זיהום מסוג חדש: בבתי החולים חוששים מפריצה למכשור הרפואי

מוסדות רפואיים נחשבים לאחד המגזרים הפגיעים ביותר למתקפות סייבר, בגלל חיבור של מכשור רפואי לרשת האינטרנט • הניסיון של בתי החולים להתגונן מפני מתקפות הציף ניגוד אינטרסים מול חברות הטכנולוגיה

בית חולים בארה"ב./צילום:Shutterstock   א.ס.א.פ קריאייטיב
בית חולים בארה"ב./צילום:Shutterstock א.ס.א.פ קריאייטיב

בשנים האחרונות הולכות וגוברות מתקפות הסייבר על בתי חולים - בשנה שעברה דווח על 148 פריצות שחשפו מידע רפואי אישי, לעומת חמש פריצות בלבד ב-2009. הפריצות הרבות הובילו לחשש של בתי החולים מהיום שבו יותקפו על ידי האקרים. כתוצאה מכך החלו מוסדות רפואיים בארה"ב ללחוץ על יצרניות המכשירים הרפואיים לשפר את הגנת הסייבר של ציוד רפואי המחובר לאינטרנט, למשל משאבות אינפוזיה וציוד הדמיה המשמש לביופסיה.

כמו כן, בבתי החולים החלו לערוך בדיקות כדי לזהות נקודות חולשה במכשירים ספציפיים, ומבקשים מהיצרניות לחשוף בפניהם את התוכנה שמפעילה את המוצרים כדי לזהות נקודות חולשה. בכמה מקרים ביטלו בתי חולים הזמנות, ודחו הצעות לספק עבורם מכשירים שלא הותקנו בהם אמצעי הגנה. הדבר נובע מהלחץ של בתי חולים מפני סיכון מטופלים וכדי למנוע שיבושים שעלותם גבוהה.

הגישה האגרסיבית של בתי החולים כלפי ספקיות הטכנולוגיה מגיעה לאחר עשר שנים של מרוץ ליצירת מאגרי רישומים רפואיים דיגיטליים, ולאחר הגל האדיר של חיבור מכשירים רפואיים לאינטרנט. לפי דירוג של חברת דירוג האשראי מודי'ס מפברואר האחרון, בתי החולים הם אחד המגזרים הפגיעים ביותר למתקפות סייבר.

מי אחראי על אבטחת הסייבר?

מאמציהם של בתי החולים אינם מסתכמים בבניית חומות אש ונקיטת צעדים אחרים להגנה על הרשתות הפנימיות שלהם, אלא הם דורשים יותר מידע על התוכנה שמפעילה מכשירים, שאותה מחשיבות היצרניות מזה זמן רב למידע פרטי (כלומר סודות מסחריים שהן לא היו רוצות לספק). כפועל יוצא, בקשות אלה יוצרות מתח בין שני הצדדים.

"יש כרגע מאבקים בסוגיה מי אחראי על החלקים השונים של אבטחת סייבר", אמרה סטפני דומס, סגנית נשיא למחקר ופיתוח בחברת הייעוץ MedSec, שמתמחה באבטחת סייבר. בתי החולים אינם יודעים מספיק על אבטחת המכשירים ברשתות שלהם, והיצרניות לא תמיד מספקות במהירות עדכוני תוכנה לסתימת פירצות, הוסיפה דומס.

לפי מומחים בתחומי שירותי הבריאות והאבטחה, יצרניות המכשור הרפואי החלו להוסיף תכונות חדשות ולחשוף יותר על מוצריהן, כמו למשל איזו תוכנת צד שלישי הן מכילות, וזאת כדי לסייע לבתי החולים להגן על המכשירים מפני מתקפות. אותן יצרניות כוללות בין השאר את רויאל פיליפס ובוסטון סיינטיפיק.

ביצרניות המכשירים מזהירים מכך שדרישות אבטחת הסייבר של בתי החולים עלולות להיות מסובכות ולהוביל לשיבוש של המשא ומתן על מכירת המוצרים. "ניהול המשא ומתן על החוזים האלה לוקח יותר זמן. התהליך בהחלט הפך מורכב יותר", אמר ג'יימס קינקלה, יועץ תאגידי בבוסטון סיינטיפיק.

תשומת הלב לאבטחת סייבר התעוררה לאחר שבשנים האחרונות אימץ מגזר שירותי הבריאות טכנולוגיות דיגיטליות, החל מרישומים רפואיים אלקטרוניים ועד לבדיקות מעבדה ניידות. מבחינתם של בתי החולים, המכשירים המחוברים לאינטרנט מספקים את היכולת לנטר מטופלים באופן רציף והדוק יותר, ולהשתמש בנתונים כהנחיה שעליה ניתן לבסס את הטיפול ולשפרו.

