ליקויים חמורים בהגנת הסייבר על מכשירים רפואיים ואבטחת המידע הנאגר בהם, כמו גם ביקורת חמורה על ההתנהלות בדיוני ועדת סל הבריאות. כך עולה מדוח מבקר המדינה, מתניהו אנגלמן, לשנת 2021.
דוח המבקר בשנה האחרונה:
נושא מתקפות הסייבר והגנה על מידע רפואי עלה לכותרות במהלך הביקורת, כשבחודש אוקטובר 2021 פרצו האקרים למחשבים ולשרתים במרכז הרפואי הלל יפה שבחדרה. התקיפה הובילה לשיבוש פעילות המרכז הרפואי וגרמה להסטת חולים למרכזים אחרים, מעבר לעבודה ידנית ולא ממוחשבת, מניעת גישה למידע הרפואי של המטופלים ועוד.
4 צפייה בגלריה
חדר המיון בבית החולים הלל יפה. תקיפת ההאקרים שיבשה את הפעילות
(צילום: דוברות בית חולים הלל יפה)
בחודשים ינואר-נובמבר 2021 בדק משרד מבקר המדינה את הגנת הסייבר על מכשירים רפואיים ואבטחת המידע הנאגר בהם, תוך התמקדות במכשירי דימות, בהם רנטגן, MRI, אולטרסאונד נשים ו-CT. הביקורת בוצעה במשרד הבריאות ובמוסדות רפואיים שונים. מתברר שכשש שנים לאחר קבלת החלטות הממשלה בנושא היערכות לאומית וקידום אסדרה לאומית בהגנת הסייבר, לא הוסדרו סמכויות מערך הסייבר הלאומי כלפי היחידות להכוונה מקצועיות במשרדי הממשלה, לרבות במגזר הבריאות.
הדוח מצא כי משרד הבריאות לא השלים את גיבוש הנחיותיו בתחום הגנת הסייבר הכוללות עקרונות יסוד לניהול הגנת סייבר וכלים להתמודד עם אירוע סייבר, והן כלל לא הופצו בין המוסדות הרפואיים. במסגרת ביקורת הרישוי שביצע המשרד במרכזים הרפואיים, הוא לא ביצע בקרה בנושא ההגנה על מכשור רפואי. כמו כן, הוא לא מבצע מעקב סדור אחר תיקון ליקויים שעלו בדוחות הבקרה שביצע בנושא אבטחת מידע, ובכך לא מוודא את אי-הישנותם. המרכז לניטור, לשליטה ולבקרה על אירועי סייבר של משרד הבריאות מאויש חלקית - בשעות מסוימות בימי חול – ועלו פערים מסוימים בפעילותו. כמו כן, הנחיות אגף ציוד רפואי (אמ"ר) במשרד הבריאות שעוסק ברישום מכשירים רפואיים ובמתן היתרי יבוא ושיווק שלהם לארץ אינן נוגעות לצורך בעמידתם בתקני אבטחת מידע.
עוד עלה מהדוח כי לחטיבת המרכזים הרפואיים במשרד הבריאות אין תמונת מצב מיטבית בדבר איכות אבטחת המידע בכל אחד מהמרכזים הרפואיים שבאחריותה.
אשר למדיניות אבטחת מידע במוסדות הרפואיים ועמידתם בנוהלי אבטחת המידע – המוסדות נבדלים ביניהם מבחינת היחס בין מספר עובדי המוסד העוסקים בתחום אבטחת המידע לבין מספר העובדים במוסד: בחמישה מוסדות יש איש צוות אבטחת מידע ל-1,000 עובדים ומטה, ובשלושה יש איש צוות אחד ל-3,000 עובדים; שישה מ-11 מרכזים רפואיים כלליים-ממשלתיים הקצו להגנת סייבר שיעור קטן מזה שקבעה החלטת הממשלה - 8% מההקצאה התקציבית; במועד ביצוע הביקורת לכל המרכזים הרפואיים הממשלתיים לא היה ביטוח סייבר.
