חופש מידע ושקיפות בישראל

מתקפת הסייבר על מעייני הישועה והכיס הציבורי

אמיתי זיו ואלעד מן

באוגוסט 2023 אירע אירוע סייבר לא פשוט בבית חולים מעייני הישועה בבני ברק, פריצה שהשביתה מערכות שלמות ופגעה בשירות למטופלים. מנהלת בית החולים יצאה בקריאה לחולים לא להגיע. בפועל, בית החולים עבר לעבודה ידנית ולקח לו זמן לא קצר להתאושש מהאירוע.

Image

בנובמבר האחרון שלחנו, עו”ד אלעד מן ואנוכי, בקשת חופש מידע למשרד הבריאות לגבי האירוע בשני היבטים: ראשית, כמה זה עלה לקופת המדינה, בשים לב שאירוע הסייבר בבית החולים הלל יפה עלה למדינה 36 מיליון שקל.

שנית, האם ננקטו צעדים משמעתיים נגד… מישהו? חוזר מנכ”ל משרד הבריאות מאפריל 2020 קובע אחריות כללית ואישית של מנהל המוסד לאירוע סייבר ודלף מידע פרטי – כפי שאכן קרה במעייני הישועה.

כך כתב מן בבקשת חופש המידע:

ביחס לאירוע הסייבר במעייני הישועה באוגוסט האחרון (2023), נבקש לקבל פירוט של כלל ההוצאות והנזקים שנגרמו לבית החולים ומשרד הבריאות בקשר עם האירוע וניהולו בפירוט של סעיפי הנזק וההוצאה הנפרדים וזאת לרבות כולל הוצאות תוכנה, חומרה ושירותים.

נציין כי האירוע במעייני הישועה היה חמור וכלל גם דלף מידע אישי, רגיש, בעל אופי רפואי.

Image

למרות כל זאת, תשובת משרד הבריאות, ובכן, מקוממת. באשר להוצאות שנגרמו בשל המתקפה הם מסכמים אותן ב-350 אלף שקל שהלכו לחברת IR, אינסידנט ריספונס. אגב מדובר בחברה בשם טן-רוט. ולגבי הליכים משמעתיים, מכל סוג, ובכן, שום כלום. “בירור האחריות על האירוע נמצא בטיפול רשויות אכיפת החוק הרלוונטיות” כתב לנו. משרד הבריאות מגלגל את האחריות. למי בדיוק?

המרכז הרפואי ממערב

CC BY 2.5 Dr. Avishai Teicher Pikiwiki Israel

תוכלו לראות כאן את תגובת משרד הבריאות, הרגולטור הממונה כביכול, במלואה. אירועי סייבר הפכו מחזה שכיח בישראל בשנים האחרונות. מוסדות בריאות הם סחורה חמה עבור פצחנים מכל מיני סיבות, אבל חולשת הרגולטור – משרד הבריאות – ודאי אינה תורמת לחוסן הווירטואלי (נזכיר כי אחרי המתקפה על מעייני הישועה הייתה גם מתקפה על בית החולים הפסיכיאטרי איתנים, ועוד מתקפה על מרכז רפואי זיו בצפת).

בנוסף לכל אלו, גם מידע טכני על המתקפה לא מפורסם, מטעמי סודיות, דבר שפוגע ביכולת של כלל התעשייה ללמוד מהאירוע. “וקטור התקיפה שזוהה הוא גניבת זהות וכניסה עם הזדהות חלשה”, נכתב במענה, “תחקיר האירוע מוגדר כסודי ובשלב זה לא מפורסם”.

אם כבר הגעתם עד לכאן אתם מזומנים להיווכח שהכתובת הייתה על הקיר. בדיון בכנסת ב-2018 יושב המנמ”ר ומפרט את כל מערכות ההגנה שחסרות, ושאין לו משאבים לרכוש. באותו דיון הוא אומר, ובזה נסיים: “...היום יש את הגוגל דרייב המפורסם שדרכו מעבירים נתונים, אבל הוא מערכת לא מאובטחת...”.