שיפור הגנת המכשור הרפואי מפני מתקפות סייבר – מצב קיים וראייה לעתיד

איציק כוכב ¹ ישראל גולדנברג ¹ ארז שלום ² ניר ניסים ³ ארנון מקורי ⁴ גיא חסמן ⁴ יובל אלוביץ ³ יובל שחר ²

¹אגף הגנת המידע, שרותי בריאות כללית
²מרכז המחקר למערכות מידע רפואיות, המחלקה להנדסת מ"מ, אוניברסיטת בן גוריון בנגב
³מעבדת הפוגענים במרכז לחקר הגנת הסייבר, אוניברסיטת בן גוריון בנגב
⁴המחלקה למידע דימותי, אגף טכנולוגיות רפואיות, שרותי בריאות כללית

רקע ורציונאל

שירותי בריאות כללית הוא ארגון הבריאות הגדול בישראל והשני בגודלו בעולם הכולל כ 1350 מרפאות ו 14 בתי חולים הנתמכים ע"י רשת מחשוב. בנוסף, ישנם בקופה כ- 11000 סוגים של ציוד מכשור רפואי. כשפותח תחום המכשור הרפואי, פותחו תקנים לתקשורת ושמירת הנתונים (כגון פרוטוקול DICOM בתחום הדימות הרפואי), אך מעט מאוד נעשה בכדי להגן עליו מפני שימוש עוין, מתקפות, ושיבוש פעילותו התקינה. תרחישים אלו, ללא הגנה מתאימה יכולים פוטנציאלית לגרום נזק לתפקוד המכשור, למטופל ולצוות הרפואי. על מנת לחקור ולאתר כיווני פיתוח פתרונות אבטחה חדשניים, נוסד שיתוף פעולה עם מרכז הסייבר ומרכז המחקר למערכות מידע רפואיות באוניברסיטת בן גוריון בנגב.

מטרות

דרישות האבטחה הקיימות היום בכללית עבור מכשור רפואי מתייחסות לשמירת נתונים במכשיר וחיבורו לרשת. למשל, מכשיר דימות מסוג תהודה מגנטית (MRI) שומר נתונים היסטוריים, בעוד מכשיר מסוג מוניטור מחובר לרשת אך אינו שומר נתונים. ב- 3 שנים אחרונות ישנה ירידה תלולה בכללית בכמות של ציוד רפואי שאינו שומר מידע כיוון שיותר מכשירים רפואיים מתחברים לרשת. אמנם ישנם נהלי אבטחה בארגון, אך הם אינם מספיקים כדי למנוע מתקפות סייבר על ציוד רפואי המחובר לרשת (ואולי בעתיד לענן). כצעד ראשון, במחקר המשותף מופו סוגי מכשירי הציוד הרפואי בכללית, וסיכוני האבטחה הטמונים בהם.

תוצאות וממצאים עיקריים

הוגדרו תחומים במכשור רפואי וסיכוני האבטחה בהם עפ"י מטריצת ניהול סיכונים : 1) מכשירים לאבחון רפואי ומכשירי דימות כגון MRI–מערכות אלו מחוברות לרשת ומערכות ה-PACS . פוטנציאל הנזק כולל השבתת הציוד הרפואי, ושיבוש של קבצי ונתוני הבדיקות. 2) מכשיר טיפול רפואי כגון מכשירי רדיותרפיה – ניתן לשנות פרמטרים במערכות ובחיישני הבקרה שלהם כגון הכפלת המשקל של האדם, והגדלת רמת הקרינה או שינוי תמונת ה x-ray –שיבוש שעשוי לגרום נזק בלתי הפיך למבוטח ואף למותו. 3) ציוד רפואי מושתל/מוצמד התומך חיים - כגון קוצבי לב, משאבות אינסולין, מכשירי דיאליזיה בהם ניתן לשבש את פעולת המכשיר ע"י שבוש תדר המכשיר או ע"י התשת הסוללה . בנוסף, ציוד הקצה המחובר לרשת התקשורת יכול לשבשה. 4) מערכות הפועלות ע"ג תשתית WIFI שונות. 5) רכיבים , תקנים , תשתיתיים תשתיות חוצות ארגון – למשל פרוטוקול תקשורת DICOM בין מכשירי הדימות ששיבושו יכול להביא לפגיעה השירות הרפואי, טעות באבחנות ושיבוש באלגוריתמיקה של למידת מכונה. 6) ציוד רפואי המחובר לענן - אין כיום נהלי אבטחה לגבי ציוד זה .

מסקנות ותובנות

כיום מתקפות הסייבר עושות דרכן לכלל המכשור הדיגיטלי, וגם למכשור הרפואי. בפרט, ציוד רפואי מושתל/מוצמד, או אישי המחובר לרשת הוא עם סיכון אבטחה גבוה במיוחד, ולכן דורש פתרונות אבטחה ייחודיים, חלקם דטרמינסטיים וחלקם מבוססי שיטות בינה מלאכותית מתקדמות לזיהוי אנומאליות והתנהגות חריגה של המכשירים. בנוסף, מעבר לענן מצריך כתיבת נהלי אבטחה שיטפלו בצורה טובה בסודיות, שלמות וזמינות המידע.

תרומה והשלכות להמשך

כיום מבוצע מהלך של חשיבה על עולם הציוד הרפואי בקופה המחובר לרשת , ופיתוח נהלי אבטחה. בנוסף במסגרת המחקר המשותף תפותח מתודולוגיה לפתרונות אבטחה למכשור רפואי אותה הקופה תיישם.