הסכנה המאיימת על בתי החולים: האקרים עלולים לפרוץ למכשור רפואי חיוני

זהו הסיוט הגדול ביותר של כל בית חולים. באחד הלילות, נכנס הרופא התורן לביקורת שגרתית באחד החדרים במחלקת טיפול נמרץ. לצד מיטתו של המטופל המורדם, ניצב המוניטור והציג את הפרמטרים החיוניים של המטופל: א.ק.ג, קצב נשימות, דופק, רמת חמצן בדם וכדומה. הכול נראה בסדר. לפתע, כמעט בבת אחת, החלו הנתונים להשתולל. נראה היה שהמטופל נכנס למצב קריטי המחייב התערבות דחופה. מספר שניות לאחר מכן, הופיעה על צג המוניטור הודעה מאיימת במיוחד: "המכשיר נעול - עד לתשלום כופר".

תרחיש אימים זה, למרבה המזל, לא התרחש בפועל - אך הוא אפשרי ביותר. לראיה, חברת הסייבר הישראלית קלארוטי (Claroty), המתמחה בהגנה על תשתיות קריטיות ובכלל זה בתי חולים, הדגימה מול קהל כיצד ניתן להשתלט על מוניטור של חולה, לסלף את הנתונים, ואף לנעול את המכשיר כחלק ממתקפת כופרה.

צוות המחקר של החברה, Team82, שאחת ממשימותיו היא לזהות חולשות במערכות תפעוליות קריטיות כדוגמת מכשור רפואי, הדגים כיצד ניתן להשתלט מרחוק על מוניטור רפואי מדגם CS8000 של חברת Contec הסינית. זוהי חברת מכשור רפואי גדולה ומוכרת, שהמכשור שלה נמכר בכל העולם, לרבות ארה"ב ואירופה.

צוות המחקר רכש ב-eBay את המוניטור, במטרה לבצע "הנדסה הפוכה" וללמוד את חולשותיו. במהלך פירוק החומרה, הם איתרו את רכיב הקושחה (firmware) של המכשיר. זהו רכיב ליבה המתווך בין רמת החומרה לרמת התוכנה, וב-CS8000 תפקידו הוא להעביר את נתוני החולה הגולמיים מהחיישנים אל ממשק הצג.

חוקרי Team82 גילו ברכיב חולשה מסוכנת הטמונה בכך שהוא מבצע עדכונים באמצעות תקשורת אלחוטית לא מאובטחת. החוקרים הדגימו כיצד באמצעות התחזות לכתובת ה-IP שעמה אמור המכשיר לתקשר, הם התקינו בקושחה קוד שאיפשר להם לסלף מרחוק את נתוני הצג ואף לנעול את המכשיר. כמובן שסוג כזה של מתקפה עשוי לסכן באופן חמור את חיי המאושפזים.

בתי חולים: יעד מספר אחת של תוקפי הסייבר

מדאיג לגלות כי מגזר הבריאות הפך בשנים האחרונות למטרה השכיחה ביותר של מתקפות סייבר. לפי דו"ח של ה-FBI, היקף המתקפות על ארגוני בריאות הנו כפול מהיקף המתקפות על ארגונים פיננסיים. החשיפה של בתי חולים למתקפות סייבר נובעת גם מהדיגיטליזציה של המידע הרפואי, שנשמר כיום במערכות מידע ממוחשבות, וגם מהממשק הגובר בין מכשור רפואי קריטי לרשתות תקשורת פנימיות וחיצוניות.

כיום, יותר ויותר מערכות רפואיות קריטיות, כמו משאבות עירוי, מכשירי CT, מוניטורים רפואיים ואפילו ציוד כירורגי, כוללות רכיבי תקשורת, המשדרים וקולטים מידע. הקישוריות הזו הופכת את המכשירים לחכמים ויעילים יותר, אך גם לחשופים למתקפות סייבר.

בשיחה עם "ישראל היום" הסביר סמנכ"ל הטכנולוגיות של קלארוטי, ומי שעומד בראש צוות המחקר Team82, אמיר פרמינגר, מדוע החברה משקיעה רבות בפתרונות הגנה למגזר הבריאות. "בריאות הוא המגזר הכי מותקף. בית חולים הוא תשתית קריטית. כמו מפעל ייצור, בבסיס של בית החולים ישנה מערכת מידע מרכזית, שאליה מחוברים מערכות ומכשירים מסוגים שונים. המערכות המקושרות משפרות מאוד את הטיפול בחולה, אך גם מספקות גישה פוטנציאלית לתוקפים".

רבע מהמכשור הרפואי - בסיכון גבוה

גם בשנה החולפת אירעו מקרים חמורים רבים של מתקפות כופרה על בתי חולים בארה"ב ובבריטניה, ששיבשו את התפעול השוטף של בית החולים והביאו לזליגה של עשרות מיליוני רשומות רפואיות של מטופלים. להערכת קלארוטי, מתקפות הסייבר על בתי חולים עלולות להפוך בשנים הקרובות למסוכנות הרבה יותר, מאחר שהן עשויות לתקוף ישירות את המערכות הרפואיות ששומרות על חייהם של המאושפזים.

לפי דו"ח של קלארוטי, שהתמקד בנקודות התורפה במגזר הבריאות, ב-23 אחוז מהמכשור הרפואי, כדוגמת מכשירי הדמיה, מכשירי IoT קליניים וציוד רפואי לחדרי ניתוח, קיימת לפחות חולשת אבטחה אחת ידועה.

אחת מפרצות האבטחה החמורות נובעת מהממשק המסוכן בין הרשתות האלחוטיות הציבוריות לבין המערכות הרפואיות הקריטיות. לפי הדו"ח, ל-22 אחוז מבתי החולים יש מכשירים מחוברים המגשרים בין רשתות אורחים, המספקות למטופלים ולמבקרים גישה לאינטרנט אלחוטי, לבין רשתות פנימיות.

תוקף מיומן יוכל לנצל את נקודת התורפה: למצוא במהירות נכסים רפואיים ברשת האלחוטית הציבורית, ולמנף את הגישה כגשר כניסה לרשתות פנימיות שבהן שוכן ציוד הטיפול בחולים. ישנו נתון מדהים נוסף: ארבעה אחוזים מהמכשור הכירורגי – ציוד קריטי שאם יותקף וייפגע עלול לסכן חולים – מתקשר על גבי רשתות אורחים.

פרמינגר מסכם: "עד היום, היעד העיקרי למתקפות היו מערכות המידע האדמיניסטרטיביות, שבהן מנוהלות בין היתר הרשומות הרפואיות. תוקפים ניצלו זאת כדי להוציא לפועל מתקפות כופרה וגם כדי לסחור במידע רפואי רגיש. להערכתנו, בשנים הקרובות ההאקרים יסמנו כמטרה יותר ויותר מכשור רפואי מקושר. ברגע שזה ייכנס למעגל התקיפה, המצב יהיה מסוכן יותר. לבתי חולים יש מלאי קטן של מכשירים חלופיים, ומאוד קשה לשקם מכשירים שנפגעו. כיום, כמעט בכל בית חולים יש מומחה אבטחת מידע, וישנה מודעות גוברת בתעשייה, אך צריך כל הזמן להדק הגנות ולהיערך לאיומים חדשים".