שני דברים שאני, יאיר, לוקח מהמאמר הזה כלקחים נכון להיום:
1. לפחות בארה"ב, האקרים מסבים את תשומת ליבם מארגוני בריאות גדולים (שכנראה מוגנים יותר)למרפאות קטנות יותר. גם שם יש מידע ששווה לגנוב, וככל הנראה שם קל יותר לפרוץ. האם המצב בישראל דומה?
2. המעבר לשימוש בשירותי ספקים האוגרים אצלם את המידע הרפואי האישי (כדוגמת ספקי שירותי ענן למיניהם), עלול להוות סיכון, שכן פריצה לספק אחד משמעותה עלולה להיות פגיעה באלפי ארגונים המשתמשים בו כספק שלהם.
1. לפחות בארה"ב, האקרים מסבים את תשומת ליבם מארגוני בריאות גדולים (שכנראה מוגנים יותר)למרפאות קטנות יותר. גם שם יש מידע ששווה לגנוב, וככל הנראה שם קל יותר לפרוץ. האם המצב בישראל דומה?
2. המעבר לשימוש בשירותי ספקים האוגרים אצלם את המידע הרפואי האישי (כדוגמת ספקי שירותי ענן למיניהם), עלול להוות סיכון, שכן פריצה לספק אחד משמעותה עלולה להיות פגיעה באלפי ארגונים המשתמשים בו כספק שלהם.
המניין הפדרלי של פגיעה בנתונים רפואיים מראה שעד כה ב-2016 דווחו
יותר תקיפות של האקרים מאשר בתקופה המקבילה אשתקד. למרות זאת, תקיפות אלו כך נראה
לעת עתה, משפיעות על פחות קורבנות מאשר השפיעו מספר קטן בהרבה של מגה-תקיפות שארעו
בתחילת שנת 2015.
תמונת מצב נכון ל-7 ביולי של "קיר הבושה" שבו משרד
הבריאות האמריקני מציג באופן פומבי את כל הפגיעות שבהן נחשף מידע רפואי על 500 או
יותר אנשים (באירוע בודד), מראה כי עד כה היו 43 דיווחי פריצה/אירועי IT המשפיעים
על סך של כ-2.7 מיליון בני אדם ב-2016.
לשם השוואה, במהלך אותם החודשים בשנת 2015, תועדו 37 דיווחים על
אירועי פריצה ב"קיר הבושה", אבל למרות המספר הנמוך יותר של פגיעות, מספר
הקורבנות היה גדול בהרבה: 93.2 מיליון בני אדם. כמעט פי 35 ממספר האנשים שנפגעו
ממספר פריצות האקרים גדול יותר בחציון הראשון של 2016.
מדוע ההבדל גדול כל כך? במהלך המחצית הראשונה של 2015, ספג מגזר
הבריאות בארה"ב מספר פריצות בגין תקיפת האקרים גדולות, ביניהן שתי הגדולות
ביותר עד היום: על חברת Anthem שפגעה ב-78.8 מליון, ועל Premera
Blue Cross שפגעה ב-11 מליון
אנשים.
שינוי מגמות?
השינוי באירועי תקיפת ההאקרים מגלה מגמה חדשה, כך לדברי מספר חוקרי
אבטחה ופרטיות.
לדברי דן ברגר, מנכ"ל חברת הייעוץ לאבטחה Redspin, "מעניין ומדאיג
הוא, כי אופי ההתקפות הללו השתנה", ומוסיף, "במקום ההתקפות בקנה מידה
גדול (בחסות מדינה) על מבטחים כפי שראינו בשנת 2015, נראה כי אתרי טיפול ראשוניים
ומרפאות מיוחדות – מרפאות כף רגל (podiatry), מכוני דימות, מכוני אונקולוגיה, מרפאות טיפול בכאב – הופכים ליעדי המתקפות השנה. מה שאני מבין מזה שיותר
שחקנים מקומיים וגונבי זהויות נוטים להיות מעורבים - וכי הביקוש בשוק השחור למידע
רפואי אישי נשאר חזק".
