מדוע האקרים ועברייני סייבר כל כך מעוניינים בגניבת נתוני בריאות?

image provided by pixabay

This post is also available in: English (אנגלית)

ספקית טכנולוגיות הבריאות והמרשמים האלקטרונים MediSecure הייתה נתונה לאחרונה להתקפת כופר חמורה בהיקף גדול אשר ככל הנראה נבעה מ"ספק צד שלישי" והדליפה כמויות אדירות של מידע רפואי אישי. אירוע זה מצביע על רמת הפגיעות החמורה של נתוני בריאות בהקשרי עולם פשעי הסייבר.

למרות שהתקרית מדאיגה, למרבה הצער היא לא מפתיעה – על פי Techxplore, שירותי הבריאות הופכים לדיגיטליים במהירות, עם חידושים כמו רשומות בריאות אלקטרוניות הנגישות למטופל, ניטור מרחוק ומכשירים לבישים. בנוסף, מרשמים אלקטרוניים מכילים מידע אישי כמו שמות, כתובות, תאריך לידה, מספרי מדיקר, פרטים על תרופות מרשם, כמו גם שם, כתובת ומידע אחר.

למרות שהתפתחויות כאלה מגבירות את היעילות הרפואית, משפרות את הגישה של אנשים לטיפול, ומאפשרות זמינות גבוהה של מידע קריטי (כמו מרשמים), הן גם מגבירות את התכיפות של פריצות לנתונים דיגיטליים, בין היתר בגלל היקף המידע העצום. אבל למה האקרים כל כך מתעניינים בנתונים רפואיים?

הסיבות לכך כוללות את נפח הנתונים העצום והחולשות הרבות במערכת, מגמה מתמשכת של תת-מוכנות וחוסר השקעה באבטחת IT במגזר הבריאות, בעיות כוח אדם המובילות לטעויות אנוש, וקישוריות גבוהה בין מכשירים, רשתות ומוסדות. בנוסף, מידע רפואי הינו שימושי במיוחד עבור מתקפות כופר עקב אופיו הרגיש והנתונים הפרטיים שהוא מכיל.

לאחר פריצת מידע עצומה שכזאת מטופלים רוצים לדעת כיצד להגן על עצמם, אך למרבה הצער האמצעים הנפוצים להגנה בעקבות פריצות של נתונים פיננסיים ואישיים לא עובדות עבור נתונים בריאותיים – אדם לא יכול לשנות את מרשמי התרופות או את ההיסטוריה הרפואית שלו כמו שהוא יכול לשנות סיסמה או כרטיס אשראי.

אז מי אחראי על הצרה הזאת? ארגונים המחזיקים בנתונים בריאותיים מודעים לאיום הפריצה המתקרב, ולכן עליהם מוטלת האחריות להגן על עצמם ועל המטופלים שלהם מפניו, לשמור על אבטחת סייבר קפדנית, להגיב במהירות כאשר מתרחשות התקפות, ולדאוג לאמצעי גיבוי כדי לשחזר מערכות במהירות.

יתר על כן, מטופלים כיום נוקטים צעדים נגד חברות שלא הגנו כראוי על הנתונים שלהם. ואכן, החלת הזכות לתבוע על דליפות חמורות של מידע פרטי תחת חוק פרטיות מתוקן היא שינוי חשוב שמשמעותו שאנשים שנפגעו עקב דליפת מידע בריאותי רגיש יוכלו לדרוש פיצוי מהחברות האחראיות.