מגזין

רופאי ארה"ב פוחדים ממתקפות סייבר

מרפאות בארה"ב, שבה חלק גדול מהרפואה היא פרטית, חוששות שהן הפכו ליעד מועדף להאקרים, בשל התיקים הרפואיים המכילים מידע אישי רב, ופרטי כרטיסי אשראי; סקר חדש של ה-AMA בדק עד כמה

מתקפת סייבר, האקרים (צילום: אילוסטרציה)

סקר ראשון מסוגו שנעשה בארה"ב ביוזמת ההתאגדות הרפואית האמריקנית (AMA) מעלה, כי ארבעה מכל חמישה רופאים היו קורבן לוירוסי מחשב, לתוכנות כופר ולמתקפות סייבר שונות במרפאות שלהם, ברמה ששיבשה את העבודה ואולי אף גררה סיכון לבטיחות המטופלים.

הסקר נערך בחודש יולי השנה, בקרב מדגם מייצג של 1,300 רופאים בארה"ב. לדברי הרופאים, הם אינם זוכים לתמיכה ממשלתית מספקת כדי שיהיו אחראים לפרצה שתיווצר, לעניין המידע הנוגע למטופליהם.

ממצאי הסקר העלו, ש-83% מהרופאים שהשתתפו בו דיווחו כי חוו "בתקופה האחרונה" מתקפת סייבר. 55% מהם היו קורבן לפישינג (דיוג) – ניסיון לגנוב ממחשב המרפאה שהם מנהלים מידע רגיש או פרטי כרטיס אשראי על-יד התחזות לאתר אינטרנט שנראה לגטימי. משתמש המקבל מייל מתבקש ללחוץ על קישור, ואז מגיע לאתר מזויף שנועד להשיג ממנו פרטים רגישים.

48% ממשתתפי הסקר דיווחו כי מחשבם הודבק בווירוס והיה ניסיון להחדיר אליו תוכנה זדונית שתשתלט על כל הגישה לקבצים, ותחסום למעשה את התיקים הרפואיים השמורים בו (תוכנת כופר). 3% מהנשאלים שילמו "כופר" כדי להחזיר את המחשב לפעילות.

48% ממשתתפי הסקר דיווחו כי מחשבם הודבק בווירוס והיה ניסיון להחדיר אליו תוכנה זדונית שתשתלט על כל הגישה לקבצים

37% דיווחו לעורכי הסקר כי גילו שמישהו שהם מעסיקים במרפאה ואיננו מורשה לגעת במחשב ניסה בהיעדרם לגנוב מתוכו מידע בריאותי-רפואי אלקטרוני (ePHIי). 12% מסרו כי אתרם או מערכת המייל שלהם הותקפה בידי האקרים. 9% מסרו על צורות אחרות של תקיפה ששיבשו את פעילות המרפאה. רק 17% השיבו כי להערכתם לא חוו תקיפה כלשהי ו-5% אמרו שאינם יודעים אם היו מטרה לתקיפה כזאת.

בתשובה לשאלה אחרת בסקר השיבו 55% מהרופאים שהשתתפו כי הם מודאגים מאד (20% מהם "מודאגים באופן קיצוני" כהגדרתם) מתוצאות תקיפה כזאת. 30% - "מודאגים במידה מתונה".

74% הביעו דאגה מפני תקיפה הרבה יותר נרחבת והרבה יותר הרסנית בעתיד, שתשבש את פעילותם הרפואית. הם הביעו חששות שגורם זר ינסה לחבל בעבודתם ויעשה מניפולציות במחשביהם ו-53% הביעו חשש שכל זה יפגע בבטיחות המטופלים. 34% הביעו חשש שהמוניטין שלהם ייפגע ו-32% שמתקפה קשה גם תעלה להם כסף – בדרישת כופר או כאשר הגורם התוקף יגנוב מהם מידע פיננסי. ל-6% ממשתתפי הסקר לא היו תוכנות גיבוי ו-25% הביעו חשש שגורמי אכיפה ממשלתיים עלולים לקנוס אותם על התנהלותם. על-פי החוק האמריקני מ-1996 מידע בריאותי אלקטרוני נדרש להיות מוגן.

64% דיווחו כי מערכת המחשב שלהם נפלה לפחות למשך 4 שעות בעקבות מתקפת סייבר, 20% ל-7-5 שעות ו-12% - עד ליומיים. 4% דיווחו שהמערכת שותקה ליותר מיומיים.

על השאלה כיצד הרופאים הגיבו לתקיפת סייבר שחוו – 65% מסרו כי יידעו את עמיתיהם ואת כל הגורמים שעמם הם קשורים בקשרי-עבודה. 61% גם דיווחו על כך לעובדיהם. 56% טרחו לדווח גם לגורמי ממסד רפואי-בריאותי הקשורים עמם (למשל: החברות המבטחות או ארגונים כמו מדיקר). 8% נאלצו לדחות עקב המתקפה שחוו תורים של מטופלים.

לממצאי הסקר הזה יש השלכות גם לעניין השימוש ברפואה מקוונת. 33% מהמשתתפים הביעו רצון לאמץ טכנולוגיה זו, כמו רפואה מרחוק (טלה רפואה). 21% רוצים לאמץ טכנולוגיה זו רק בעוד שנתיים ו-14% רוצים להמתין עד 5 שנים, בעיקר כדי להיות בטוחים באמינותן של טכנולוגיות אלו בכל הנוגע למידע רפואי.