קיימים חוסרים מהותיים במערך ההגנה שמוסדות רפואיים הטמיעו ברשת לצורך הגנה על מכשור רפואי ובכלל זה מכשירי דימות, ובחלק מהמוסדות יש שילוב של חוסרים המגבירים את חשיפתם של המכשירים לסיכוני אבטחת מידע
לא קיימות תוכניות להתאוששות מאסון
מתוך 17 המוסדות שנבדקו, לשניים אין תוכנית להתאוששות מאסון (למשל, מתקפת סייבר על תשתיות המוסד הרפואי) או תוכניות להמשכיות עסקית (יכולתו של ארגון להמשיך בפעילותו הרגילה); לשישה אין אתר חלופי זמין לטובת המשך פעילות מערכות המידע במקרה של אסון; 13 מוסדות לא שילבו בתוכניות שלהם להתאוששות מאסון או בתוכנית להמשכיות עסקיות את אופן הטיפול וההתאוששות של מערך המכשור הרפואי.
חמישה מוסדות לא כללו בנוהלי הרכש שלהם התייחסות להיבטי אבטחת מידע במכשור הרפואי, ולאחד אין נוהל רכש כלל; חמישה לא התנו את רכישת המכשור הרפואי בכך שממונה אבטחת המידע יאשר את ביצוע הרכש, ולעיתים מוסדות רפואיים שדרשו בנוהליהם אישור של ממונה אבטחת המידע לצורך הרכש, רכשו את המכשירים בלי שהתקבל אישור לכך.
שישה מהמוסדות לא מיפו את כל המכשירים הרפואיים שברשותם; לא כל המוסדות כללו במיפויים שעשו את מאפייני אבטחת המידע העיקריים של המכשירים; קיימים חוסרים מהותיים במערך ההגנה שהמוסדות הטמיעו ברשת לצורך הגנה על מכשור רפואי ובכלל זה מכשירי דימות, ובחלק מהמוסדות יש שילוב של חוסרים המגבירים את חשיפתם של המכשירים לסיכוני אבטחת מידע.
11 מ-17 המוסדות לא גיבשו נוהל להסדרת עדכוני תוכנה, דבר הנדרש על מנת להבטיח פעולה רציפה ובטוחה של המכשור הרפואי, ועשרה מוסדות לא תיעדו את עדכוני גרסאות התוכנה שביצעו במכשירים רפואיים.
14 מוסדות לא ביצעו מבדקי חדירה שכללו תקיפה של מכשור רפואי, כפי שקבע נוהל משרד הבריאות. שבעה מוסדות לא ביצעו לפחות פעם אחת עדכון של רשימת המשתמשים בעלי הרשאות לוגיות (שם משתמש וסיסמה) למערך המכשור הרפואי; בשני מוסדות יש מכשירי רנטגן ללא בקרת הרשאה פיזית (חדר נעול) ולוגית. בשני מוסדות אין בקרות הרשאה פיזיות ולוגיות על חלק ממכשירי אולטרסאונד הנשים. בארבעה מוסדות רפואיים לא קיימת בקרת הרשאה לוגית בשום סוג של מכשירי הדימות שנבדקו.
במוסד אחד טכנאים חיצוניים מבצעים פעילות תחזוקה ללא ליווי של המוסד הרפואי, ושני מוסדות רפואיים לא החתימו את החברות הנותנות שירותי תחזוקה למכשירים הרפואיים, או את טכנאי חברות אלו, על הסכם סודיות.
מתוך 14 מוסדות המאפשרים ליצרני המכשירים להתחבר למכשירי דימות מרחוק, מוסד אחד לא הסדיר את אופן ההתחברות מרחוק באמצעות נוהל, ושניים לא ביצעו ניטור של ההתחברות מרחוק – למשל, באמצעות רישום הפעולות או הקלטת ההתחברות. לשבעה מ-12 מהמוסדות שהוציאו מכשור רפואי לתחזוקה מחוץ למוסד, לא היה מידע מדויק בנוגע למספר המכשירים שהוצאו לתחזוקה ולזהותם.
לפרק המלא - לחצו כאן
היעדר שקיפות בדיוני ועדת סל התרופות
בחודשים נובמבר 2020 עד אוקטובר 2021 ערך מבקר המדינה ביקורת בנושא הרחבת סל שירותי הבריאות – תוספת תרופות וטכנולוגיות. במסגרת זו נבדקו סוגיות הנוגעות להליך ההוספה של תרופות וטכנולוגיות חדשות לסל; שקיפות הפעילות של ועדת הסל ושל גופים הקשורים אליה; תמחור התרופות והטכנולוגיות והסכמי חלוקת סיכון; הפקת לקחים מאופן ביצוע החלטות ועדת הסל ובקרה בנושא.
