תיק רפואי אלקטרוני שנגנב נסחר תמורת 50 דולרים לתיק בשוק השחור, בהשוואה למחיר של דולר אחד בלבד למספר כרטיס אשראי גנוב.
נסו לדמיין לעצמכם “מיטות חכמות” שיכולות לזהות באופן אוטומטי מה מצבו של החולה, מתריעות על הרעה במצבו או עוקבות אחר איכות השינה שלו. נסו לחשוב למשל על פריטי לבוש או שתלים, המודדים באופן רציף את המדדים של המטופל בזמן אמת ומתריעים על תופעות חריגות לצוות הקליני המתאים. תוסיפו לזה משאבות אינפוזיה, המחוברות לרשת האינטרנט, מכונות הדמיה, חיישני גלוקוז בדם ועוד מגוון עצום של מכשירים שיכולים לשתף נתונים יקרי ערך בזמן אמת עם התיק הרפואי האלקטרוני של החולה ואז תוכלו לנסות להבין את ההשפעה העצומה שיכולה להיות לאינטרנט של הדברים (Internet of Everything) גם על מערכת הבריאות שלנו. זהו עולם הדיגיטל החדש (Digitalization). הכל מחובר להכל וכמויות מידע עצומות העוברות ברשת התקשורת המחברת את העולם הישן אל העולם החדש.
כיום בבתי החולים מכשירים רבים המחוברים לרשת. רופאים ואחיות רבים כבר עברו מנייר לטאבלטים מבוססי Wi-Fi, אך המטרה היא לגרום לכך שהאנשים הנכונים ימנפו את הטכנולוגיה המתאימה, בדרך הנכונה ובמטרה ליצור מערכת בריאות טובה יותר.
בתי החולים מחפשים יותר ויותר עזרי בריאות, המחוברים לרשת האינטרנט, מתוך ציפייה שהטכנולוגיה החדשה תוכל לקדם את הטיפול בחולים ולייעל כ”א יקר. אך מכשירים חדשים, עם כל הפוטנציאל שלהם, מעלים גם את הצורך בהבנה ברורה של האתגרים והסיכונים באבטחת המידע ולכן, תכנון רשת התקשורת, הצריכה להכיל את כל ציוד ה-IoT העצום הזה הוא תהליך קריטי במעבר לעולם דיגיטלי יותר.
במרוץ אחר הרצון להציג מכשירים חדשניים מחוברים לרשת, חושפים חלק מבתי החולים את עצמם לסיכונים חדשים. נכון הדבר שהתעשיות שבדרך כלל נמצאות על הכוונת של ההאקרים הן בנקאות ופיננסים, אך אירועים שקרו לאחרונה הוכיחו שגם מערכת הבריאות הופכת במהירות למטרה נחשקת של ההאקרים. למה? זו כלכלה פשוטה: השווי של תיק רפואי פרטי בשוק השחור יכול להיות שווה הרבה יותר ממידע פיננסי גנוב. האף.בי.איי דיווח שחלק מהתיקים הרפואיים האלקטרוניים שנגנבו, נסחרים תמורת 50 דולרים לתיק בשוק השחור, בהשוואה למחיר של דולר אחד בלבד למספר כרטיס אשראי גנוב.
אבטחת מידע היא עניין עסקי ולא טכנולוגי
ההאקרים עצמם מנצלים מערכות הפעלה ישנות והלא בטוחות כנקודות כניסה אל תוך מערכת התקשורת הפנימית. עולם אבטחת המידע כבר עד למקרים שבהם האקרים הצליחו להגיע ולחבל במשאבות להזרקת תרופות ובשתלים קרדיולוגיים. כאן כבר לא מדובר בגניבת תיקים רפואיים לצורך עשיית רווח כספי, אלא ברמה אחרת לגמרי של התקפות שיכולות לגרום לסכנת חיים מיידית. הרשת הארגונית נחשבת כאחת המטרות הטובות ביותר עבור התוקפים ולכן כל מאמץ הגיוני צריך להיעשות כדי לאבטח אותה.
חלק גדול ממערכות התקשורת הישנות אינן מוגנות וכל אחד יכול לחבר מכשיר אלחוטי ללא אישור כניסה למערכת. בתי החולים מנגד, מחוייבים לוודא שהאקרים לא יכולים לחדור לתוך המערכת, דרך הרשת האקטיבית או האלחוטית. כניסה פיזית לרשת מאפשרת להאקר להתחיל לסרוק ולחפש נקודות תורפה.
רשתות תומכות תוכנה
רשתות התקשורת הידועות לנו כ-25 שנים מאפשרות מעבר של מידע חופשי ברשת. ע”מ להוסיף רובד של אבטחת מידע, אנו מוסיפים אלמנטים כדוגמת Firewall ואמצעי אבטחה נוספים כדי להפריד בין הרשתות, בין המשתמשים ובין כל ציוד קצה המחובר לרשת. ככל שכמות ציוד הקצה תגדל, כך תגדל הסיבוכיות שבאכיפת אבטחת המידע, ניהול ההרשאות, ושמירה על סודיות המידע ברשת.
