לתבוע את מי שלא עמד בדרישות תפקידו?

בעקבות מתקפה על מערכות המידע של "מעייני הישועה"
תמונה של יונתן
יונתן קורפל

בימים האחרונים עוסקת המדיה על כל ענפיה, במתקפת הכופרה על מערכות המידע של בית החולים "מעייני הישועה" בבני-ברק. לא מעט פעמים כבר כתבתי בנושא, שהרי חדשות לבקרים אנו מתבשרים על פגיעות של גורמים שליליים במערכות מידע מכל הסוגים. התופעה רחבה עד כדי כך, שעל רוב הפגיעות איננו מדווחים כלל ועיקר. מתקפות עולות בכל זאת לכותרות כאשר מדובר בחברות או ארגונים שהפגיעה במערכות המידע שלהם גורמת נזק גם לציבור הלקוחות או לאזרחים שקשורים אליהם.

הנזקים הישירים והעקיפים שנגרמים במתקפות הללו גדולים מהנזק שרוב האנשים מייחסים להן או מבינים את חומרתו. המתקפה על בית החולים האמור השביתה את מערכות המידע, וחלקן טרם חזרו לפעול. בית החולים לא יכול היה לקבל חולים והפנה אותם לבתי חולים אחרים העמוסים ממילא, או שדחה את הטיפול בהם. המידע שנצבר תוך כדי ניסיונות השיקום נאסף על ניירות ברישום ידני, שכלל לא ידוע מתי יוזן למערכות המידע, אם בכלל. לא ברור איזה מידע נעלם במהלך האירועים לבלי שוב. כך גם לגבי מידע שלא התאפשר לגשת אליו בעת טיפולים בחולים. לא פחות מטרידה היא היכולת של המפגעים לפרסם ו/או למכור מידע על אודות המטופלים שטופלו בבית החולים, מה שככל הנראה יקרה בטווח הקרוב.

בית החולים "מעייני הישועה" יאלץ לעמוד בהוצאות כבדות לשיקום, שיחזור, והפעלה מחדש של מערכות המידע. בימים האחרונים פורסם למשל כי בית החולים "הלל יפה" בחדרה, שספג מתקפה דומה לפני כשנתיים, וסירב להצעת הכופר של תוקפיו בסך 6 מיליון ש"ח, הוציא 36 מיליון ש"ח על פעילות ההחזרה לעבודה שוטפת של מערכות המידע שלו.

לבית החולים ולגורמים נוספים יש אינטרס ברור לצמצם את המידע שנחשף על אודות הפגיעה והנזקים, מה שרק תורם לכך שהציבור הרחב איננו מבין את היקף הפגיעה. הדבר גם מסייע לאדישות כללית בקרב הציבור שיוצרת אולי הרגשה כי מדובר במכת טבע, שאין מה לעשות נגדה. התוצאה הבלתי נמנעת היא שהמכות הבאות תגענה בהמוניהן, ובעוצמות קשות. אין ספק כי מתקפות פוגעות על מערכות המידע יהיו תמיד. גם מעשי רצח אי-אפשר למנוע לחלוטין. אבל ניתן בהחלט לצמצם את מספרן של המתקפות האלה, להקטין את נזקן, לצמצם את תקופת ההתאוששות ואת מחיר החזרה לעבודה תקינה. כדי להשיג זאת יש להתמודד בצורה נמרצת עם מחדלים רלוונטיים בשני מישורים עיקריים, המשולבים יחדיו, שכל כך פוגעים בנו.

הראשון הוא המישור הניהולי. במשך שנים אני מרבה לנסות להבהיר כי האחריות לכישלונות בתחום של מערכות המידע, היא של מנהלי הארגון. רווחת הנטייה להותיר את הנושא לטיפול בלבדי של אנשי המקצוע, ולהקצות לכך תקציבים לא מספקים. כל זאת מבלי לתת את הדעת לכך שתלות הארגונים במערכות המידע הולכת וגוברת, עד כדי תלות מלאה או קרוב לכך. בסופו של דבר מחיר הפגיעה הכולל הוא הרי גבוה מעלות התמודדות נכונה למפרע.