תפקידה של ועדת הסל הוא לבחון תרופות וטכנולוגיות חדשות ולהמליץ לשר הבריאות על אלו שיש להוסיף לסל במסגרת התקציבית הנתונה. בשנים 1998 עד 2021 הוקצבו במצטבר כ-8 מיליארד שקל להרחבת הסל. התהליך לעדכון הסל מעוגן בנוהל שמטרתו לקבוע את סדרי העבודה, את הרכבה של ועדת הסל ואת אמות מידה שלפיהן תפעל.
במשך השנים בוצעו כמה ניסיונות לעגן בחוק את מנגנון העדכון של המקדם הטכנולוגי. במרבית השנים שיעור התוספת השנתית לסל לצורכי עדכון טכנולוגי מכלל עלות הסל היה קטן מכפי שהמליצו הוועדות שעסקו בכך: ב-21 מתוך 24 השנים שבין 1998 ל-2021 היה שיעור התוספת קטן מ-1.5% - הרף התחתון שעליו המליצו הוועדות שעסקו בכך. בארבע מ-24 השנים הללו הוא היה קטן מ-0.8% - השיעור שוועדת גרמן הגדירה כהכרחי לשמירה על איכות שירותי הרפואה הניתנים במסגרת הסל.
4 צפייה בגלריה
חברי ועדת סל התרופות 2021. "שיעור התוספת השנתית לסל לצורכי עדכון טכנולוגי מכלל עלות הסל היה קטן מכפי שהמליצו הוועדות שעסקו בכך"
(צילום: מוטי קמחי)
מ-2015 ועד סיום הביקורת באוקטובר 2021 לא התקבלו החלטות ממשלה בנושא עדכון סל השירותים בדבר התוספת השלישית לחוק, המתייחסת לשירותים שבאחריות משרד הבריאות לספק לתושבים. האישור לכך, שהסכום המוקצה להרחבת הסל ישמש גם למימון תוספת זו, ניתן בכל שנה בדיעבד, בעת שהממשלה מאשרת את המלצות ועדת הסל. בכל אחת מהשנים 2021-2015 יועדו בממוצע כ-2.5% מהתקציב השנתי המוקצה לתוספת לסל שירותי הבריאות, למימון שירותים הכלולים בתוספת השלישית; ובסך הכול בתקופה זו גדל התקציב עבור התוספת השלישית בסכום כולל של כ-74 מיליון שקל.
חוק ביטוח בריאות ממלכתי קובע, בין היתר, את השירותים הרפואיים שחברי קופות החולים בישראל זכאים לקבל, ושנכללים בסל שירותי הבריאות. הרחבת הסל מאפשרת להוסיף תרופות, מכשירים רפואיים, ציוד רפואי ופרוצדורות רפואיות – והיא נועדה לאפשר להמשיך למלא את המטרות העומדות בבסיס החוק, לממש את האפשרויות הגלומות בתרופות ובטכנולוגיות אלה ולתת למטופלים שירות התואם את ההתפתחויות האלה.
בדוח עלה כי מודל השקיפות בהרחבת סל שירותי הבריאות לוקה בחסר: פורום טכנולוגיות דחה בשנים 2021-2018 46% מהבקשות להכללת טכנולוגיות שאינן תרופות, ו-9% מהבקשות להכללת תרופות, אולם הפרטים בנוגע לדחיות אינם מובאים לידיעת ועדת הסל, לכן לוועדה אין תמונת מצב מלאה בנוגע לבקשות שהוגשו, וגורמים שתהליך הרחבת הסל נוגע להם לא יכולים להסיק מסקנות בנוגע למאפייני הבקשות שנדחו.
כל חבריה של ועדת המשנה הם נציגי ממשלה ונציגי קופות החולים, ולא משתתף בה נציג ציבור. גם עיתונאים אינם מורשים לנכוח בדיוניה, אף שהם נוכחים בדיוני ועדת הסל. בנוסף, הפרוטוקולים של הוועדה אינם מתפרסמים לציבור.
הפרוטוקולים של דיוני ועדת הסל מתפרסמים בעיכוב, שמשכו בשנתיים האחרונות היה 109 עד 160 ימי עבודה, דבר הגורם לפגיעה בשקיפות ועלול להקשות על מגישי ההצעות שנדחו להגיש בקשות חוזרות מעודכנות.
