מתקפת הסייבר על בית החולים הלל יפה בחדרה היא מהגדולות שאירעו בישראל והראשונה שמסכנת משמעותית בית חולים בישראל. לפי מידע שהגיע ל-ynet מדובר באירוע שהשבית את מרבית המערכות בבית החולים, ובשל ביטול ניתוחים הוא "עלול לסכן חיי אדם". כמו כן, יש חשש שמידע רפואי פרטי על מטופלים דלף בהיקף גדול במהלך האירוע. התוקף תובע תשלום כופר תמורת החזרת המצב לקדמותו. בשלב זה לא ידוע מה גובה הכופר הנדרש או מה מקור ההתקפה.
בהלל יפה אומרים כי הניתוחים נמשכים כסדרם תוך רישום ידני, ללא מערכות ממוחשבות, וכי כל המערכות הרפואיות המשמשות לטיפול בחולים פועלות כסדרן. דיווחים מבית החולים מציינים כי הוא לא מקבל חולים חדשים, ומתקשה לשחרר חולים קיימים, מספר הטיפולים במכונות רפואיות כמו רנטגן ואולטרה-סאונד ירד ל-20 אחוזים מיום רגיל, הדלתות אינן נפתחות ואפילו שערי החניון אינם מתפקדים.
האירוע החל בשעה 4 לפנות בוקר היום, כשהתגלה שמערכות בית החולים נחסמו והתקבלה הודעת דרישת כופר מצד התוקפים. על היקף המתקפה והסכנה הכרוכה בה יכולה להעיד העובדה שמלבד צוותי בית החולים ומשרד הבריאות גויסו לאירוע גם חברות נוספות בהן חברת צ'ק פוינט, חברת סלקום, חברת "כובע לבן" שנותנת שירותי ייעוץ ומודיעין סייבר למשרד הבריאות, והחברות מנדיאנט וסיגניה.
גורמי מקצוע בתחום הסייבר בישראל מעריכים כי בית החולים הלל יפה לא היה ממוגן ברמה הגבוהה ביותר כנגד מתקפות סייבר, וזו הסיבה שדווקא הוא הופך לקורבן של התקפה כזו. לפי אחד הדיווחים מדובר בהתקפה דומה ביותר למתקפה על חברת הביטוח שירביט, שנובעת מאותו כשל במערכת ההגנה. עם זה מציינים הגורמים כי חלק מהתקלות נובעות מניתוק כל המערכות מהאינטרנט, שנעשה לצורך מניעת המשך המתקפה.
מתקפות סייבר על בתי חולים אינן אירוע נדיר בעולם, אך זו הפעם הראשונה שבית חולים בישראל הופך לקורבן של מתקפת סייבר משמעותית כזו. מתקפות סייבר על בתי חולים מסוכנות במיוחד בשל החשש לחיי המטופלים, הנכונות של התוקפים להדליף את המידע הפרטי של החולים, והגישה לנתוני מחקרים שעלולים להימכר לאחר מכן בדארקנט. בתי חולים בעולם שהותקפו בעבר התקשו להתאושש מהמתקפות לאורך תקופה ארוכה ולשחזר את המידע שנגנב או נמחק.
בשעות הבוקר פרסם הלל יפה הודעה מטעמו בה נאמר: "המרכז הרפואי הלל יפה מעדכן על ארוע סייבר מסוג כופרה ללא התראה מוקדמת, שפגע במערכות המחשוב של בית החולים. בית החולים מתנהל כעת במערכות חלופיות לטיפול בחולים. הטיפול הרפואי בבית החולים מתקיים באופן שוטף למעט פעילות אלקטיבית לא דחופה. הארוע דווח למשרד הבריאות ולמערך הסייבר הלאומי באופן מידי ונמצא בטיפול של טובי המומחים בתחום".
בהמשך התפרסמה הודעה מטעם משרד הבריאות ומערך הסייבר הלאומי, לפיה "הם עודכנו בפרטי האירוע ומשתתפים בחקירתו ובטיפול בו. משרד הבריאות הפיץ עדכון בנושא לבתי החולים כצעד מנע".
רפאל פרנקו, מנכ"ל קוד בלו ולשעבר סגן ראש מערך הסייבר הלאומי לעמידות המשק, אומר: "למרות ההשקעה הרבה של מערך הסייבר, ובמקרה הזה גם משרד הבריאות, עדיין יש בתי חולים שמסרבים להבין שאיום הסייבר הוא איום מוחשי ויכול להביא גם לפגיעה בחולים ומידע אישי שלהם שעלול לדלוף, גם להשבתה של בתי חולים וגם חס וחלילה למוות כפועל יוצא של דחיית ניתוחים ופעילויות".
