10 דרכים בהן מידע רפואי מגיע לידיים של פושעי סייבר

גנבים מרוויחים כסף מהמעבר של תעשיית הבריאות לרשומות דיגיטליות. מגמה זאת תימשך ואפילו תתעצם, ככל שהיתרונות של דיגיטליזציה ושיתוף רשומות אלקטרוניות יהפכו משמעותיים יותר

bigstockphoto.com IsraelDefense

קשה יותר ויותר לאבטח מידע רפואי אישי. מספר הפריצות לרשומות רפואיות אלקטרוניות הוכפל בשנה האחרונה, דבר שהסתכם בעלות של 50 מיליארד דולר, כך על פי פורום הפעילות האמריקאי (American Action Forum). יתרה מכך, דוח שפורסם על ידי IDC בתחום הבריאות צופה כי אחת מכל שלוש רשומות רפואיות ייפרצו במהלך 2016.

גנבים מרוויחים כסף מהמעבר של תעשיית הבריאות לרשומות דיגיטליות. כל ארגוני הבריאות התבקשו להטמיע את השימוש ברשומות רפואיות אלקטרוניות עד 2015, כפי שקבע החוק האמריקאי  (ARRA -The American Recovery and Reinvestment Act). מגמה זאת תימשך ואפילו תתעצם, ככל שהיתרונות של דיגיטליזציה ושיתוף רשומות אלקטרוניות יהפכו משמעותיים יותר.

מידע דיגיטלי משפר את איכות הטיפול הרפואי

העובדה שמידע מובנה אודות מטופל הוטמע בתוך מערכות אלקטרוניות, רק משפרת את יכולתם של הרופאים לזהות ולשתף מידע חשוב אודות ההיסטוריה הרפואית של המטופל שלהם. בין אם מדובר בהיסטוריה רפואית, תרופות או סימפטומים, מידע זה בהיותו זמין ברשת, מאפשר לרופאים לגשת לרשומות הרפואיות מרחוק במצבי חירום רפואיים. בנוסף, הדבר מאפשר לרופאים לגשת למידע מלא, מעודכן ומדויק, אפילו כאשר המטופל אינו מסוגל למסור את המידע בעצמו באופן ישיר. כתוצאה מכך, מספר טעויות האבחון מצטמצם וכך גם מספרן של הבדיקות המיותרות, בעוד המטפלים יכולים לבצע החלטות טובות ומהירות יותר.

דיגיטליזציה של מידע רפואי מגבירה את שיתוף המידע בין בתי חולים שונים, ארגוני בריאות ציבוריים, מטפלים וחברות תרופות. איסוף ושיתוף מידע רפואי אלקטרוני משפר את תהליך הגילוי של תופעות לוואי של תרופות ואירועים שיכולים להוביל לאשפוז.

רשומות רפואיות דיגיטליות גם מאפשרות לכלול מידע שנאסף על ידי התקנים לבישים אשר מנטרים מטופלים עם סוכרת, בעיות לב ומצבים רפואיים אחרים. רשומות רפואיות אלקטרוניות ניתנות לשיתוף בקלות יותר עם המטופלים עצמם, דבר שמשפר את ההיענות של המטופלים ויעילות הטיפול בהם.

עם היתרונות -מגיעים גם הסיכונים

ערכו של מידע רפואי אישי ממשיך לעלות בשוק השחור. מידע רפואי הינו מפתה במיוחד להאקרים, משום שהוא כולל יותר פרטים אישיים, דוגמת גובה וצבע עיניים, אשר ניתן לעשות בהם שימוש ליצירת זהויות מזויפות. על פי נתונים של ה- FBI, מידע גנוב של ביטוח רפואי נמכר ב- 60-70 דולר בשוק השחור, לעומת פחות מדולר אחד כשמדובר במספרי זהות.

יתרה מכך, מידע רפואי רגיש משמש האקרים למטרות כופר וסחטנות. סלבריטאים ואישי ציבור שיש להם בעיה רפואית מסוימת או מביכה ישלמו כסף רב, ובלבד שהמידע שלהם לא יגיע לידיים הלא נכונות, ומשם לעיתונות או לרשתות החברתיות. גם אנשים פרטיים ייכנעו לסחטנות  ובלבד שמידע רפואי שלהם לא יפורסם, לעיתים מחשש לדעות קדומות או מפחד שהמידע ישפיע העסקתם בשוק העבודה.