הנהלים קובעים כי יש להגיש הערכה כלכלית לבקשה להוספת התרופות והטכנולוגיות לסל. בפועל, ועדת הסל מקבלת את החלטותיה על בסיס הערכה מקצועית שאינה כוללת הערכה כלכלית, וזאת להבדיל מהמקובל במדינות מתקדמות בעולם. בשנתיים האחרונות הוגשה לוועדה הערכה כלכלית אחת בלבד.
הביקורת מתייחסת גם להערכת מספר המטופלים הצפוי לפי רישומי המחלות. אף שרישומי המחלות עשויים לשמש מאגר מידע חיוני לצורך הערכה מבוססת של מספר החולים במחלות הרשומות ושל שלבי התפתחותה של המחלה, אין בידי הרשמים כלי אכיפה או יכולת להטיל סנקציות על גופים שלא מקיימים את חובת הדיווח שחלה עליהם. כפועל יוצא מכך, המאגרים הלאומיים לרישומי המחלות, שהוחלט כי יש לנהל לגביהם רישום סדור, אינם בהכרח מעודכנים, ולכן אינם יכולים לשמש מקור אמין להערכת היקף התחלואה ותקצוב אמין של התוספת הספציפית.
ביקורת על תמחור תרופות וטכנולוגיות
נושא נוסף שעלה בדוח הוא בקרת משרד הבריאות על השימוש שעושות הקופות בתקציב הנוסף לסל, והפקת לקחים. משרד הבריאות מסתמך על נתונים שמוסרות לו הקופות לצורך תמחור התרופות והטכנולוגיות בוועדת המשנה, אך לאחר שהתרופות והטכנולוגיות נוספו לסל, הוא אינו בוחן את היקף השימוש בהן.
הדבר עלול לגרום לתמחור תרופה או טכנולוגיה ביתר או בחסר, ומכאן גם לתקצוב על חשבון תרופות וטכנולוגיות אחרות שלא נוספו לסל בשל כך. טיוטת דוח של תקצוב לעומת שימושים הוגשה למנכ"ל משרד הבריאות דאז ב-2018, כעשר שנים לאחר תקופת הבדיקה, ולאחר שלוש שנים, בינואר 2022, פרסם המשרד את הדוח הסופי. רק ב-2021 החל המשרד בבדיקת השנים 2010 ואילך.
הביקורת מתייחסת גם לתרופות אונקולוגיות ולתרופות וטכנולוגיות יקרות במיוחד. מתברר שאף שעלות התוספת ששימשה למימון עשר התרופות והטכנולוגיות היקרות ביותר, גבוהה יחסית לעלות הכוללת (הן מהוות 62% מעלות התוספת כולה, המסתכמת בכ-1.7 מיליארד שקל מתוך כ-2.7 מיליארד), ואף ששיעור התוספת עבור תרופות אונקולוגיות היה 37% מהתוספת לשנים אלו - משרד הבריאות לא ביצע בקרה פרטנית על השימושים בהן ועל התועלות שבהן כדי להפיק לקחים לגבי החלטות עתידיות להוספת תרופות וטכנולוגיות יקרות במיוחד.
לקריאת הפרק המלא - לחצו כאן
תגובות
פורום 5 מיליארד לבריאות: "הממצאים הקשים של מבקר המדינה על הקצאת כמחצית מהתקציב הנדרש לסל התרופות ואי יישום המלצות ועדות המומחים מטעם המדינה, היא למעשה פגיעה קשה ביודעין בבריאותם של אזרחי ישראל. ממשלות ישראל בשני העשורים האחרונים כולל הממשלה הנוכחית, חוסכות בתקציב על גבם של אלפי אזרחים שמשלמים באיכות חייהם, בהידרדרות מצבם הרפואי ועד לאובדן חיים.
"ממשלת ישראל הנוכחית הגדילה לעשות כאשר הובילה מהלך היסטורי וקבעה בקווי היסוד שלה מנגנונים לעדכון קבוע וראוי של סל שירותי הבריאות הממלכתי של אזרחי ישראל, בהתאם לגידול באוכלוסייה והזדקנותה, לקצב התפתחות הטכנולוגיה וליוקר הבריאות. אולם לצערנו שוב חוסר המשילות הוביל לכך שהדרג המקצועי באוצר הכריע בניגוד למדיניות הממשלה ותקצב את מערכת הבריאות בחסר של מיליארדי שקלים שאת התוצאות שלו אנו רואים במסדרונות בתי החולים, בתורים הארוכים לרופאים מומחים, במחסור בצוותים רפואיים ובפגיעה במתן שירותי בריאות הולמים לאזרחי ישראל.
