פרשנות | מגזר הבריאות נופל שוב ושוב למתקפות סייבר למרות המעבר לענן
ענף הבריאות חייב להגביר את מאמצי האבטחה שלו בענן על מנת להגן על המידע הרגיש של המטופלים ולהבטיח את המשך מתן שירותי הבריאות
הגנה לישראל
| 17/03/2024
חן בורשן | תמונה באדיבות סקייהוק סקיוריטי
יותר ממחצית מארגוני הבריאות סבלו ממתקפת סייבר על תשתית הענן שלהם במהלך 12 החודשים האחרונים. מתקפות אלו השפיעו על מיליוני אנשים.
למעשה, מתחילת 2024 לבדה מספר האנשים שנפגעו על פי דיווחים מפריצות מידע בארצות הברית לבדה הוא יותר מ-11 מיליון (בשנה שעברה, מידע של כמעט אחד מכל שלושה אמריקאים נגנב במתקפת סייבר).
מלבד ההשפעה הרחבה, פרצות מידע הקשורות לשירותי בריאות הן יקרות. פרצות מידע בתחום הבריאות עולות יותר מעשרה מיליון דולר (בממוצע, לכל פריצה) יותר מכפול מהסטנדרט בתעשייה.
בנוסף, גם קשה יותר לזהות מתקפות כאלו. בממוצע, דליפות מידע כתוצאה ממתקפת סייבר, בתחום הבריאות, נמשכות כ-231 ימים לפני שהן מתגלות, בהשוואה ל-204 ימים בתעשיות אחרות.
התקפות זדוניות היו אחראיות ליותר ממחצית מהתקפות אלו. לסיכום, אם לפני שני עשורים, תעשיית הבריאות לא נראתה כמו יעד משתלם להאקרים -זה ממש לא המצב היום.
ואם רק לפני כמה שנים, הענן נתפס כמקלט בטוח שיסיים את רוב תחלואי התעשייה מבחינת אבטחת מידע, ברור כעת שזה לא המקרה.
מבט לאחור על הדיגיטציה של שירותי הבריאות ואיומי הסייבר
לפני שני עשורים, תעשיית הבריאות החלה בטרנספורמציה הדיגיטלית שלה עם המעבר האיטי ממסמכים רפואיים ותיעוד על גבי גליונות נייר לחלופות דיגיטליות, וכתוצאה מכך לאימוץ המוני של מערכות רישום רפואי אלקטרוני (EHR).
בעוד שהשינוי הזה היה מועיל במידה רבה לחולים ולמתקני שירותי בריאות ולעוסקים בתחום, הוא גם יצרה תלות דיגיטלית חמורה, אשר נוצלה עד מהרה על ידי האקרים.
בהתחלה, מתקפות סייבר נגד ארגוני בריאות התמקדו בפגיעה בנתוני שירותי בריאות, במיוחד במידע אישי (PII).
בעשור האחרון, פושעי סייבר למדו כיצד לייצר רווחים ממידע אישי גנוב, בין אם באמצעות הונאה או באמצעות מכירת מידע זה לפושעי סייבר ברשת האפלה.
מאוחר יותר, פושעי סייבר שינו טקטיקה והחלו במתקפות כופרה, שהפכו את המונטיזציה של נתונים להרבה יותר קלה - במקום לגנוב מספר רב של פרטים אישיים ולמכור אותם, פושעי סייבר יכולים כעת פשוט להצפין את כל בסיס הנתונים ולדרוש סכום גבוה עבור השחרור שלו.
התקפות כאלה נעו במהירות, גרמו לנזק עצום והפריעו לארגונים שלמים. בשנת 2017, מתקפת כופר בשם WannaCry שיתקה את שירות הבריאות הלאומי של אנגליה (NHS).
המתקפה הזו לא כוונה ל-NHS, אבל ההשפעה הבהירה להאקרים ששירותי הבריאות רגישים ביותר להתקפות כאלה, ומאז, ארגונים ומתקנים רפואיים תורגטו שוב ושוב.
במהלך מגיפת הקורונה כמות המתקפות והחומרה שלהם החריפה. באותו תקופה ארגוני הבריאות גם היו נתונים לסוג נוסף של איום, שנקרא סחיטה כפולה.
האקרים לא חיכו שקורבנותיהם ישלמו ללא הגבלת זמן, אלא איימו כעת לשחרר נתונים רגישים גנובים באתר "הדלפה" ציבורית, מה שגרם למבוכה לארגון הקורבן ולפגיעה נוספת בחולים שלהם.
