האקרים יכולים לפרוץ בקלות למכשור רפואי בבית חולים, להשבית אותו ולדרוש כופר, כך הדגימה היום חברת צ'קפוינט. מכשור רפואי יכול להיות מכונת אולטראסאונד, רנטגן, MRI ושלל מכונות נוספות שמבצעים בעזרתן בדיקות, או מנהלים את התיקים הרפואיים.
בסרטון שמופיע כאן, החברה מדגימה כיצד ניתן לפרוץ בקלות למכונת אולטראסאונד ולשחק בקבצים שנמצאים בה. ההדגמה נעשתה בשיתוף פעולה עם בית חולים בארץ, בשביל להזכיר ולעורר מודעות לכך שיש סכנה של פריצה. למה זה כל כך קל? די פשוט. רבים מהמכשירים הרפואיים האלה הם ישנים מאוד, וכוללים מערכות הפעלה ישנות - חלקן בנות 20 שנה - במקרה הזה, ווינדוס 2000 שאולי לבודדים מכם עוד יש במחשב במשרד או בבית.
אוקיי, אז למה מחשבים ומכונות מיושנים כל כך ועם בעיות אבטחה מחוברים לאינטרנט? בשביל שתוכלו לקבל את תוצאות הבדיקות היישר לרופא, או למי שמנתח אותן, ובשביל שיהיה אפשר לשלוח אותן בין מרפאות בלי שתצטרכו להתסובב עם דיסק שעלול להישחק או ללכת לאיבוד.
אז מה ההאקרים יכולים לעשות? מרגע שיש להם גישה ישירה למכונות האלה - הם די יכולים לעשות הכל. החל מלחבל בתוצאות הבדיקות כדי לשבש אותן, ועד למחיקה שלהן לגמרי מהמחשב. כן, יש מצב שהלכתם לעשות צילום, וכשתחזרו שבוע אחרי תקבלו תוצאה של מישהו אחר, או לא תקבלו צילום בכלל ותצטרכו להצטלם שוב.
אי אפשר יהיה לבצע בדיקות
אבל מה שמעניין את ההאקרים, לפי רומן זאיקין, חוקר סייבר צק פוינט, וכאן מגיע החלק המדאיג הוא שאפשר לחסום את כל הקבצים ולבקש כופר. ברגע שהרופאה או הטכנאית תפעיל את מכונת האולטראסאונד בשביל לשלוף תוצאות או לצלם, היא תקבל הודעה שאומרת "כל הקבצים חסומים. שלחי מיליון דולר לארנק הביטקיון הבא".
זהו. המכונה חסומה. אי אפשר להשתמש בה בכלל והיא הופכת לרהיט יקר ולא שימושי. אפשר רק לשלם את הכופר ולקוות שהם יעמדו במילה שלהם וישחררו את הוירוס (באמצעות קוד שהם אמורים לשלוח), או להעזר במומחי אבטחה כדי לנסות לאפס את המכונה ולשחזר את כל התוכן ששמור בה. שני הפתרונות לא מבטיחים הצלחה.
התרחיש הזה הוא לא דמיוני ולא לקוח מסרטים עם האקרים שמכוסים בקפוצ'ון ירוק. זה כבר קרה בעשרות מדינות ופגעה במערכת הבריאות בבריטניה כאשר וירוס\תוכנת כופר (קראו לזה איך שבא לכם) בשם WannaCry השתולל בעולם במאי 2017. בבריטניה מטופלים נשלחו הביתה, ורופאים נאלצו לעבוד בעזרת דפים ועטים במקום במחשבים, עד שמערכת הרפואית הצליחה להתאושש. מאז היו תקיפות גדולות על בתי חולים באוסטרליה ובסינגפור, ובצ'קפוינט אומרים כי תקיפות כאלה בהקיפים כאלה ואחרים הן ענין שבועי.
אחרי הפירצה הגדולה במאי דווחו כמה פגיעות גם בישראל, אך לא נרשם אירוע בסדר גודל כזה ששיתק את כל המערכת. "בישראל כרגע לא זוהתה אינדקציה של נוזקה במערכות פועלות", סיפר אז ראש הרשות הלאומית להגנת הסייבר בוקי כרמלי. מומחי סייבר בכל זאת הזהירו כבר אז שזה רק עניין של זמן, ורשות הסייבר פירסמה הנחיות לבתי חולים, בנקים וגופים שונים.
בעקבות הפרסום היום אומרים ברשות להגנת הפרטיות כי "מבלי להתייחס למקרה ספציפי, כל גוף במשק הישראלי, ציבורי ופרטי כאחד, המנהל או מחזיק מידע אישי על אנשים חייב בהגנה עליו על פי חוק הגנת הפרטיות. תקנות הגנת הפרטיות (אבטחת מידע), אשר נכנסו לתוקף בשנה החולפת, מסמנות קפיצת מדרגה משמעותית בכל הקשור לאופן בו מידע אישי מוחזק ונשמר. התקנות מגדירות דרישות ברורות בנוגע לרמת אבטחת המידע הנדרשת מכל גוף וארגון המחזיק במידע אישי בהתאם לרמת הסיכון, היקף המידע ורגישותו.
הרשות אף הודיעה לאחרונה לכלל הגורמים במשק המנהלים מידע אישי, כי עם תום תקופת ההטמעה הראשונית של תקנות אבטחת מידע והחל מינואר 2019, תחמיר את מדיניות האכיפה במקרים של אירועי אבטחת מידע חמורים".
אז מה עושים?
את המחשב בבית ואת הטלפון, כך לפחות אנחנו מקווים, אתם דואגים לעדכן מפעם לפעם בעדכוני אבטחה, או להתקין מערכת הפעלה חדשה. פעם בכמה שנים חלקכם גם משדרגים לגמרי את הטלפון או המחשב. נו - אז למה לא לעשות את זה גם כאן? כי זה יותר מסובך.
ראשית - חלק מהציוד מאוד ישן - ופשוט כבר אין לו יותר עדכוני אבטחה. החברות שייצרו את מערכת ההפעלה לא טורחים להמשיך ולעדכן מערכות ישנות כאלה שהן מאוד נדירות. שנית - זה אומר שצריך להשבית את הציוד, כי זה לא סתם שלוחצים "אישור" שלוש פעמים ומחכים שעה. המחשבים שמפעילים את הציוד הרפואי בנויים בצורה קצת יותר מורכבת ולפעמים רק היצרן יכול לבצע את העדכון הזה, מה שאומר שאי אפשר יהיה להשתמש בהן.
אבל יש אנחת רווחה חלקית - ישנם לא מעט מכשירים רפואיים מתקדמים ועדכניים יותר ממה שנבדק, והם פחות פגיעים. יש שלל כלים חיצוניים של חברות אבטחה שונות, שיכולים לאבטח גם את המכשור הרפואי הישן. כמו כן, שאפשר כבר היום לבצע גיבויים והצפנות לבדיקות במכונות הישנות בשביל למזער את הנזקים.