"אנו קוראים לשר הבריאות ניצן הורוביץ ולשר האוצר אביגדור ליברמן: יש בידכם את האפשרות להוביל מהלך היסטורי לשינוי פניה של מערכת הבריאות בישראל ולאפשר לכל אזרח לקבל רפואה טובה שוויונית וצודקת - יישמו את המדיניות עליה חתמתם בקווי יסוד הממשלה ואל תזניחו את החולים.
"כמו כן, אנו קוראים לשר הבריאות ליישם את המלצות המבקר באשר לשקיפות של ועדת המשנה בסל התרופות ומעקב אחר מימוש התקציבים שניתנו לתרופות וטכנולוגיות רפואיות. בתחילת השנה נוכחנו לדעת כי בחינה בדיעבד של מימוש תקציב סל התרופות מלפני עשור הראה כי קופות החולים חסכו מאות מליוני שקלים מתקציבים שהיו מיועדים לתרופות חיוניות עבור אזרחי ישראל".
משרד הבריאות: "לגבי עבודת הוועדה, לצערנו דוח המבקר אינו משקף את העבודה הרבה והתהליך שמבוצע לאורך שנים רבות, ומקובל על הגורמים במערכת הבריאות ומחוצה לה, ומוערך מאד בארץ ובחו"ל. התהליך זכה להכרה בכתבי עת מדעיים מובילים וע"י גורמים אובייקטיבים בינלאומיים כגון ה-OECD.
"לאורך כל השנים, מועצת הבריאות והנהלות משרדי הבריאות והאוצר שיבחו את עבודת הוועדה ואת תוצאותיה, ולראיה סל שירותי הבריאות של מדינת ישראל הינו מהרחבים והמתקדמים בעולם, תוך שהציבור בישראל זוכה לקבל תרופות וטכנולוגיות חדשניות ביותר עבור מגוון רחב של מחלות.
"החל משנת 1999, אחת לשנה, ככל שנקבע על ידי ממשלת ישראל תקציב לצורך הוספת טכנולוגיות רפואיות חדשות לסל, ובהתאם לגובה התקציב שנקבע, מתווספות תרופות וטכנולוגיות רפואיות אחרות לסל השירותים בתהליך שנמשך לאורך השנה הקלנדרית. תהליך קביעת סדרי העדיפויות בטכנולוגיות רפואיות בישראל הינו ייחודי כיוון שמערכת הבריאות בישראל הינה למעשה היחידה בעולם המבצעת תהליך סדור, מדי שנה, בו נעשית הערכה של מספר רב של טכנולוגיות במקביל, בתוך תקציב מוגדר שנתי, בעוד שברחבי העולם נבחנת כל טכנולוגיה באופן פרטני לעצם זכאותה למימון ציבורי וכל טכנולוגיה נשפטת בפני עצמה ואינה נמדדת ביחס לטכנולוגיות אחרות למול תקציב מוגבל ובזמן מוגבל. הגשת בקשות מתאפשרת לכל גורם ציבורי או פרטי.
"מבנה ועדת הסל, נקבע על מנת להבטיח כי החלטות הועדה יתקבלו מתוך ראיה חברתית-ציבורית כוללת, תוך דגש הן על הצד הרפואי והן על ההיבטים החברתיים, הכלכליים, האתיים ועוד, והכל במסגרת המשאבים שהקצתה הממשלה להרחבת השירותים בסל הבריאות. המשרד מקפיד על שקיפות התהליך והעברת המידע לציבור בדרכים שונות, לרבות נוכחות עיתונאים בדיוני הוועדה הציבורית ודיווחים מתוך דיוני הועדה בזמן אמת. בנוסף, באתר האינטרנט של משרד הבריאות מפורסמים בין היתר: רשימת הבקשות המועמדות לסל, עיקרי ההחלטות של דיוני ועדת הסל בסמוך למועד הדיונים, תמלולי הישיבות, נוהל עבודת הועדה, המלצות ועדת הסל, כולל העלות הכוללת והיקף החולים המוערך, חוזרי מנכ"ל רלבנטיים וגילוי נאות של חברי ועדת הסל".