קל לשער מדוע התעשייה הזו סבלה כל כך מהתקפות סייבר. היא נשענת כעת באופן מלא על אמצעים דיגיטליים, אולם אלה אינם מופעלים על ידי אנשים שעברו הכשרה ומודעים לסיכוני סייבר.
בנוסף, המערך הטכנולוגי של ארגוני הבריאות מסתמך על מספר עצום של מערכות מדור קודם, שמשלבות פרוטוקולים ישנים עם תוכנה וחומרה מסחריות.
מורכבות זו מקשה על מומחי אבטחת (שנמצאים תמיד במחסור) לאכוף תקנות ולבצע את הפעולות הדרושות (כגון שמירה על עדכניות ותיקון של כל המערכות).
הענן הוא לא התשובה
הענן היה אמור לאפשר אבטחה משופרת. לאחר בדיקה, רוב המדינות בעולם אפשרו לארגוני הבריאות שלהן להעביר לפחות חלק מהנתונים שלהם לענן (חלקם באיטיות רבה יותר מאחרים, חלקם מחייבים שימוש בספקי ענן מאותה מדינה או אזור גיאוגרפי/משפטי כמו האיחוד האירופי).
רעיון זה אושרר שוב בסקר שנערך לאחרונה בו כמעט 75% מהמשיבים מתעשיית הבריאות אמרו כי הם מאמינים כי נתונים מגובים לאחסון ענן ציבורי בטוחים יותר מנתונים שמגובים ומאוחסנים על גבי שרתים בארגון עצמו.
העלאת נתונים שישמשו כגיבוי בענן לא מספיקה ללא מנגנוני זיהוי מתאימים של איומי אבטחה, מה שמוביל לעובדה שהתקפות כופרה הצפינו בהצלחה נתונים המאוחסנים בענן.
ועם האוכל - בא התאבון של התוקפים. כפי שראינו בשנים האחרונות, הענן פגיע להתקפות סייבר. הנה כמה דוגמאות בולטות. Medibank - חברת ביטוח הבריאות האוסטרלית, סבלה מפרצת מידע שהשפיעה על כמעט 8 מיליון לקוחות.
Hi-Tech Medical- ספק שירותי בריאות אמריקאי נפרץ, וחשף את הנתונים של 2 מיליון אמריקאים. SingHealth- ספק שירותי בריאות סינגפורי פרץ, וחשף את הנתונים של 1.5 מיליון חולים.
ולאחרונה, ספקית הענן השוודית Advania נפגעה ממתקפת Ransomware, שהותירה כמה מלקוחות שירותי הבריאות שלה מושבתים.
למתקפות אלו השלכות חמורות על ארגוני בריאות והמטופלים שלהם: הפרת חיסיון רפואי של המטופלים. שיבוש שירותי בריאות קריטיים. נזקים כספיים לארגוני הבריאות. פגיעה באמון הציבור במערכת הבריאות.
נזקים עקיפים של תיקון ציוד (בית החולים הלל יפה בחדרה, לדוגמא, נאלץ לרכוש מחדש חלק מהמכשור הרפואי בעקבות מתקפת כופרה גדולה).
הענן היה אמור לאפשר אבטחה משופרת. לאחר בדיקה, רוב המדינות בעולם אפשרו לארגוני הבריאות שלהן להעביר לפחות חלק מהנתונים שלהם לענן (חלקם איטיים יותר מאחרים, חלקם מחייבים שימוש בספקי ענן מאותה מדינה או גיאוגרפיה).
רעיון זה תוקן בסקר שנערך לאחרונה בו כמעט 75% מהמשיבים מתעשיית הבריאות אמרו כי הם מאמינים כי נתונים מגובים לאחסון ענן ציבורי בטוחים יותר מנתונים שמגובים ומאוחסנים במקום.
העלאת נתונים שישמשו כגיבוי בענן לא מספיקה ללא מנגנוני זיהוי מתאימים של איומי אבטחה, מה שמוביל לעובדה שהתקפות Ransomware הצפנו בהצלחה נתונים המאוחסנים בענן.
אז הענן לבד פשוט לא מספיק. מה כן?
היום כבר ברור ששימוש בתשתית ענן במקום פיזית בארגון כבר לא מספיק. במשך זמן מה, הענן נתפס כבטוח, והשיקולים העיקריים להעברת נתונים אליו היו פרטיות ואמינות.