עד כה, ציינו עורכי הסקר, המידע שנאסף בו הוא ראשון מסוגו שבחן לעומק את הנושא הרגיש ושעד כה מיעטו משום-מה לשמוע את התייחסות הרופאים עצמם לעניין. נראה כי הממצאים יעוררו דיון ער בשאלה כיצד להבטיח הגנה מרבית על מטופלים, במיוחד כאשר מערכת הבריאות נעשית מורכבת יותר-ויותר, הרבה יותר מקושרת דרך מחשבים ולכן רגישה מאד למתקפות של פושעי סייבר. בארה"ב, שבה רבות מהמרפאות המעניקות שירות הן פרטיות, ההגנה עליהן הופכת למסובכת מאוד.

ההוצאה השנתית של מרפאה המעסיקה 9 רופאים, למשל, על ביטחון מידע ומחשבים יכולה להגיע לרבע מיליון דולר

"חשיבות המידע המאוחסן במחשבים של רופאים שחולקים אותו לצרכי עבודתם וחיוב הלקוחות עם גורמים קליניים אחרים, שמספרם גדל והולך, עושה אותם למטרה כל כך אטרקטיבית לתקיפות סייבר", ציין ד"ר דיוויד בארב (Barbe), נשיא ה-AMA, "כאשר מתקפה כזאת רושמת הצלחה, מבחינת התוקף יש בכך איום גדול אל בטיחות המטופל".

"החדשות הטובות שעלו מהסקר", הוסיף: "הן שרוב הרופאים חושבים שלשיתוף במידע רפואי אלקטרוני והחלפה בו בין אנשי המקצוע הרלבנטיים יש חשיבות לשיפור הטיפול הרפואי, אבל יש צורך ביתר תמיכה מגורמי הממשל המתאימים, מראשי הסקטור הרפואי, כדי לסייע לרופאים העצמאיים להגן היטב על המחשבים שלהם ולהבטיח חיסיון בכל הנוגע למידע בריאותי".

ביוני השנה, בדיווח שנמסר לקונגרס האמריקני שהקים "כוח משימה לעניין בטיחות סייבר לנושאי בריאות" הודגש, כי בטיחות המידע היא נושא מרכזי בדאגות מערכת הבריאות בארה"ב. מסמך בנושא סימן ומיפה את הסיכונים המצויים במערכות הממוחשבות הנוגעות לטיפול רפואי ועד כמה הן פגיעות ורגישות מאד למתקפות סייבר.

מהסקר של ה-AMA עלה, כי כל המרפאות מצויות בסיכון אבל מי שנמצאות בסיכון גבוה יותר הן מרפאות גדולות-בינוניות, שמעסיקות שורת רופאים שונים, ולא המרפאות הקטנות בהן עובד רופא אחד. הסיכון לתקיפה שלהן גבוה פי שניים מהמרפאות הקטנות.

לתיקים רפואיים יש ביקוש רב, מכיוון שהם מכילים לא רק מספרי כרטיסי אשראי, אלא גם ניתן להשתמש בפרטים האישיים בהם למגוון רחב של הונאות, בכלל זה תביעות מזויפות לתשלומים, השתלת ממצאי בדיקות וסיכומי אבחונים מזויפים. קיים גם חשש – הגם שמעשית הוא עדיין עניין הנמצא באופק הרחוק מאד - שמידע הנמצא בתיק רפואי שנפרץ, עלול להביא לכך שגורם עוין ישתמש בו למשל כדי לשבש מרחוק פעילות של קוצב לב.

על פי תחשיב הנכון למציאות בארה"ב, מרפאות רופאים שהחלו לנקוט באמצעים שונים להגנה מפני מתקפות סייבר - באמצעות תוכנות הגנה מיוחדות ושירותי אבטחה שהם מקבלים מגורמים מסחריים שבכך עיסוקם – דיווחו כי הדבר עולה כסף רב. ההוצאה השנתית של מרפאה המעסיקה 9 רופאים, למשל, יכולה להגיע לרבע מיליון דולר. כשמדובר במרכז רפואי אזורי שבו 50 רופאים ויותר - ההוצאה השנתית עשויה להגיע בקלות ל-400 אלף דולר.

ה-AMA הצביעה על חשיבותה של תכנית לניהול סיכוני סייבר והומלץ לרופאים לאמץ אותה. בעקבות ממצאי הסקר הודיעה ההתאגדות גם כי הגיעה לסיכום עם חברת אבטחת מידע HITRUT  - המאגדת כמה חברות בתחום הזה – והיא תסייע למרפאות קטנות עד בינוניות (מבחינת גודלן) לנקוט בפעילויות הנדרשות בישום אסטרטגיות הגנה על המחשבים שלהן ועל דרכי התקשורת המקוונת עם הגורמים שעמם הן מצויות בקשרי עבודה.  בנוסף, אירגה ההתגדות באחרונה שמונה סדנאות לרופאים ברחבי ארה"ב כדי להדריכם בנושאים אלו.

נושאים קשורים:  מגזין,  סייבר,  מרפאה,  AMA,  תוכנת "כופר",  וירוסים,  ההתאגדות הרפואית האמריקנית
תגובות