 3.0, https://commons.wikimedia.org/w/index.php?curid=48968101
באופן מפתיע למדיי, מתקפת הסייבר שהתרחשה ב-13 באוקטובר נגד בית החולים הלל יפה בחדרה, תפסה את אזרחי ישראל בהפתעה. כפולה. פעם אחת הופתעו שמתקפת סייבר מגיעה ללא התרעה מוקדמת.
בפעם השניה הופתעו שאין להאקרים כללי אתיקה (״הם תוקפים גם בתי חולים. ועוד באמצע מגיפה עולמית״). אלו שהופתעו, נראה שחיים בעולם אוטופי שבו האקרים פועלים לפי אתיקה המרחיקה אותם מפגיעה ממוסדות שיש להם ערך וצורך ממשי. כמו מוסדות בריאות.
הופתעתי מהנאיביות. זו הרי אינה מתקפת הסייבר הראשונה בישראל וממתי האקרים מודיעים על הגעה? ובכלל, איפה הייתם במאי 2017 כש-150 בתי חולים באנגליה הושבתו? האירוע שלח את סגן שרת הבריאות הבריטי לצאת לתקשורת ביום שישי, 10 בלילה ולבקש ממי שלא חייב, שימנע מהגעה לבית חולים. ומה עם מתקפת WannaCry?
טוב, האמת שהופתעתי גם מהחיבור שעשו בין אתיקה והאקרים, אבל כנראה שזה כבר למאמר אחר.
התוקפים השיגו גישה רוחבית
מפה לשם, השבוע הוסר צו איסור הפרסום שביקשה משטרת ישראל על פרסום כל פרט מאירוע הסייבר בבית החולים הלל יפה. מהלך מפתיע. במקור הצו נדרש עד לחודש פברואר 22 והנה, אנחנו במהלכו של דצמבר 21. מעניין יהיה לדעת בהמשך מה גילתה המשטרה. בינתיים, מהמעט שכן ידוע לנו, אפשר וצריך להצביע על מספר כשלים שארעו במערך המחשוב של בית החולים.
במאמר מוסגר אספר שביום הראשון למתקפה, התראיינתי באולפן Ynet ביחד עם מנכ"ל בית החולים שהרגיש צורך לספר שרק חודשיים טרם המתקפה, בית החולים עבר בדיקה של מכון התקנים ״בהצלחה יתרה״, לדבריו. בחוגים מקצועיים ההצהרה הפכה למם ובדיחה. אמירה כזו ממחישה את הפער העצום בין הרלוונטיות של התקינה ודרישות רגולטוריות ובין המציאות שבה פועלים האקרים.
מי שמכיר אותי, יודע, שאני מצביעה בדרך כלל על הדברים הפשוטים לכאורה. אלה שגורמים לתפוס את הראש בתסכול ולשאול איך אפשר, איך לא ידעתם, איך לא שמרתם. אחרי שאצביע על חלק מהכשלים, תגידו אתם אם בדיקת התקינה לא היתה אמורה לזהות אותם. אם כל איש מקצוע לא היה אמור לזהות אותם.
רגע לפני, חשוב להדגיש - ניהול אבטחת מידע בבית חולים הוא תפקיד מאתגר וקשה מאוד. הצורך לאפשר סנכרון בין ממשקים רבים ומגוונים, כדי לסייע בהליך קבלת ההחלטות הרפואיות, החלטות שלפעמים צריכות להתקבל בתוך שניות, הוא אתגר בפני עצמו. ויחד עם זאת, קלות ההשתלטות על בית החולים מעלה שאלה קשה. גם עבור אלו שנכחו רק בשיעור הראשון בקורס אבטחת מידע.
על פי הידוע, התוקפים השיגו גישה רוחבית בכל מערכות בית החולים. החל בשערי כניסה ודלתות, המשך בתחנות עבודה של צוותי אדמיניסטרציה, תיקים רפואיים, ציוד רפואי ועוד. המשמעות שעולה מהישג כזה, מצביעה, ככל הנראה, שמנהל הרשת הגדיר סיסמה קלה לניחוש. כזו שלא הוחלפה בתדירות מומלצת. נראה כי מנגנון הבקרה על שימוש בסיסמאות בבית החולים כשל. פלוני היה מצפה שיוגדר, לכל הפחות, אימות דו שלבי (2FA) בנוסף לסיסמא חזקה.
האם הגישה לסיסמת מנהל הרשת הושגה באמצעות מתקפת פישינג ייעודית? האם אותרה בצורה אחרת? לא ידועה לנו הסיבה. עובדה שהושגה.
בלי הפרדת רשתות. והגיבויים? הוצפנו
עם הסיסמה הצליח התוקף לדלג בין מערכות מגוונות ושונות בכל סביבות העבודה של בית החולים. היכולת הזו מעלה שאלה לגבי הפרדת רשתות. האם הייתה והוגדרה לא נכון או שמא, לא הוגדרה כלל. נשאלת השאלה מדוע אדם שיש לו גישה למערכת הדלתות, מקבל גישה גם לשרתי התיקים הרפואיים. גם אם הוחלט שזהו מהלך לגיטימי, מדוע לא שולבו בקרות למניעת גישה רוחבית כזו.
מספרים שבבית החולים פעל אתר גיבוי (DR) עם מערכות גיבוי שנועדו לתת מענה באירוע מסוג זה. יחד עם זאת, הגיבויים, כמו שאר המערכות והשירותים שעליהם הצבעתי, הוצפנו גם הם. איך דבר כזה מתאפשר? מדוע מי שמשיג גישה לרשת אחת משיג גישה גם לרשת הגיבויים? מדוע אין הפרדה בין השניים?
לפי דיווחים בקבוצות מקצועיות, נרמז כי הגישה של התוקף התאפשרה בזכות ניצול חולשה בשירות ה- VPN (גישה מרחוק למערכות בית החולים). חולשה שפורסם עבורה טלאי יצרן, אך בית החולים התעכב בעדכונה. על פניו תוארו בקבוצות המקצועיות עוד הרבה תהיות לגבי איכות הבקרות בבית החולים. יכולות זיהוי האנומליות ברשת, כשלי מודעות פנים ארגונית לסיכוני אבטחת מידע ועוד.
כשל אחרון שאולי לא קשור למימוש המתקפה בפועל, אך מצביע על בעיה בזיהוי מהות האירוע ואופן התגובה, אפשר לייחס לקשר בין בית החולים למערך הסייבר. במערך טוענים כי עודכנו באירוע קרוב לזמן אמת. נקודת זמן סמוכה לתגובת בית החולים לאירוע. יחד עם זאת, המענה בשעות הראשונות היה מסורבל ומבולגן. רק כעבור כ-12 שעות, בהן כל דקה קריטית, הוחלט לאפשר לגורמים יותר מקצועיים להכנס לעובי הקורה.
אין ספק כי האירוע בהלל יפה מהותי בכל הקשור להגנה בסייבר של מוסדות ממשלתיים. אלו, מהווים יעדי איכות להאקרים שמחפשים כסף, תהילה, הישג פוליטי או כאלו הפועלים בחסות מדינה ורוצים לבצע נזק. לצד ניהול מקצועי יותר של מערך ההגנה, רצוי גם לתרגל ולתכנן את אופן התגובה למתקפת סייבר עתידית. אלו, עשויים להשפיע, בפעם הבאה, אם תגיע, על מידת הנזק למוסד הרפואי.
הכותבת יועצת מומחית למנהלים בהיערכות והתמודדות עם סיכוני סייבר עסקיים.