לדברי עו"ד לפרטיות דוד הולצמן, סמנכ"ל ציות בחברת CynergisTek חברת ייעוץ אבטחה
אחרת, "ישנם גם גורמים אחרים שתרמו לעלייה במספר תקריות שנגרמו ע"י
האקרים. מקורות רבים בתעשייה רואים מגמות ברורות של עלייה במספר הדיווחים של התקפות
זדוניות מוצלחות אשר מסתננות לתוך מערכות מידע שבהן נאגר מספר רב של רשומות רפואיות.
האם המגמות הנוכחיות הנן התוצאה של מספר רב יותר של התקפות מוצלחות, או העלייה
במספר הדיווחים הנה בשל ערנות מוגברת ועלייה ביכולת האתור של אירועי הפריצה?"
עד כה ב -2016, אירוע הפריצה הגדול ביותר למידע רפואי שמקורו
בתקיפת האקר דווח בחודש מרס ע"י 21ST Century Oncology. האירוע הזה - שהוא גם הגדול ביותר של כל הפרות HIPAA שתועדו
עד היום בשנת 2016 ב"קיר הבושה" השפיע על 2.2 מיליון יחידים.
חמשת הפריצות הגדולות ביותר בשנת 2016 שמקורן
בתקיפות האקרים ואשר חשפו מידע רפואי אישי
הישות שנפגעה
|
# היחידים שמידע אודותם נחשף
|
21ST Century Oncology
|
2.2 מליון
|
Southeast Eye
Institute, P.A dba eye Association of Pinellas *
|
87,314
|
Medical Colleagues of Texas
|
68,631
|
Alliance Health Networks, LLC
|
42,372
|
Stamford Podiatry Group, P.C *
|
למה לצפות?
בהחלט ייתכן, כי עד לסוף השנה, יתווסף מספר גדול של אירועי תקיפה
שמקורם בהאקרים ל"קיר הבושה".
לדוגמה, לא הוסיפו ל"קיר הבושה את תקיפות תוכנת הכופר שהתרחשו
בתחילת השנה. אין ביטחון שאירועים אלו דווחו למשרד הבריאות האמריקני בגלל חוסר
בהירות ששרר האם תקיפות אלו נכללות בדרישת הדיווח. בין אותם האירועים נתן להזכיר
את התקיפה על המרכז הרפואי בהוליווד שדיווח ששילם כופר בסך 17,000 דולר כדי לשחרר
את הרשומות הרפואיות שלו שהוצפנו באותה התקיפה.
בין אירועי התקיפה שמקורם בהאקרים שדווחו ע"י לפחות 17
ארגונים שונים, ישנה תקיפת סייבר אחת על ספק שרותי ענן לרשומות רפואיות המשותף
שלהם, חברת Bizmatics. http://prognocis.com/
עד עתה, קרוב ל-264,000 יחידים הושפעו מתקיפת הסייבר על חברת Bizmatics. החברה מדווחת באתר
האינטרט שלה כי בתוכנת הרשומות הרפואיות שלה PrognoCIS משתמשים מעל 15,000
עובדי מקצועות הרפואה, מספר מומחי אבטחה מעריכים כי יישויות נוספות עשויות לדווח
על פגיעה ביחידים המקושרים ל- Bizmatics. Bizmatics היא שותף עסקי כהגדרתו בחוק ה-HIPAA.
לדברי דן ברגר, "ללא ספק, ניהול סיכוני ספקים הנו אחד האתגרים
הקשים שארגון החייב
ב-HIPAA נדרש להתמודד אתו. שיתוף מידע הנה אבן הפינה של רביות מהיוזמות בתחום טיפול שמתמקד בחולה, כאשר הטכנולוגיה הנה המאפשרת. בה בעת, כל חולית חיבור בשרשרת הנה פוטנציאל לחולשה.