הענן מציג את האתגרים שלו במונחים של מורכבות, הצורך בכוח אדם מיומן ומערכות זיהוי ייעודיות. מערכות ענן מורכבות כמו מערכת מקומית ומועדות להגדרות שגויות וטעויות אנוש.
טעויות מקריות כמו מערכות גיבוי בענן שהוגדרו בצורה שגויה או בקרות גישה לא נאותות עלולות להשאיר נתונים רגישים חשופים, וליצור הזדמנויות לגישה לא מורשית מחוץ לארגון.
ארגונים רבים המשתמשים בסביבות מרובות עננים אשר חושפת את הארגונים שלהם למורכבות רבה יותר ולסיכון להפרות.
דוח שפורסם לאחרונה מציין שארגונים שמאכסנים נתונים במספר סביבות ענן במקביל סובלים מהאחוז הגבוה ביותר של פריצות ודליפת מידע, ושעלות הפריצה הכוללת והזמן לזיהוי הפריצה הם ארוכים יותר.
בנוסף, פושעי סייבר שיפרו את טכניקות הפריצה שלהם וכעת הם פורצים מערכות בענן בקלות גדולה יותר מבעבר, עם השפעה הרסנית.
סיכום
ארגון הבריאות העולמי הדגיש לאחרונה את "הצורך הקריטי לבנות בריתות רב-מגזריות שיכולות לרתום את היתרונות של טכנולוגיות חדשות לשיפור הבריאות והרווחה תוך התמודדות עם איומים המתעוררים ללא הרף".
זה רלוונטי מאוד לשימוש בענן ביישומי בריאות. ארגון שמשתמש בענן צריך לאמץ במהירות מנגנוני ממשל ואבטחה כדי להבטיח שהענן שלהם מאובטח.
אם הם לא יצליחו לעשות זאת, הם יגלו מהר שהאקרים כבר אימצו את השיטות שלהם והפכו בקיאים בפריצת ענן.
ענף הבריאות חייב להגביר את מאמצי האבטחה שלו בענן על מנת להגן על המידע הרגיש של המטופלים ולהבטיח את המשך מתן שירותי הבריאות. הדבר דורש שילוב של טכנולוגיות אבטחה מתקדמות שייעודיות לענן, הדרכת עובדים שוטפת ואימוץ שיטות עבודה בטוחות.
ענף הבריאות חייב להגביר את מאמצי האבטחה שלו בענן על מנת להגן על המידע הרגיש של המטופלים ולהבטיח את המשך מתן שירותי הבריאות
חן בורשן | תמונה באדיבות סקייהוק סקיוריטי
יותר ממחצית מארגוני הבריאות סבלו ממתקפת סייבר על תשתית הענן שלהם במהלך 12 החודשים האחרונים. מתקפות אלו השפיעו על מיליוני אנשים.
למעשה, מתחילת 2024 לבדה מספר האנשים שנפגעו על פי דיווחים מפריצות מידע בארצות הברית לבדה הוא יותר מ-11 מיליון (בשנה שעברה, מידע של כמעט אחד מכל שלושה אמריקאים נגנב במתקפת סייבר).
מלבד ההשפעה הרחבה, פרצות מידע הקשורות לשירותי בריאות הן יקרות. פרצות מידע בתחום הבריאות עולות יותר מעשרה מיליון דולר (בממוצע, לכל פריצה) יותר מכפול מהסטנדרט בתעשייה.
בנוסף, גם קשה יותר לזהות מתקפות כאלו. בממוצע, דליפות מידע כתוצאה ממתקפת סייבר, בתחום הבריאות, נמשכות כ-231 ימים לפני שהן מתגלות, בהשוואה ל-204 ימים בתעשיות אחרות.
התקפות זדוניות היו אחראיות ליותר ממחצית מהתקפות אלו. לסיכום, אם לפני שני עשורים, תעשיית הבריאות לא נראתה כמו יעד משתלם להאקרים -זה ממש לא המצב היום.
ואם רק לפני כמה שנים, הענן נתפס כמקלט בטוח שיסיים את רוב תחלואי התעשייה מבחינת אבטחת מידע, ברור כעת שזה לא המקרה.
מבט לאחור על הדיגיטציה של שירותי הבריאות ואיומי הסייבר
לפני שני עשורים, תעשיית הבריאות החלה בטרנספורמציה הדיגיטלית שלה עם המעבר האיטי ממסמכים רפואיים ותיעוד על גבי גליונות נייר לחלופות דיגיטליות, וכתוצאה מכך לאימוץ המוני של מערכות רישום רפואי אלקטרוני (EHR).
