במחקר שארך שנתיים נמצאו אינסוף פרצות אבטחה כמעט בכל המיכשור האלקטרוני המתקדם, שנעשה בו שימוש בבתי החולים. האם גם אתם נתונים לסכנה בפעם הבאה שתאושפזו או תקבלו טיפול בבית חולים?

מקור: Shutterstock

מחקר שנערך על ידי סקוט אירוון, ראש חטיבת המחשוב של Essentia Health, המפעילה כ-100 מתקנים רפואיים כמו מרפאות, בתי חולים ובתי מרקחת, מציג תמונה עגומה למדי של מצב אבטחת המידע בבתי החולים. במסגרת המחקר ניסו לפרוץ אירוון וצוותו למרבית המכשור הרפואי המתקדם שנמצא בשימוש בבתי החולים. תוצאות המחקר הפתיעו את כולם.

 פרצות שעלולות לעלות בחיי אדם

הצוות גילה שבאפשרותו להשבית לחלוטין חלק מהמכשור הרפואי, להוציא אותו מכלל פעולה ולמחוק את ההגדרות ממכשירים אחרים, מה שעלול לגרום לאנדרלמוסיה בבתי החולים. בנוסף, הצליחו החוקרים לפרוץ למכשירים המשמשים להחדרת טיפות מורפין, תרופות כימותרפיות ואנטיביוטיקה לגוף המטופל; פריצה המאפשרת לפורץ לשנות את המינון של התרופות; הצוות הצליח גם לפרוץ לדפיברילטורים (מכשירי החייאה המחזירים את הלב לפעולה סדירה על ידי מתן שוקים חשמליים) – ע"י חיבור Bluetooth, וכך לשלוט על פעילותו; בנוסף, הצליח הצוות לפרוץ למכשירי רנטגן ולקבל גישה למאגר הצילומים, לשנות מרחוק את הטמפרטורה שבה מאוחסנות מנות דם יקרות (מה שיכול להוביל להשמדת המנות), ולחדור לתיקים הרפואיים האישיים, מה שאיפשר להם לשנות אבחנות רפואיות, תרופות שנרשמו ועוד. פרצה נוספת שהתגלתה אף אפשרה לצוות לכבות מערכות ניתוח רובוטיות (בהן המנתח מפעיל בקרי שליטה שמבצעים את הניתוח עצמו). רק חלק קטן מהמכשירים הרפואיים שנבדקו, היו מאובטחים כראוי בעזרת פיירוול חזק.

אירוון לא חשף את זהות יצרניות המכשירים, משום שהצוותים עדיין מנסים לתקן את פרצות האבטחה, אולם הוא כן חשף את העובדה (הלא-מפתיעה לטעמנו) שלרוב פרצות האבטחה היה מכנה משותף רחב ופשוט: המכשירים אפשרו גישה ללא סיסמה, או אפשרו גישה עם סיסמאות חלשות דוגמת admin ו-123456; בנוסף, הממשקים והשרתים, היו פשוטים ואפשרו לפורץ השתלטות מהירה. למרות שהצוות שפרץ למכשור הרפואי פעל מתוך מסדרונות בתי החולים, אירוון לא שלל השתלטויות מרחוק על המערכות על ידי האקרים, לאחר שאלו יפרצו למכשירי המחשב של הצוות הרפואי וישתמשו בטכניקות כמו פישינג או סוסים טרויאניים. 

הממצאים הפתיעו את בתי החולים

בתי החולים לא היו מודעים לחומרת הבעיה שהעלו החוקרים. הסיבה, על פי אירווין, טמונה בכך שהמכשור הרפואי נבדק מבחינת יעילות, בטיחות החולה ואמינות המכשיר, אבל עמידותו בפני פריצות אינה נבדקת. כתוצאה מכך הוציאו אזהרות מיוחדות הן מנהל התרופות והמזון האמריקאי והן המשרד להגנת העורף וקראו לבתי החולים לבחון מחדש את כל המכשור הרפואי המתקדם שברשותן.