ב-HIPAA נדרש להתמודד אתו. שיתוף מידע הנה אבן הפינה של רביות מהיוזמות בתחום טיפול שמתמקד בחולה, כאשר הטכנולוגיה הנה המאפשרת. בה בעת, כל חולית חיבור בשרשרת הנה פוטנציאל לחולשה.
מבט רחב יותר מציעה רבקה הרולד, יועצת בתחומי פרטיות, אבטחת מידע
וציות http://www.privacyguidance.com/index.html
לדבריה, "קיר הבושה" איננו מספק את התמונה המלאה של כל
המגמות בהקשר למידע רפואי. כאשר לוקחים בחשבון את העולם הרחב יותר של תקיפות על
מידע, מעבר למרחב הרפואי הרגיל, וגם את המיקומים הנוספים שבהם מידע רפואי אישי
מצוי, כדוגמת, מכשור רפואי בבעלות אישית, אינטרנט של הדברים (IOT), גופי צד ג' ומעבר
להם, אזי לדעתה קיימת פעילויות תקיפה רבה יותר מאשר בעבר. יחד עם ריבוי גישה בלתי
מורשית, אובדן וגניבה של מכשירים יותר מבעבר, כאשר מתחשבים בעובדה שיש לנו יותר
מידע מאשר אי פעם בעבר, יותר מחשוב ואמצעי זיכרון ומוטיבציה גדולה יותר לשימוש
זדוני במידע אישי שערכו רק הולך וגדל בידי פושעים.
פריצות אחרות
החל מספטמבר 2009 (תחילת התיעוד ב"קיר הבושה") ונכון ל-7
ביולי 2016, תועדו בו 1,600 פגיעות במידע רפואי-אישי המשפיעות על כ-159 מליון
יחידים, כולל 141 פגיעות המשפיעות על 4.48 מליון יחידים שתועדו עד כה ב-2016.
חמשת הפריצות הגדולות ביותר בשנת 2016 שבהן נחשף מידע רפואי אישי
הישות שנפגעה
|
סוג הפגיעה
|
# היחידים שמידע אודותם נחשף
|
21ST Century Oncology
|
האקינג/אירוע IT
|
2.2 מליון
|
Radiology Regional
Center
|
אובדן נייר/צילומים
|
483,063
|
California
Correctional Health Care Services
|
גניבת מחשב נייד
|
400,000
|
Premier Healthcare
|
גניבת מחשב נייד
|
205,748
|
Community Mercy Health Partners
|
השמדה לא נאותה של נייר/צילומים
|
113,528
|
פגיעות בשותפים עסקיים
כ-20% מכל הדיווחים המתועדים ב"קיר הבושה" מתעדים
מעורבות של שותף עסקי כהגדרתו ב-HIPAA. מומחים צופים עלייה באחוז זה, כיוון שעדכון לחוק ה-HIPAA משנת 2013, הפך את
השותפים העסקיים אחראים ישירות לציות ל-HIPAA.
לדבריה של הרולד, "ככל שהמודעות לאיומים לאבטחת המידע
ולפרטיות עולה, כך גם המודעות לסיכונים בתוך סוגי הארגונים השונים. מבחינה
היסטורית ראיתי שותפים עסקיים שחוו פריצה אליהם ולא הבינו שאלו פריצות, ועל כן לא
דיווחו עליהן, למרות שהומלץ להם לדווח. אני גם רואה יותר ישויות מכוסות המעבירות
חלק גדול יותר מפעילותן כולל אלו המערבות רשומות רפואיות עם מידע אישי, למיקור חוץ.
לאור כל זאת, אני מאמינה ששותפים עסקיים, כולל קבלני המשנה שלהם מהווים איום
גדול יותר ליישויות המכוסות (בחוק ה-HIPAA)
מאשר אי פעם בעבר".