מה אנחנו יודעים על האירוע?
ביום רביעי בשעה 4:00 לפנות בוקר גילו בבית החולים הלל יפה שמערכות המחשבים אינן פועלות. הסימן הראשון הוא נעילת המערכות, מנהלתיות ורפואיות גם יחד: לא ניתן לגשת לתיקי החולים, לא ניתן לעדכן נתונים של מאושפזים, לא ניתן לשחרר אותם הביתה. מערכות רבות נוספות נותקו באופן יזום כדי למנוע חדירה אליהן כולל הדלתות האוטומטיות בבית החולים ושערי החניון.
הכתבות האחרונות בנושא:
מי הם התוקפים?
לפי ניתוח ראשוני, מדובר בקבוצת פשיעת סייבר שמכונה DeepBlueMagic. הקבוצה צצה באוגוסט האחרון והספיקה כבר לתקוף בית חולים בארה"ב. הכופרה שבה משתמשת הקבוצה הפתיעה את מערכות ההגנה: היא מפעילה תוכנת הצפנה תקנית של חברת Jerico, אבל מצפינה באמצעותה לא רק את הקבצים של הקורבן אלא גם את מפתח פתיחת ההצפנה. בניגוד למתקפות קודמות בזמן האחרון, הפעם ההערכה היא שמדובר במתקפת כופרה אמיתית ולא בניסיון איראני להשפיע על התודעה.
מה התוקפים רוצים?
כסף. בתחילת האירוע התקבלה בבית החולים הודעה מהתוקפים עם דרישה לשלם כופר בתמורה לשחרור החסימה. זו הסיבה שהאירוע מוגדר כמתקפת כופרה. בית החולים לא דיווח מהו סכום הכופר שנדרש לשלם. על סמך ניסיון העבר – זה עלול להגיע לעשרות מיליוני שקלים.
איך חדרו התוקפים למערכות בית החולים?
ההערכה היא שמשרד הבריאות לא דאג למגן כיאות את בית החולים, שהוא מוסד ממשלתי. לפי אחד הדיווחים מדובר על הרשאות כניסה מרחוק באמצעות אפליקציית Pulse VPN שלא עודכנה בזמן.
האם מתקיים משא ומתן עם התוקפים?
גם לשאלה זו לא ניתנה תשובה ברורה. באירועים קודמים תמיד החל משא ומתן, אולם בנקודה כלשהי הפסיקו מנהלי המו"מ מצד הקורבנות את המשך הדיון. ראובן אליהו, מנהל תחום תשתיות, אבטחת מידע וסייבר במשרד הבריאות אמר ל-ynet: "קיבלנו הודעה מהקבוצה. משא ומתן הוא חלק מחקירה, וככל שנתקדם בחקירה, כלל הגורמים העוסקים בנושא יבחנו את האפשרות הזו".
רם לוי, מנכ"ל חברת הסייבר קונפידס, אומר: "האופציה לשלם כופר בכלל לא נמצאת על השולחן. מדובר בבית חולים ממשלתי ומדינה לא יכולה לשלם כופר. וזה אומר שצריך לחפש אלטרנטיבות ויכול להיות שזה ייצר קושי בשיקום מהיר של בית החולים".
חדר המיון בהלל יפה אשר פועל בצמצום תחת מתקפת סייבר
(צילום: דוברות בית חולים הלל יפה)
האם דלף מידע פרטי על החולים לידי התוקפים?
גם כאן לא ניתנה תשובה ברורה. גורמים רשמיים חוזרים ואומרים כי אינם יכולים לאשר או להכחיש כי מידע דלף ממערכות בית החולים. אם אכן דלף מידע הוא עלול לעמוד למכירה בקרוב באינטרנט. מניסיון העבר, באירועי כופרה הדבר הראשון שקורה, עוד לפני שהקורבן מודע לתקיפה, היא שאיבה של כל המידע האפשרי מהמערכת. ובבית החולים הלל יפה יש הרבה מאוד מידע.