עינת מירון, מומחית להערכות והתמודדות עם מתקפות סייבר, אומרת: "מתקפת סייבר היא אירוע הרסני שכמעט ובלתי אפשרי להתאושש ממנו. תשלום הכופר אינו מועיל או משנה דבר ולכן צריך להבין ביושר, שמדובר באירוע קשה במיוחד שיצריך זמן ומשאבים כדי לחזור לאיזושהיא שגרת עבודה. הדיווח על השבתת שירותים מצילי חיים בבית החולים מעלה סימני שאלה קשים לגבי אפיון רשת התקשורת והממשקים הישירים בין המערכות השונות. לפני כשנתיים, כשתוקפים השיגו בטעות גישה למערכות המידע של אחד מבתי החולים בגרמניה, הם שלחו ביוזמתם את מפתח ההצפנה ועדיין, הליך החזרה לשגרה נמשך כשלושה חודשים, כש-95 חדרי ניתוח, מתוך 100 קיימים, לא היו פעילים גם חודש לאחר סיום האירוע".
יוסי רחמן, מנהל תחום המחקר בסייבריזן, אומר: "אנו ממליצים לא לשתף פעולה עם התוקפים ולהימנע מתשלום דרישת הכופר, מאחר ופעולה זו לא תבטיח את השבת המידע שננעל ואף תעודד את קבוצת התקיפה להוציא לפועל מתקפות נוספות בעתיד. כשמדובר במתקפה ממוקדת כנגד בתי חולים, התוקפים יודעים לצפות לתגובה מהירה מצד הארגון המותקף, בשל עיכוב ביצוע תהליכים רפואיים קריטיים וכן החשש לדליפה של מידע רפואי רגיש אודות מטופלים. זו אחריותם של המוסדות והארגונים להגן על עצמם מפני מתקפות סייבר פוטנציאליות. הנזק האמיתי של מתקפות הכופר לא טמון בתשלום הכופר בלבד, אלא בהשבתת פעילות רחבה, פגיעה במוניטין ובמקרים מסוימים עלולה אף לגרום לסכנת חיים".
ד"ר הראל מנשרי, ממקימי מערך הסייבר בשב"כ וראש תחום סייבר ב-HIT מכון טכנולוגי חולון, אומר: "מאז 2015, בתי חולים וארגוני בריאות בישראל מהווים מטרות תקיפה מרכזיות ובשנתיים האחרונות של הקורונה חלה עלייה נוספת בניסיונות אלו. בבית חולים יש הרבה מאוד נקודות פריצה פוטנציאליות עליהן צריכים להגן, החל ממכשור רפואי ועד רשומות רפואיות. בנוסף במערכות האלו משתמשים אנשים רבים ומשתמשי המערכות לא תמיד יודעים מה מותר ומה אסור". לדבריו, ארגוני בריאות מותקפים גם על ידי גורמים פליליים למטרות כופר וגם על ידי גורמים מדינתיים שמעוניינים להסב נזק או להוציא מידע של רשומות רפואיות.
עמית שפיצר, מנהל אבטחה ראשי בקייטו נטוורקס, אומר: "פרסום אירוע הסייבר המתרחש ברגעים אלו על מערכות המחשוב של המרכז הרפואי הלל יפה מעלה שאלות בנוגע לגורלו של המידע הרפואי האישי של מטופלים רבים בבית החולים. במקרי תקיפה דומים, תשלום הכופר לא הועיל והמידע האישי לבסוף דלף או נמחק ללא יכולת לשחזרו. ההנחה הרווחת היא שהתקיפה בוצעה על ידי גורם עוין הרוצה להזיק ודרישת הכופר הנה למראית עין בלבד ולכן רוב הסיכויים שבשעות הקרובות נראה צעד מכיוון התוקפים שירצו להוכיח את כוונותיהם והם עלולים לפרסם מידע אישי של מטופלים".
ליאור חן, מנהל תחום אבטחת הסייבר בחברת Varonis אומר: "מתקפות כופרה, בהן תוקפים מצפינים מידע חיוני לארגון ומבקשים תשלום עבור הפענוח שלו, תוך פגיעה בתהליכים העסקיים של הארגון, הן כלי מרכזי שנמצא בשימוש ע"י תוקפים כיום. מניתוח מקרים דומים אנו עדים לכך שמתקפות כופרה כיום מלוות במנגנוני סחיטה שונים כדוגמת גניבת מידע רגיש בכמויות גדולות ואיום של שחררו לציבור אם הנתקף לא יענה לדרישת הכופר. בכך מעלים התוקפים את הסיכוי לתשלום באופן משמעותי, גם במקרה בו לנתקף יש גיבוי מלא של המידע שהוצפן".