חשוב לציין כי האקרים לא רק מחזיקים אנשים כבני ערובה, הם עשויים להחזיק במוסדות וארגונים שלמים כשבויים. אחד הסיפורים שעלו לכותרות השנה הינו זה של המרכז הרפואי הוליווד בלוס אנג'לס, קליפורניה, אשר הותקף על ידי האקרים. במקרה זה האקרים נעלו את מערכות המידע של הארגון, הצפינו את הקבצים והסכימו לשחרר אותם רק אם בית החולים ישלם להם מיליוני דולרים. באורח פלא כמעט, בית החולים הצליח לשלם 17 אלף דולר בלבד בביטקוין ולהשתחרר מהסיוט. מעבר לעובדה שצוותים רפואיים שמנויים על חיי אדם לא יכלו לגשת למידע קריטי, ניתן לשער כי אחד החששות של בית החולים היה שההאקרים יגנבו את המידע ויעשו בו כרצונם.

הנה 10 הדרכים הנפוצות ביותר דרכן מידע רפואי זולג ומגיע לידיהם של פושעי הסייבר:

1.      על ידי ספק צד שלישי -כל הארגונים שמספקים שירותים לבתי חולים, כולל ייעוץ בתחום מערכות המידע, ציוד רפואי, שרותי מעבדה וכדומה, ויש להם גישה למידע רפואי.

2.      על ידי רופא או צוות רפואי (כולל רופאים שמאשפזים או כאלו שמפנים), קבלנים, סטודנטים ומתנדבים ?סוגים שונים של אנשים שמעורבים בפעילות השוטפת,  החל מאשפוז ועד לשירותים סוציאליים.  האנשים הללו יכולים להפוך את המידע לזמין להאקרים.

3.      האקרים לוקחים מידע רפואי אישי מספקי הענן -שרותי הענן, שמשמשים לגיבוי, אינם תמיד מאובטחים בצורה נאותה.

4.      אימייל שהתקבל על ידי מישהו אחר מהמטופל -האקרים הופכים מתוחכמים יותר ומשתמשים בקמפיינים של פישינג על מנת להתחזות למטופלים ועל מנת לשכנע את עובדי מוסדות הבריאות לגלות מידע רפואי אישי.

5.      מישהו נכנס לתוך שרות שמכיל מידע רפואי אישי -זה יכול להיות חשבון אימייל, יומן ממוחשב או מערכת למענה חירום רפואי.

6.      עובדים שולחים מידע רפואי אישי באמצעות כתובת האימייל שלהם בעבודה -אימיילים ניתנים להצפנה ולפריצה. עובדים לעיתים גם משתפים פעולה עם נוכלי הרשת. לעיתים אימיילים יכולים להישלח על ידי האיש הלא נכון בטעות, והמידע לא בכוונה זולג.

7.      עובדים שולחים מידע רפואי אישי באמצעות הכתובת האימייל הפרטית שלהם.

8.      עובדים שולחים מידע רפואי אישי דרך אתר שיתוף קבצים דוגמת דרופבוקס -לעיתים קרובות מדובר בפתרונות שאינם מאובטחים, בהם נעשה שימוש לשיתוף קבצים גדולים, אשר לא ניתן לשלוח במערכת האימייל הרגילה.

9.      האקר פורץ לאתר האינטרנט על מנת לגנוב מידע רפואי אישי.

10. עובדים שולחים מידע רפואי פרטי דרך אפליקציות של הודעות מידיות (דוגמת סקייפ).

ישנן דרכים שונות ומגוונות דרכן ניתן לשתף במידע רפואי, ומסיבה זאת ארגוני בריאות חייבים לנקוט באמצעים נוספים על מנת להגן על זרם המידע. המערכות שמשמשות לאבטחת העברת מידע צריכות להיות נגישות וקלות לשימוש. אם הן מסורבלות לשימוש, לדוגמה דורשות מהמקבל להוריד תוכנה, עובדים יכולים לעקוף אותן ולשלוח מידע ללא כל סוג של הגנה.

ההשקעה שווה את זה. אם רשומות רפואיות מסווגות מגיעות לידיים הלא נכונות, התוצאות יכולות להיות הרות אסון. פריצה לרשומות רפואיות יכולה להוביל לגניבת זהות, שלאחריה הקורבנות יתבעו את ארגון הבריאות שהותקף. אם הפריצה משפיעה על מטופלים רבים, הרי שהארגון שהותקף עשוי למצוא את עצמו בסיוט משפטי ארוך ואיבוד אמון ומוניטין.

ארגונים צריכים להגן על מידע רפואי אישי ולציית לדרישות רגולטוריות, אך בה בעת לאפשר למטפלים גישה מהירה למידע שנחוץ על מנת לספק טיפול מצוין לחולה. על ידי תקשור ברור של מדיניות אבטחת מידע ועל ידי אבטחה של כל הדרכים השונות בהן מידע יכול לעבור, לארגוני בריאות יהיה סיכוי טוב יותר להימנע מפריצה למידע שלהם ולהפוך לקורבנות למעשי נוכלות.