למרות המעבר לענן, ארגוני הבריאות נופלים שוב ושוב למתקפות סייבר

יותר ממחצית מארגוני הבריאות סבלו ממתקפת סייבר על תשתית הענן שלהם במהלך 12 החודשים האחרונים. מתקפות אלו השפיעו על מיליוני אנשים. למעשה, מתחילת 2024 לבדה, מספר האנשים שנפגעו על פי דיווחים מפריצות מידע בארה"ב לבדה הוא יותר מ-11 מיליון. בשנה שעברה, מידע של כמעט אחד מכל שלושה אמריקאים נגנב במתקפת סייבר.

מלבד ההשפעה הרחבה, פרצות מידע הקשורות לשירותי בריאות הן יקרות ועולות יותר מעשרה מיליון דולר בממוצע לכל פריצה, יותר מכפול מהסטנדרט בתעשיה. בנוסף, גם קשה יותר לזהות מתקפות כאלו. בממוצע, דליפות מידע כתוצאה ממתקפת סייבר בתחום הבריאות נמשכות כ-231 ימים לפני שהן מתגלות, בהשוואה ל-204 ימים בתעשיות אחרות. התקפות זדוניות היו אחראיות ליותר ממחצית מהתקפות אלו.

אם לפני שני עשורים, תעשיית הבריאות לא נראתה כמו יעד משתלם להאקרים -זה ממש לא המצב היום. רק לפני כמה שנים, הענן נתפס כמקלט בטוח שיסיים את רוב תחלואי התעשיה מבחינת אבטחת מידע, אך כעת ברור שזה לא המקרה.

מבט לאחור על הדיגיטציה של שירותי הבריאות ואיומי הסייבר

לפני שני עשורים, תעשיית הבריאות החלה בטרנספורמציה הדיגיטלית שלה עם המעבר האיטי ממסמכים רפואיים ותיעוד על גבי גליונות נייר לחלופות דיגיטליות, וכתוצאה מכך לאימוץ המוני של מערכות רישום רפואי אלקטרוני (EHR). בעוד שהשינוי הזה היה מועיל במידה רבה לחולים ולמתקני שירותי בריאות ולעוסקים בתחום, הוא גם יצר תלות דיגיטלית חמורה, אשר נוצלה עד מהרה על ידי האקרים.

בהתחלה, מתקפות סייבר נגד ארגוני בריאות התמקדו בפגיעה בנתוני שירותי בריאות, במיוחד במידע אישי (PII). בעשור האחרון, פושעי סייבר למדו כיצד לייצר רווחים ממידע אישי גנוב, בין אם באמצעות הונאה או באמצעות מכירת מידע זה לפושעי סייבר ברשת האפלה.

מאוחר יותר, פושעי סייבר שינו טקטיקה והחלו במתקפות כופרה, שהפכו את המונטיזציה של נתונים להרבה יותר קלה - במקום לגנוב מספר רב של פרטים אישיים ולמכור אותם, פושעי סייבר יכולים כעת פשוט להצפין את כל בסיס הנתונים ולדרוש סכום גבוה עבור השחרור שלו.

במגיפת הקורונה כמות המתקפות וחומרתן החריפו. ארגוני הבריאות גם היו נתונים לסוג נוסף של איום - סחיטה כפולה. האקרים לא חיכו שקורבנותיהם ישלמו ללא הגבלת זמן, אלא איימו כעת לשחרר נתונים רגישים גנובים באתר "הדלפה" ציבורית

התקפות כאלה נעו במהירות, גרמו לנזק עצום והפריעו לארגונים שלמים. בשנת 2017, מתקפת כופר בשם WannaCry שיתקה את שירות הבריאות הלאומי של אנגליה (NHS). המתקפה הזו לא כוונה ל-NHS, אבל ההשפעה הבהירה להאקרים ששירותי הבריאות רגישים ביותר להתקפות כאלו ומאז, ארגונים ומתקנים רפואיים תורגטו שוב ושוב.

במהלך מגיפת הקורונה כמות המתקפות וחומרתן החריפו. באותו תקופה ארגוני הבריאות גם היו נתונים לסוג נוסף של איום, שנקרא סחיטה כפולה. האקרים לא חיכו שקורבנותיהם ישלמו ללא הגבלת זמן, אלא איימו כעת לשחרר נתונים רגישים גנובים באתר "הדלפה" ציבורית, מה שגרם למבוכה לארגון הקורבן ולפגיעה נוספת בחולים שלהם.

קל לשער מדוע התעשיה הזו סבלה כל כך מהתקפות סייבר. היא נשענת כעת באופן מלא על אמצעים דיגיטליים, אולם אלה אינם מופעלים על ידי אנשים שעברו הכשרה ומודעים לסיכוני סייבר. בנוסף, המערך הטכנולוגי של ארגוני הבריאות מסתמך על מספר עצום של מערכות מדור קודם, שמשלבות פרוטוקולים ישנים עם תוכנה וחומרה מסחריות. מורכבות זו מקשה על מומחי אבטחת (שנמצאים תמיד במחסור) לאכוף תקנות ולבצע את הפעולות הדרושות (כגון שמירה על עדכניות ותיקון של כל המערכות).