פוטנציאל החדירה למכשור הרפואי המתקדם מעלה חששות רבים: החל מסוגיות של אבטחת מידע וחדירה לרשות הפרט; דרך מעשים פליליים וכלה במעשי טרור; בייחוד במדינה כמו שלנו, פגיעה בבתי חולים, בהם מאושפזים מאות אנשים בכל רגע נתון, עלולה לקרוץ למדינות יריבות או ארגוני טרור.

מיקרוסופט: "מחשבי בתי החולים הם המטרה הבאה של ההאקרים"

02.03.14, 13:49

את האזהרה החמורה פרסמה חטיבת החברה שהייתה אחראית לחשיפת רשת הבוטנטים Citadel. הסיבה לכך: רמת אבטחה נמוכה של מרבית מערכות המחשוב של בתי החולים

ההאקרים סימנו את המטרה הבאה שלהם - מחשבי בתי החולים. כך לדברי המחלקה לפשעים דיגיטליים של מיקרוסופט וחברת אבטחת המידע אגארי (Agari) כפי שדווח באתר הרג'יסטר ביום שישי. הסיבה לכך לדברי המומחים של החברות, היא רמת אבטחת המידע הנמוכה הנהוגה בתחום. הדברים נאמרו במהלך כנס RSA 2014 שהתקיים בשבוע שעבר.

"תחום הבריאות נמצא במצב עגום מבחינת אבטחת מידע", הסביר מנכ"ל אגארי, פטריק פיטרסון. החברה ידועה בתפקידה כחושפת רשת הבוטנטים סיטדל (Citadel) בשיתוף עם מחלקת הפשעים הדיגיטליים של מיקרוסופט. "ביצענו מחקר מעמיק על מנת לבדוק באילו תחומים הארגונים משקיעים הכי הרבה בתחום הסייבר. רשתות חברתיות ובנקים קיבלו את הציון הטוב ביותר, זאת לעומת ארגוני בריאות שקיבלו את הציון הנמוך ביותר", הוסיף פיטרסון.

 

ממעקב שביצעו בחברה אחר אתרי שוק שחור עולה כי מחירו של כרטיס אשראי הוא כ-2 דולר. לעומת זאת, מחירו של תיק רפואי יכול להאמיר ל-60 דולר, מה שהופך אותו למטרה הרבה יותר מעניינת עבור ההאקרים וגנבי המידע. "תיק רפואי יכול לשמש לשורה ארוכה של הונאות עבור מי שיודע כיצד להשתמש במידע", הסביר ריצ'ארד בוסקוביץ', יועץ בכיר במחלקה לפשעים דיגיטליים של מיקרוסופט.

 

תיק רפואי: סייען התחזות

 

הסיבה לכך היא שהמידע שמכיל התיק הרפואי יכול לסייע להתחזות. "ניתן להתחזות בקלות אם אתה יודע את ההיסטוריה הרפואית של בעל המידע. הוא מכיל פרטים כמו צבע שיער, מבנה גוף וגובה למשל. עבור האקר שמתמחה בהונאות מבוססות הנדסה חברתית, זה מאפשר לחדור לבנק, לחנות או אפילו להשיג את פרטי האשראי שלכם", הרחיב בוסקוביץ'.

 

הסיבה להתעניינות של ההאקרים בתחום הבריאות נובעת גם מהמאמצים שעושים ארגונים וצרכנים כאחד על מנת להגן על עצמם. הסיכוי לקבלת מייל מזוייף מארגון בריאות כלשהו, גבוה פי חמש מהסיכוי להונאת מייל מבנק למשל. בסופו של דבר האקרים מחפשים את המטרות שיכולות להכניס להם כסף בקלות ובלי סיכונים מיותרים. לצערנו, מאגרי המידע של ארגוני בריאות הם המטרה המועדפת בימים אלו.

 

דו"ח של חברת אבטחת המידע סימנטק שפורסם בשבוע שעבר מונה את תחום שירותי הבריאות במקום הרביעי מבחינת חשיפה לניסיונות הונאה על ידי פישינג. כמו כן מציינים בסימנטק כי חשיפת מידע רפואי ייצג כ-31% מסך ניסיונות גניבת המידע, כאשר במקום הראשון עם 70% חשיפה נמצאים שמות פרטיים ושמות משפחה.