רמי תמם, ראש התמחות סייבר בקריה האקדמית אונו, אומר: "מה אם מחר מידע כזה יזלוג ויועמד למכירה? וההיבט המשמעותי ביותר הוא המוכנות. כעת מנהלי בית החולים ייבחנו בזכוכית מגדלת על מה שנעשה קודם לאירוע, בהיבטי המוכנות וניהול השגרה של בית החולים. אני מניח שבית החולים נחשב כתשתית בעלת רגישות, וככזו בוודאי היו הערכות מצב בנושא. אבל האם המוכנות וניהול השגרה היו מספיקות?"
מי מטפל בהתמודדות עם האירוע?
כבית חולים ממשלתי, משרד הבריאות אחראי למקרה והוא שלח אנשי מקצוע מטעמו לטיפול באירוע. כמו כן משתתף במאמצים גם מערך הסייבר הלאומי. בנוסף עליהם דווח על שורת חברות פרטיות בתחום הגנת הסייבר, שהוזעקו למקום. עם זה, באופן חריג ככל הידוע מי שלקח את הובלת הטיפול לידיו הוא משרד ראש הממשלה, מה שיכול להעיד על חומרת האירוע אבל גם לעורר תקווה שידה הארוכה של מדינת ישראל תגיע אל התוקפים.
כמה זמן ייקח לחזור לשגרה?
הרבה זמן. במקרים מקבילים בעולם בתי חולים התרוקנו ממטופלים וחדרי הניתוח עמדו ריקים לאורך שבועות ארוכים. באירוע הנוכחי איש לא מתנבא כמה זמן ייקח לשקם את המערכת ולא סתם.
מה המצב כעת בבית החולים?
לפי דיווחי בית החולים, הטיפול הרפואי בחולים המאושפזים מתקיים באופן שוטף באמצעות מערכות חילופיות. לעומת זה טיפולים אלקטיביים שנקבעו מראש – מבוטלים. מי שמבקש להגיע לטיפול מופנה לבית החולים לניאדו בנתניה.
האם יש חשש שבתי חולים נוספים הותקפו?
ככל הידוע עד כה, לא הותקפו בתי חולים נוספים. עם זה, הסכנה ברורה ומיידית ומערך הסייבר הפיץ התרעה רחבה למשק, עם נתונים שמזהים את תוקפי הלל יפה. אנשי הגנת הסייבר בכל הארגונים נקראים לעדכן את מערכות ההגנה לזהות את הנתונים החדשים. גם משרד הבריאות שלח התרעות לבתי החולים. העצבים של כולם מתוחים.
יורם הכהן, מנכ"ל איגוד האינטרנט הישראלי: "ההתקפה לא הגיעה במקרה לבית החולים. הדרך של התוקפים הייתה התקפה ממוקדת, שסביר להניח ששמה לה ליעד פונקציות בארגון ללא מודעות מספקת לסיכוני סייבר. הלקח לכלל הארגונים הוא לחזק את המודעות של משתמשי המחשב בארגון לסכנות, זאת לצד יישומם של אמצעים טכנולוגיים נדרשים״.
למה הפכו בתי חולים למטרה מועדפת על פושעי סייבר?
רונן מואס, מנכ"ל חברת אבטחת המידע ESET ישראל: "קבוצות ההאקרים מבינות את הרגישות של ארגוני בריאות, בעיקר בתי חולים, ונוטות לחשוב שהם ימהרו לשלם את הכופר כדי למנוע מוות של חולים כתוצאה מהמתקפה. מידע פרטי של מטופלים שווה הרבה לתוקפים – מדובר בנתונים סודיים ואישיים במיוחד שאפשר למכור בקלות. עומס העבודה וההגבלה במשאבים מייצרים מצב שנעשות פשרות על חשבון אבטחת המידע של הנתונים הרפואיים כך שלתוקפים העבודה קלה יותר. כמו כן, המידע הרפואי צריך להיות פתוח וניתן לשיתוף של הצוותים הרפואיים, כך גם ההאקרים יכולים להשיג גישה. מכשור רפואי נוצר למטרה רפואית כמו ניטור קצב לב או מתן תרופות למשל. המכשור הזה לא נוצר עם חשיבה מקדימה על אבטחת מידע, אלא עם דגש לתפקוד יציב ומציל חיים".