בעוד שהשינוי הזה היה מועיל במידה רבה לחולים ולמתקני שירותי בריאות ולעוסקים בתחום, הוא גם יצרה תלות דיגיטלית חמורה, אשר נוצלה עד מהרה על ידי האקרים.
בהתחלה, מתקפות סייבר נגד ארגוני בריאות התמקדו בפגיעה בנתוני שירותי בריאות, במיוחד במידע אישי (PII).
בעשור האחרון, פושעי סייבר למדו כיצד לייצר רווחים ממידע אישי גנוב, בין אם באמצעות הונאה או באמצעות מכירת מידע זה לפושעי סייבר ברשת האפלה.
מאוחר יותר, פושעי סייבר שינו טקטיקה והחלו במתקפות כופרה, שהפכו את המונטיזציה של נתונים להרבה יותר קלה - במקום לגנוב מספר רב של פרטים אישיים ולמכור אותם, פושעי סייבר יכולים כעת פשוט להצפין את כל בסיס הנתונים ולדרוש סכום גבוה עבור השחרור שלו.
התקפות כאלה נעו במהירות, גרמו לנזק עצום והפריעו לארגונים שלמים. בשנת 2017, מתקפת כופר בשם WannaCry שיתקה את שירות הבריאות הלאומי של אנגליה (NHS).
המתקפה הזו לא כוונה ל-NHS, אבל ההשפעה הבהירה להאקרים ששירותי הבריאות רגישים ביותר להתקפות כאלה, ומאז, ארגונים ומתקנים רפואיים תורגטו שוב ושוב.
במהלך מגיפת הקורונה כמות המתקפות והחומרה שלהם החריפה. באותו תקופה ארגוני הבריאות גם היו נתונים לסוג נוסף של איום, שנקרא סחיטה כפולה.
האקרים לא חיכו שקורבנותיהם ישלמו ללא הגבלת זמן, אלא איימו כעת לשחרר נתונים רגישים גנובים באתר "הדלפה" ציבורית, מה שגרם למבוכה לארגון הקורבן ולפגיעה נוספת בחולים שלהם.
קל לשער מדוע התעשייה הזו סבלה כל כך מהתקפות סייבר. היא נשענת כעת באופן מלא על אמצעים דיגיטליים, אולם אלה אינם מופעלים על ידי אנשים שעברו הכשרה ומודעים לסיכוני סייבר.
בנוסף, המערך הטכנולוגי של ארגוני הבריאות מסתמך על מספר עצום של מערכות מדור קודם, שמשלבות פרוטוקולים ישנים עם תוכנה וחומרה מסחריות.
מורכבות זו מקשה על מומחי אבטחת (שנמצאים תמיד במחסור) לאכוף תקנות ולבצע את הפעולות הדרושות (כגון שמירה על עדכניות ותיקון של כל המערכות).
הענן הוא לא התשובה
הענן היה אמור לאפשר אבטחה משופרת. לאחר בדיקה, רוב המדינות בעולם אפשרו לארגוני הבריאות שלהן להעביר לפחות חלק מהנתונים שלהם לענן (חלקם באיטיות רבה יותר מאחרים, חלקם מחייבים שימוש בספקי ענן מאותה מדינה או אזור גיאוגרפי/משפטי כמו האיחוד האירופי).
רעיון זה אושרר שוב בסקר שנערך לאחרונה בו כמעט 75% מהמשיבים מתעשיית הבריאות אמרו כי הם מאמינים כי נתונים מגובים לאחסון ענן ציבורי בטוחים יותר מנתונים שמגובים ומאוחסנים על גבי שרתים בארגון עצמו.
העלאת נתונים שישמשו כגיבוי בענן לא מספיקה ללא מנגנוני זיהוי מתאימים של איומי אבטחה, מה שמוביל לעובדה שהתקפות כופרה הצפינו בהצלחה נתונים המאוחסנים בענן.
ועם האוכל - בא התאבון של התוקפים. כפי שראינו בשנים האחרונות, הענן פגיע להתקפות סייבר. הנה כמה דוגמאות בולטות. Medibank - חברת ביטוח הבריאות האוסטרלית, סבלה מפרצת מידע שהשפיעה על כמעט 8 מיליון לקוחות.