רשת מבוססת תוכנה (Software-Defined Networking) יכולה לספק מרכיב חיוני של אסטרטגית אבטחה רב-שכבתית, המאפשרת הגנה לעומק. ציוד קצה המתחבר לרשת, מזוהה ומסווג באופן אוטומטי לסביבת השרות שהוא צריך לקבל. בסביבות אלה, התנועה זורמת באופן דינמי על פני הרשת, ומוצאת את הנתיב הקצר ביותר אל היעד שלה. הרשת יכולה להיות מפולחת בקלות לתחומים,אזורים, שנותרים בלתי נראים למכשירי הקצה השונים. רשת פיזית כזו מאפשרת בקלות רבה לתמוך ברשתות וירטואליות רבות.
אז מה זה SDN? במילה אחת – אוטומציה, וביותר – ביצוע אוטומציה ברשת ע”י וירטואליזציה ופישוט של תהליכי הניהול של הרשת.
רשת התקשורת, המורכבת מאוסף של עשרות מתגים המחוברים בינהם ויוצרת תשתית להעברת מידע, תתנהל מעתה בצורה אחרת.
למעשה, הוירטואליזציה, שהתחילה בעולם ה-System והשרתים היא חלק מהיישום ומתפשטת לעולם התקשורת, שדי נשאר מאחור. ה-SDN מאפשר לאנשי ה-IT לנהל את הרשת כיחידה אחת גדולה ולא כאוסף של מתגים.
ה-SDN הולך לבצע מהפכה בעולם. הרשת לא תנהל אותנו יותר, לא נשקיע בהטמעות של שרותי רשת במשך חודשים ולא נצטרך לעבוד קשה ולהכיר כל כך הרבה פרוטוקולים והחשוב מכל – אבטחת מידע ברמה הגבוהה ביותר.
אם נחטט עמוק יותר בקרביים של מערכת הבריאות, נמצא שהרשת, המספקת נתוני MRI לתיק הרפואי האלקטרוני של החולה צריכה להיות מבודדת מהרשת התומכת בקישוריות בין מערכת כרטיסי האשראי ל-backend הכספי, וברור ששניהם צריכים להיות מופרדים באופן מאובטח מרשת ה-Wi-Fi לאורחים. הרשימה של יישומים ושירותים שאמורים להיות מופרדים בצורה מאובטחת אחד מהשני היא בעלת פוטנציאל אינסופי. לפיכך, קיים צורך בפתרון בהפרדת רשתות וירטואלית חכמה ומאובטחת, המפריד שירותים שאינם קשורים האחד לשני, יוצר שכבה חדשה של הגנה מפני חדירה. עיצוב הרשת חייב, כברירת מחדל, למנוע תנועה לרוחב בין אזורי היישום השונים.
אוטומציה היא שם המשחק
יישום תיאוריות אבטחה הדורשות מאמץ רב או מורכבות מדי אינן מצליחות לעתים קרובות, מכיוון שהמרכיב האנושי דורש בדרך כלל פתרון מהיר וקל לשימוש. אוטומציה של קישוריות ההתקנים המחוברים לאינטרנט יכולה לשמש כזרז המבטיח שאבטחת הרשת תהיה פשוטה יותר, ולכן קלה יותר ליישום ולתחזוקה. אולם מפעילי מערכות הבריאות צריכים לוודא שהמערכת שלהם מקצה בצורה הנכונה את המכשירים והמשתמשים למקטעי הרשת המאובטחים המתאימים ולאכוף את המדיניות המתאימה לך. כך ניתן יהיה למנוע מהתקנים “ללכת לאיבוד” בתוך קישוריות רשת שונות שאינן מבוקרות.
דו”ח שהופץ בשנת 2015 על ידי מערך מחשוב הבריאות הממשלתי האמריקני מעלה כי יותר מ-34% מתיקי הלקוח הרפואיים בארה”ב כבר נפרצו – נתון גבוה יותר מבכל תעשייה אחרת. למרבה הצער, הפרסומים השליליים המתחברים בטבעיות לאירועים אלה יכולים לשמש גורם מעכב כנגד חדשנות. במקרים מסוימים, ארגון בריאות עשוי לוותר על מינוף הטכנולוגיה העדכנית ביותר רק בשל הפחד שהוא לא יהיה מסוגל לאבטח אותו ביעילות. היסוס כזה יעכב שיפור בטיפול בחולה ועלול להשפיע לרעה על התוצאות הרפואיות שלו.
לכן, ככל שהאינטרנט של הדברים (IoE – Internet of Everything) ייכנס למערכת הבריאות, ישנה חשיבות עליונה למציאת דרכים המאפשרות אימוץ מהיר של פתרונות חדשניים לצד פתרונות אבטחת מידע פשוטים יותר.
יניב אבירם, ארכיטקט פתרונות בכיר בחברת AVAYA ישראל
