אתגרים וסוגיות עיקריות בהגנת סייבר בסקטור הבריאות

אתגרים וסוגיות עיקריות בהגנת סייבר בסקטור הבריאות

This post is also available in: enEnglish (אנגלית)

מאת אור שלום
התקפות הסייבר על סקטור הבריאות התעצמו בעקבות משבר הקורונה. הדו"ח של מחלקת הבריאות האמריקאית והמשרד לזכויות האזרח, שהתפרסם לאחרונה, חשף מאות אירועי אבטחת מידע, שהתרחשו ב-24 החודשים האחרונים (התקפות אלו התבטאו בפגיעה במערכות, זליגת מידע, אירועי כופר ואירועים נוספים). ההתקפות על סקטור הבריאות מוכיחות יכולת של פגיעה, השבתה של מערכות חיוניות, יכולת תקיפה, גניבת רשומות רפואיות ומידע על מטופלים. מגמות אלו, מחייבות הערכה וחשיבה אבטחתית מוכוונת ראיית התוקף ומטרותיו, במטרה לצמצם את משטחי התקיפה האפשריים בסקטור זה. הצורך המתבקש בתפעוליות לצד הצורך בהגנה על משולש אבטחת המידע (C.I.A) למניעת סיכונים, הקשורים בשלמות ומהימנות מידע, זמינות וחשאיותו מעלה לא מעט אתגרי תיכנון. אלה יידונו ממס' כיוונים וזירות שונות.
בידול רשתות במטרה למזער סיכונים רוחביים
לשלב ה-Installation וההתפשטות (בהתאם למודל התקיפה Cyber Kill Chain ודומיו) יש השלכות על יכולת התפקוד הרוחבית של הארגון. לשיטה זו, לפגיעה במחשב של פקידת קבלה בחדר המיון יכולה להיות השפעה רוחבית על הרשתות הניהוליות. השפעות אלה יכולות להתבטא ביכולת פגיעה בתהליכי קליטת מטופלים, עובר בהתפשטות לרשתות תפעוליות ומערכות קריטיות (כדוגמת מערכות רובוטיות בחדרי ניתוח, מערכות מבנה, או אפילו מערכות התומכות את סביבת חדרי הניתוח). כחלק מהיערכות למצבי תקיפה ומשברי סייבר אפשריים ובמטרה להבטיח את אופן התפקוד או יכולת ההתאוששות של המחלקות האחרות, יש לתכנן בידול של אזורים ומחיצות יעודיות. האיזון שבין נוחות, חווית משתמש וצורך תפעולי למול צורכי אבטחה מחייב שילוב של טכנולוגיות, שיסייעו לגשר על תהליכי עבודה בסביבות מבודלות אלו.
כך, לדוגמא תהליך של הפצת עדכונים למס' רב של רשתות מבודלות יכול להיות מייגע ועל כן נדרש פתרון ומענה תפעול נוח. שימוש בדיודה חד-כיוונית, לדוגמא, יכול לאפשר תהליכי תפעול גמישים יותר תוך שליטה בכיווניות המידע (חד כיווני), סוגי הקבצים והפרוטוקולים המותרים וזמני ההעברה.
שליטה ברכיבים מבוססי תקשורת (Over The Air – OTA)
ההצטיידות הטכנולוגית במערכות מתקדמות ורובוטים בעולם הבריאות משפרים את רמת הרפואה. מערכות אלו מבוססות על יכולות אנליטיות, שימוש ב-AI ו-ML (כחלק מתהליכי אופטימיזציה), תהליכי עיבוד מהירים ומיצוי של מרחב ה-Big Data. למערכות אלו קיימת קישוריות OTA בערוצים שונים כדוגמת ה-IoT.
עובדה זו מאפשרת גמישות תפעולית ויכולות ניוד של מערכות בכתלי בית החולים ומחוצה לו בלי להסתבך עם כבילה וחיבורים. כך, בתקופת הקורונה ניתן לנייד בנקל מערכות ממחלקה מסוימת לצורכי טיפול בחולה מאזור מאומתי הקורונה, הזקוק לטיפול או אבחון ייעודי ואינו יכול להגיע למחלקה הייעודית.
מנגד, מהיבטי הסייבר קיים קושי בניטור, ניהול ויכולת שליטה על מערכות אלו, הן בשל הסיבה שכל מחלקה יכולה להצטייד במערכת אוטונומית ללא תלות במשאבי המחשוב וגורמי המחשוב בארגון (לעיתים אף שלא בידיעתם) והן בשל הקושי בניהול רכיבים שונים מיצרנים שונים ופרוטוקולים מגוונים.
המפתח לצמצום סיכונים בזירה זו נעוץ ביכולות טכנולוגיות, חדשות יחסית, לאיתור מערכות בתקשורת מבוססת-IoT (ואף נוספות), לבצע תהליך של רכישה לצורך שליטה, ניטור וניהול (כדוגמת שליטה על תהליכי, זמני ואופן התקשורת, סוגי פרוטוקולים להעברה וכד').