Hi-Tech Medical- ספק שירותי בריאות אמריקאי נפרץ, וחשף את הנתונים של 2 מיליון אמריקאים. SingHealth- ספק שירותי בריאות סינגפורי פרץ, וחשף את הנתונים של 1.5 מיליון חולים.
ולאחרונה, ספקית הענן השוודית Advania נפגעה ממתקפת Ransomware, שהותירה כמה מלקוחות שירותי הבריאות שלה מושבתים.
למתקפות אלו השלכות חמורות על ארגוני בריאות והמטופלים שלהם: הפרת חיסיון רפואי של המטופלים. שיבוש שירותי בריאות קריטיים. נזקים כספיים לארגוני הבריאות. פגיעה באמון הציבור במערכת הבריאות.
נזקים עקיפים של תיקון ציוד (בית החולים הלל יפה בחדרה, לדוגמא, נאלץ לרכוש מחדש חלק מהמכשור הרפואי בעקבות מתקפת כופרה גדולה).
הענן היה אמור לאפשר אבטחה משופרת. לאחר בדיקה, רוב המדינות בעולם אפשרו לארגוני הבריאות שלהן להעביר לפחות חלק מהנתונים שלהם לענן (חלקם איטיים יותר מאחרים, חלקם מחייבים שימוש בספקי ענן מאותה מדינה או גיאוגרפיה).
רעיון זה תוקן בסקר שנערך לאחרונה בו כמעט 75% מהמשיבים מתעשיית הבריאות אמרו כי הם מאמינים כי נתונים מגובים לאחסון ענן ציבורי בטוחים יותר מנתונים שמגובים ומאוחסנים במקום.
העלאת נתונים שישמשו כגיבוי בענן לא מספיקה ללא מנגנוני זיהוי מתאימים של איומי אבטחה, מה שמוביל לעובדה שהתקפות Ransomware הצפנו בהצלחה נתונים המאוחסנים בענן.
אז הענן לבד פשוט לא מספיק. מה כן?
היום כבר ברור ששימוש בתשתית ענן במקום פיזית בארגון כבר לא מספיק. במשך זמן מה, הענן נתפס כבטוח, והשיקולים העיקריים להעברת נתונים אליו היו פרטיות ואמינות.
הענן מציג את האתגרים שלו במונחים של מורכבות, הצורך בכוח אדם מיומן ומערכות זיהוי ייעודיות. מערכות ענן מורכבות כמו מערכת מקומית ומועדות להגדרות שגויות וטעויות אנוש.
טעויות מקריות כמו מערכות גיבוי בענן שהוגדרו בצורה שגויה או בקרות גישה לא נאותות עלולות להשאיר נתונים רגישים חשופים, וליצור הזדמנויות לגישה לא מורשית מחוץ לארגון.
ארגונים רבים המשתמשים בסביבות מרובות עננים אשר חושפת את הארגונים שלהם למורכבות רבה יותר ולסיכון להפרות.
דוח שפורסם לאחרונה מציין שארגונים שמאכסנים נתונים במספר סביבות ענן במקביל סובלים מהאחוז הגבוה ביותר של פריצות ודליפת מידע, ושעלות הפריצה הכוללת והזמן לזיהוי הפריצה הם ארוכים יותר.
בנוסף, פושעי סייבר שיפרו את טכניקות הפריצה שלהם וכעת הם פורצים מערכות בענן בקלות גדולה יותר מבעבר, עם השפעה הרסנית.
סיכום
ארגון הבריאות העולמי הדגיש לאחרונה את "הצורך הקריטי לבנות בריתות רב-מגזריות שיכולות לרתום את היתרונות של טכנולוגיות חדשות לשיפור הבריאות והרווחה תוך התמודדות עם איומים המתעוררים ללא הרף".
זה רלוונטי מאוד לשימוש בענן ביישומי בריאות. ארגון שמשתמש בענן צריך לאמץ במהירות מנגנוני ממשל ואבטחה כדי להבטיח שהענן שלהם מאובטח.
אם הם לא יצליחו לעשות זאת, הם יגלו מהר שהאקרים כבר אימצו את השיטות שלהם והפכו בקיאים בפריצת ענן.
ענף הבריאות חייב להגביר את מאמצי האבטחה שלו בענן על מנת להגן על המידע הרגיש של המטופלים ולהבטיח את המשך מתן שירותי הבריאות. הדבר דורש שילוב של טכנולוגיות אבטחה מתקדמות שייעודיות לענן, הדרכת עובדים שוטפת ואימוץ שיטות עבודה בטוחות.