האבטחה שהכזיבה - הענן

הענן היה אמור לאפשר אבטחה משופרת. לאחר בדיקה, רוב המדינות בעולם אפשרו לארגוני הבריאות שלהן להעביר לפחות חלק מהנתונים שלהם לענן, חלקם באיטיות רבה יותר מאחרים, חלקם מחייבים שימוש בספקי ענן מאותה מדינה או אזור גיאוגרפי/משפטי כמו האיחוד האירופאי. רעיון זה אושרר שוב בסקר שנערך לאחרונה בו כמעט 75% מהמשיבים מתעשיית הבריאות אמרו כי הם מאמינים כי נתונים מגובים לאחסון ענן ציבורי בטוחים יותר מנתונים שמגובים ומאוחסנים על גבי שרתים בארגון עצמו.

אולם, העלאת נתונים שישמשו כגיבוי בענן לא מספיקה ללא מנגנוני זיהוי מתאימים של איומי אבטחה, מה שמוביל לעובדה שהתקפות כופרה Ransomware הצפינו בהצלחה נתונים המאוחסנים בענן.

Medibank - חברת ביטוח הבריאות האוסטרלית, סבלה מפרצת מידע שהשפיעה על כשמונה מיליון לקוחות.  Hi-Tech Medical - ספק שירותי בריאות אמריקאי נפרץ וחשף את נתונים של שני מיליון אמריקאים. גם SingHealth, ספק שירותי בריאות סינגפורי, נפרץ וחשף את הנתונים של 1.5 מיליון חולים

עם האוכל, בא התיאבון של התוקפים וכפי שראינו בשנים האחרונות, הענן פגיע להתקפות סייבר. הנה כמה דוגמאות בולטות. Medibank - חברת ביטוח הבריאות האוסטרלית, סבלה מפרצת מידע שהשפיעה על כמעט שמונה מיליון לקוחות.  Hi-Tech Medical - ספק שירותי בריאות אמריקאי נפרץ וחשף את נתונים של שני מיליון אמריקאים. גם SingHealth, ספק שירותי בריאות סינגפורי, נפרץ וחשף את הנתונים של 1.5 מיליון חולים. לאחרונה, ספקית הענן השוודית Advania נפגעה ממתקפת Ransomware, שהותירה כמה מלקוחות שירותי הבריאות שלה מושבתים.

למתקפות אלו השלכות חמורות על ארגוני בריאות והמטופלים שלהם: הפרת חיסיון רפואי של המטופלים; שיבוש שירותי בריאות קריטיים; נזקים כספיים לארגוני הבריאות ופגיעה באמון הציבור במערכת הבריאות. קיימים גם נזקים עקיפים של תיקון ציוד - בית החולים הלל יפה בחדרה, לדוגמה, נאלץ לרכוש מחדש חלק מהמכשור הרפואי בעקבות מתקפת כופרה גדולה.

היום כבר ברור ששימוש בתשתית ענן במקום פיזית בארגון כבר לא מספיק. במשך זמן מה, הענן נתפס כבטוח, והשיקולים העיקריים להעברת נתונים אליו היו פרטיות ואמינות. הענן מציג את האתגרים שלו במונחים של מורכבות, הצורך בכוח אדם מיומן ומערכות זיהוי ייעודיות. מערכות ענן מורכבות כמו מערכת מקומית מועדות להגדרות שגויות וטעויות אנוש. טעויות מקריות כמו מערכות גיבוי בענן שהוגדרו בצורה שגויה או בקרות גישה לא נאותות עלולות להשאיר נתונים רגישים חשופים וליצור הזדמנויות לגישה לא מורשית מחוץ לארגון.

ארגונים רבים המשתמשים בסביבות מרובות עננים חשופים למעשה למורכבות רבה יותר ולסיכון להפרות. דו"ח שפורסם לאחרונה מציין שארגונים שמאכסנים נתונים במספר סביבות ענן במקביל סובלים מהאחוז הגבוה ביותר של פריצות ודליפת מידע, ושעלות הפריצה הכוללת והזמן לזיהוי הפריצה הם ארוכים יותר. בנוסף, פושעי סייבר שיפרו את טכניקות הפריצה שלהם וכעת הם פורצים מערכות בענן בקלות גדולה יותר מבעבר, עם השפעה הרסנית.

כאמור, אם רק לפני כמה שנים, הענן נתפס כמקלט בטוח שיסיים את רוב תחלואי התעשיה מבחינת אבטחת מידע, ברור כעת שזה לא המקרה.

סיכום

ארגון הבריאות העולמי הדגיש לאחרונה את "הצורך הקריטי לבנות בריתות רב-מגזריות שיכולות לרתום את היתרונות של טכנולוגיות חדשות לשיפור הבריאות והרווחה תוך התמודדות עם איומים המתעוררים ללא הרף". זה רלוונטי מאוד לשימוש בענן ביישומי בריאות. ארגון שמשתמש בענן צריך לאמץ במהירות מנגנוני ממשל ואבטחה כדי להבטיח שהענן שלהם מאובטח. אם הם לא יצליחו לעשות זאת, הם יגלו מהר שהאקרים כבר אימצו את השיטות שלהם והפכו בקיאים בפריצת ענן.

ענף הבריאות חייב להגביר את מאמצי האבטחה שלו בענן על מנת להגן על המידע הרגיש של המטופלים ולהבטיח את המשך מתן שירותי הבריאות. הדבר דורש שילוב של טכנולוגיות אבטחה מתקדמות שייעודיות לענן, הדרכת עובדים שוטפת ואימוץ שיטות עבודה בטוחות.

הכותב הוא מנכ"ל סקייהוק סקיוריטי