הודעת דוברות הכנסת (ועדת הבריאות)

ראש אגף בכיר במערך הסייבר הלאומי: “הייתה התראה על מתקפת הסייבר בהלל יפה כבר בחודש יוני”; מנהל בית החולים – לא הייתה אלינו פנייה; בעת המתקפה פעלנו בשיתוף פעולה עם כלל הגורמים”

ועדת הבריאות בראשות ח”כ עידית סילמן קיימה דיון בנושא היערכות והתמודדות מערכת הבריאות עם מתקפות סייבר, בעקבות מתקפת הסייבר על המרכז הרפואי הלל יפה בחדרה בחודש שעבר.

במהלך הדיון חשף ארז תדהר, ראש אגף בכיר במערך הסייבר הלאומי כי כבר לפני מספר חודשים הייתה התראה ממוקדת אודות מתקפה צפויה על בית החולים: “המתקפה הייתה ממוקדת על הלל יפה אבל כבר ביוני הוצאנו התראה ממוקדת על מספר גופים במדינת ישראל ביניהם הלל יפה הם קיבלו התראה והנחיות איך להתגבר על החולשה”. עוד התייחס תדהר לסמכויות שיש קיום למערך הסייבר כלפי גופים שונים ואמר: “הארגונים הקריטיים לתפקוד כמו בנקים ובתי חולים לא מוגדרים היום כתשתית מדינה קריטית וכאן מערך הסייבר לוקה בחסר. אם היו- ואני אומר זאת בזהירות, כנראה שתקיפה כזאת לא הייתה מתרחשת. עוד לא ראינו מתקפה מאסיבית שהצליחה על תשתית מדינה קריטית בישראל. אני מקווה שמקבלי החלטות במדינה יבינו שאי אפשר לתת לגוף כמונו אחריות על גופים כאלה ללא סמכות”.

מיקי דודקביץ, מנהל המרכז הרפואי הלל יפה אמר כי לא הייתה פנייה לבית החולים ממערך הסייבר והוסיף: “מדובר באירוע לאומי על כל המשמעויות בכך, והטיפול בו לא היה נתון להחלטות בית החולים. בזמן אמת היה שיח מאוד נכון ופורה עם הגורמים הרלוונטיים בנושא. ההוצאות שלנו בשנים האחרונות על תחום הגנת הסייבר היו גבוהות מאוד ועברנו את כל בדיקות האבטחה בהצלחה. זה מראה שצריך לשנות תפיסה ולהבין שגם ברמת האבטחה הגבוהה ביותר צריך לדעת שזה יכול לקרות ולדעת להגיב מהר. ההתמודדות ויכולת התפקוד של בית החולים במתקפה האחרונה הייתה טובה, האתגר הכי גדול שלנו כרגע הוא חזרה לשגרה והפקת לקחים מהמקרה”.

ראובן אליהו, מנהל טכנולוגיות ראשי במשרד הבריאות התייחס גם הוא לנושא ואמר: “מדובר במעין מלחמת עולם שלישית. אם פעם כדי לתקוף מדינה היה צריך הרבה כסף, מטוסים, אניות וטילים, היום מספיק באתר אינטרנט פשוט ואפשר לתקוף. התוקפים הם הרבה יותר מהמגנים וזה עסק שהולך ומתעצם. אנחנו נתקלים במעל 100,000 התקפות סייבר בחודש על ארגוני הבריאות ועוצרים אותן. חלקן פשוטות וחלקן מתוחכמות יותר”.

בנוסף, הציג משרד הבריאות בוועדה את הפעולות המבוצעות והתכניות העתידיות בתחום הגנת הסייבר. בין היתר דווח כי המשרד הפיק מסמך “הגבהת חומות הגנת סייבר ארגוני בריאות”  במטרה לצמצם את שטחי התקיפה על ארגוני הבריאות, וכי בסוף דצמבר אמורה לצאת הסדרה של רגולציית יסוד להגנת סייבר במערכת הבריאות, “במטרה ליצור תורת הגנה לגבי כיצד מנהלים אירוע”. לדבריו, יישום התכנית ידרוש את הגדלת המשאבים המוקצים כיום לתחום.

יו”ר הוועדה ח”כ עידית סילמן ביקשה לקבל עדכון אודות התכנית והמשאבים הנדרשים ליישומה בדיון הבא שייערך בדצמבר. עוד ביקשה לבחון את סוגיית ההגדרה של בתי החולים כתשתית לאומית קריטית לצורך מתן סמכויות ומשאבים למימון הגנות הסייבר בהם וכן לוודא כי לכל בתי החולים וכלל מערכת הבריאות יש כיום גיבוי לנתונים, למקרב של התמודדות עם מתקפות מסוג זה.

שר הבריאות לשעבר יעקב ליצמן: “בתקופתי כשר לא היו מתקפות סייבר על בתי חולים. צריך להתייחס למה שעתיד להיות. בעלות של 150 מיליון ש”ח אפשר למגן את כל המחשבים ואנחנו צריכים לעמוד על זה בכל מחיר. היום זה אצלו מחר אצל מישהו אחר. בכל בית חולים צריך להיות אדם שאחראי על הסייבר, שכולם יהיו מוגנים”. עוד הוסיף ליצמן והודה “צריך לומר בכנות, אני כשר לא השקעתי בסייבר”.

גורמי המקצוע שנכחו בדיון הבהירו כי התקציב הנדרש לצורך הגנת סייבר גבוה בהרבה מזה שציין השר לשעבר ליצמן. ארי שמיס, מנכ”ל קבוצת אסותא העריך כי לצורך הגנת סייבר רב שכבתית יש  צורך בתקציב של מאות אלפי דולרים עד מיליון דולר לכל בית חולים. לדבריו “בסופו של דבר כשצריך לחלק את התקציב, רוב בתי החולים בוחרים שלא להשקיע את הסכומים האלה”.

איתי בן ארצי ממערך הסייבר הלאומי אמר: “כל מנהל בית חולים עומד בפני הדילמה האם להשקיע את השקל ברפואה או באבטחת מידע והאחריות שלנו כממשלה היא לפרסם את המספרים כדי לעזור למנהלים לקבל החלטות.1 מכל 5 עסקים בישראל חווה מתקפת סייבר. אחד מכל 30 בעסקים חווה גם נזקים שיכולים להגיע למיליונים ועשרות מיליונים של ירידה בהכנסות והפרעות עסקיות. לשאלת יו”ר הוועדה- האם ארגונים בישראל מותקפים יותר ממדינות אחרות ענה הנציג כי “חד משמעית- כן”.

עומר אורבך, ראש מערך הסייבר בהסתדרות הרפואית: “אנחנו מסתכלים מעל 6 שנים בעין מודאגת על הנושא של מתקפות סייבר על בתי חולים. כבר ב-2016 ביקשנו להגדיר את בתי החולים כתשתית לאומית קריטית כדי שיקבלו תקציב להטמעת תשתית להגנה ממתקפות סייבר. כרגע מדובר במתקפות כופר קלו אבל זו קריאת השכמה לכולנו, כדי לא להגיע למצב שאנשים ימותו בגלל זה צריך תקציבים שנתיים שרק יעלו עם השנים”.