מניפולציות על מערכות ומכשירים רפואיים
במחקר של אוניברסיטת בן גוריון לפני כשנתיים הוכחה יכולת תקיפה מדאיגה. החוקרים הציגו יכולת, המאפשרת להאקרים להתערב בתהליכי סריקות רפואיות בתלת מימד ע"י התערבות והונאה של הרדיולוגיים וזיוף תוצאות רדיולגיות לאבחון סרטן. המחקר הדגים את היכולת של גורם עויין המתערב בתווך התקשורת כ-Man in the Middle – MITM במטרה להוסיף או להסיר בזדון ממצאים רדיולוגים בתצלומי תלת מימד, המשפיעים על תהליך אבחון גרורות סרטן.
יתרה מזאת, המחקר מדגים את היערכות התוקף בבית החולים באופן המאפשר לו לנצל נקודות גישה לתשתיות המחשוב לצורך הטמנת רכיב, המאפשר את ערוץ התקיפה בתווך. הדגמה זו מחזקת את הצורך באיזון מתאים וסינרגיה בין הגורמים האמונים על האבטחה הפיזית ומניעת הגישה לבין גורמי הגנת הסייבר. זאת, במטרה להגדיר יחד את ההגנה על תשתיות המחשוב הקריטיות ע"י ניתוח הזדמנויות ואפשרויות מניפולציה גם במרחב הפיזי (חשוב עוד יותר באזורים ציבוריים – המאפשרים נוחות פעולה ואטרקטיביים בראיית התוקף).

אבטחת מידע על רשומות וסיכוני פרטיות
התוקף מונע ממטרות שונות, לרבות ריגול מסחרי או מניעי פשיעה וכופר. וכך הרצון לגניבת נתונים ומידע ארגוני, בדגש על פטנטים, נוסחאות, רשימות לקוחות, מטופלים ורשומות רפואיות בכלל. מניעי התקיפה הם גם כנגד חברות מחקר (בדגש נקודתי כרגע על טכנולוגיות רפואיות ל-COVID), סטארטאפים רפואיים ועוד.
המאמצים סביב איסוף המידע יהיו ברשת האינטרנט בכלל (כדוגמת שימוש בכלי FOCA וכד') ובמאמצים לתקיפה ממוקדת וגרימה לזליגת מידע גם מתוך הארגון. בסביבה ארגונית דיגיטאלית קיים אתגר משמעותי בגידור (תרתי משמע) של הסיכון ומניעת זליגת מידע רגיש החוצה.
הנחת המוצא בתכנון בקרות כנגד איום זה צריכה להישען על ההבנה, כי מידע שזלג החוצה אינו בר שליטה ארגונית יותר. על כן, יש לשלב פתרונות DLP ובקרות מניעה מתאימות. תחזוק מערכות DLP במערכות ארגוניות גדולות, בשילוב הטרנדים הדיגיטאליים השונים, כדוגמת שימוש במכשירים ניידים גם מחוץ לסביבת הארגון, יוצר אתגר של ממש. בנוסף, הצורך לאנדקס מידע, לשנות ולהתאים לצורכי סיווג וקלסיפיקציה הופכים את האירוע לדינאמי ומורכב. כיום קיימות טכנולוגיות מעניינות, המתבססות על AI ו-ML ופעולות אוטומטיות בתהליך מיפוי של מידעים רגישים (על בסיס דפוסים נלמדים מסביבות שונות) באופן שחוסך משאבים זמן וכ"א לארגון.
כחלק מתהליכי יעילות ארגונית, גמישות ומענה מהיר, גם מוסדות וספקים במגזר הבריאות משתמשים במכשירים ניידים לאחסון, עיבוד, שליפה והעברת נתונים שונים, לרבות העברת מידע על מטופלים. אופן שימוש זה מהווה יעד לתקיפה וחושף את הארגון לרצון התוקף (ותיאבונו) בסייבר. ברור שלעובדה זו יש השפעה על סיכונים עתידיים אפשריים בזירה המשפטית (תביעות אפשריות), ביטוחים ומוניטין של הארגון.
בשנת 2018 פרסם ה-NIST מסמך לאבטחת רשומות רפואיות אלקטרוניות במכשירים ניידים. תהליך כתיבת המסמך לווה גם בניסויי מעבדה (NCCoE) במטרה לסמלץ תרחישי תקיפה מציאותיים אפשריים שונים ולבחון בקרות ושיטות להגנה. כך, דימו החוקרים תרחיש של רופאה המשתמשת במכשיר הנייד הפרטי שלה לצורך העברת מידע קליני על מטופל וכן אירוע אפשרי של מטופל או רופא, השולח מרשם אלקטרוני לבית המרקחת. ההישענות על מכשירים אישיים מאפשרת לא מעט מניפולציות בהיבטי תקיפה והונאה בסייבר.
המסמך של NIST מכוון גם ליישום בקרות טכנולוגיות, הנשענות על ארכיטקטורת אפס אמון אל מול הרכיב, הישות וכמובן גם הרשת בדרישות הצפנה וכד'.
מקורות
ocrportal.hhs.gov
usenix.org
nvlpubs.nist.gov

אור שלום – מומחה לאבטחה וסייבר ויועץ למשרדי ממשלה, תעשיות ביטחוניות והמשק, יועץ בינלאומי לפיתוח עסקי לחברות בתחומי ה-HLS והסייבר ומוביל מרכזי מצוינות ותוכניות הדרכה מתקדמות בסייבר ו-HLS לגופים שונים בסקטור האזרחי, הביטחוני, התעשיות והאקדמיה. בעל תואר שני ובעל הסמכות אזרחיות וממלכתיות בעולמות אבטחת המידע והסייבר. בין היתר, עוסק בייעוץ לגופים וחברות בניהול סיכונים, חדשנות, תיכנון ואפיון מערכי אבטחה טכנולוגיים, מוכנות אבטחתית להתמודדות עם איומים טכנולוגיים (כולל אימוני מנהלים ואימוני Hands on לצוותים הטכניים).


למידע נוסף


הרשמה לניוזלטר

SIMILAR ARTICLES

image provided by pixabay

image provided by pixabay

IoT. Image by pixabay

image provided by pixabay

image provided by pixabay

counter terror tech

image provided by pixabay