החיבוריות הזו יצרה כאבי ראש חדשים למנהלי בתי החולים, שחוששים מתוצאותיה של מתקפה. חששותיהם הוכחו כמוצדקים לפני כשנתיים, כשמתקפות סייבר באמצעות התוכנות WannaCry ו-NotPetya שיבשו את הפעילות במספר בתי חולים וגרמו לביטולם של כמה ניתוחים.

המשרד לביטחון המולדת של ארה"ב פרסם בשנה שעברה 30 המלצות לגבי נקודות חולשה בתחום אבטחת הסייבר במכשירים רפואיים, לעומת 16 בשנה שקדמה לה, לפי חברת MedCrypt, המייצרת תוכנת אבטחה למכשירים רפואיים.

מתחילים לדרוש תשובות מהיצרניות

מומחים לטכנולוגיה המשמשת בתי חולים אומרים שהשגת גישה לתוכנות שמפעילות את המכשירים והיכרות עם נקודות החולשה של תוכנות אלה תסייע להם לבנות חומות אש ומנגנוני הגנה אחרים מפני מתקפות. מנהל המזון והתרופות של ארה"ב (FDA) המליץ באוקטובר האחרון שהיצרניות יחשפו בפני בתי החולים מידע על התוכנות שלהן. Partners HealthCare, מערכת בריאות ללא מטרות רווח הפועלת מבוסטון, דרשה השנה לראשונה מיצרנית מכשיר רפואי (שזהותה אינה ידועה) לחשוף בפניה את התוכנה של המכשיר במסגרת החוזה בין שני הצדדים, זאת לדברי ג'וליאן גולדמן, המנהל הרפואי של תחום ההנדסה ביו-רפואית ב-Partners.

בית החולים New York-Presbyterian מעוניין בחוזים עם יצרניות מכשור רפואי שיאפשרו עריכת בדיקות עצמאיות של אבטחת הסייבר של המכשירים - המכונות "בדיקות חדירה", כך לדברי ג'נינגס אסק, מנהל אבטחת המידע של רשת בית החולים. עוד הוסיף אסק כי בשנה שעברה החל בית החולים לעבוד עם יועצים חיצוניים כדי לאמוד את מנגנוני הגנת הסייבר של הרשתות התאגידיות של הספקיות, כולל יצרניות מכשור רפואי.

ב-2017 נסוג בית החולים מתוכניתו לרכוש משאבות אינפוזיה מתוצרת חברת Smiths Group, לאחר שהמשרד לביטחון המולדת של ארה"ב הזהיר כי האקרים מסוגלים להשתלט על המשאבות. החברה מסרה כי שחררה תיקון ב-2017. "למרות שהתאכזבנו מהחלטת NYP לרכוש מערכת אחרת, אנו בטוחים ביעילותו של עדכון הקושחה ובבטיחותה של המשאבה למטופלים", אמר דובר החברה.

Vizient היא חברה המנהלת משא ומתן על מוצרים ושירותים עבור 3,100 מערכות שירותי בריאות בארה"ב. החברה צירפה לראשונה שאלות על אבטחת סייבר לבקשות להציע הצעות במכרזים על 10 קטגוריות של מכשירים רפואיים, לדברי רוס קרוויק, מנהל מיקור טכנולוגיה בחברה. השאלות כללו גם את השאלה האם נתוני המכשיר מקודדים, ובאילו הליכי סיסמה נעשה שימוש. Vizient מתכננת לשקול את התשובות בבואה להחליט למי יוענקו המכרזים.

לדברי מייקל אוניל, מנהל אבטחת המוצר העולמי של חברת פיליפס, החברה מקבלת שאלוני אבטחת סייבר כאלה לעיתים קרובות. הוא הוסיף ואמר שטוב היה אם הייתה מתכונת סטנדרטית לשאלונים, כדי שיהיה קל יותר למלאם. פיליפס היא ספקית גדולה של ציוד לבתי חולים, כולל מערכות דימות והנשמה.

בוסטון סיינטיפיק, שמספקת מוצרים כמו מכשירי לייזר וקתטרים שמשמשים בתי חולים בניתוחים וטיפולי לב, מקבלת בקשות להליכי הזדהות מחמירים יותר - כמו הפסקה אוטומטית של תהליך ההזדהות במידה שהוא נמשך זמן רב מדי, לדברי קן הוים, מנהל אבטחת מוצר בחברה. אולם, הוסיף הוים, הפסקות אוטומטיות כאלה בהליך ההזדהות עלולות לשבש ניתוחים שבהם גורם הזמן הוא קריטי.