המישור השני הוא המישור המשפטי מזווית האכיפה. לא רק האזרחים מן השורה, גם רבים מהמנהלים בארגונים השונים לא ערים לקיומן של תקנות הגנה של פרטיות שנוגעות למאגרי מידע ממוחשבים המאחסנים נתונים על אנשים פרטיים. במסגרת חובת הסודיות מחויבים בעל מאגר המידע, מנהל המאגר והמחזיק במאגר, וכן עובדיהם, בשמירת סודיות המידע שאליו נחשפו אגב ביצוע עבודתם. אי-שמירה על סודיות המידע מהווה עבירה פלילית שהעונש בגינה הוא עד חמש שנות מאסר! האם שמעתם פעם על מנהל חברה שנתבע משום שלא דאג להגן על מאגרי המידע בארגונו שבהם מאוחסן מידע אישי של הלקוחות או האזרחים? או אולי על מנהל מאגר או מחזיק בו שנתבעו? ידוע שאחוז לא מבוטל של ארגונים שמחזיקים מידע על אזרחים כלל לא רושמים את מאגרי המידע שלהם במשרד המשפטים כמתחייב בחוק. רבים מהם אפילו לא מודעים לכך שיש חובה שכזאת.

לסיכום, ההתמודדות הבלתי נמנעת עם עברייני הסייבר תישא תוצאות טובות כאשר מנהלים בכירים בארגון יבינו שהנושא מצוי בתחום אחריותם הישירה ושעליהם לתת לו עדיפות ניהולית ותקציבית, וכאשר במקביל החוקים בנושא ייאכפו. ראוי שיובהר לכול שהפקרת מידע של הציבור, כמו גם של יכולות תפעול מערכות המידע, תוביל לנקיטת צעדים מול הדרגים הניהוליים האחראים.

שיתוף ב facebook
Facebook
שיתוף ב twitter
Twitter
שיתוף ב linkedin
LinkedIn
שיתוף ב whatsapp
WhatsApp
שיתוף ב email
Email

11 תגובות

  1. מבקשים להבין נכונה – האם בית החולים הלל יפה בחדרה שילם 36 מיליון שקל על מנת לתקן את נזקי התקפת הסייבר על מערכות המחשב שלו לפני כשנתיים? זה ממש לא יאומן. מה עלה 36 מיליון שקל? וזה עבר ללא תגובה? אף אחד לא נתן את הדין?

    1. הנתון הופיע בשלוחות שונות של המדיה, לאורך הזמן שחלף מאז המתקפה האמורה. בין היתר בימים האחרונים ממש, בטלוויזיה, וכן במאמר שטיפל בנושא בעתון כלכליסט.
      ומי הם המבקשים להבין?

  2. אצלנו במדינה הבכירים נהנים ממטעמי הניהול
    ועוד מקבלים תוספות על הצלחות
    אבל מתנערים מכל אחריות לכשלונות

  3. את מי זה מעניין?
    למי מהמנהיגים בכלל איכפת מה קורה פרט לחלוקת תקציבים ופיסקת הסבירות?

  4. תודה על המאמר המקצועי.
    האם הפרצה הגיעה, ממקור ראשון או נותן שירות, לפי דעתי זה נתון חשוב, שחייב להבדק.

  5. האם יש מצב של 100% הגנה מהתקפת סייבר ?
    הרי מתקיים מאבק תמידי בין תוקפים למגינים ומכאן השאלה האם להגנה יש פוטנציאל לזהות פירצה ולבלום אותה טרם שקרתה ?
    בהמשך להנחות הנ״ל יהיה מורכב, בלשון המעטה, להטיל אחריות ישירה למי שתפקידם לבלום תקיפות

  6. כל המערכות והמתקנים הכי רגישים בארץ תלויים ברשת האינטרנט.

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

פרסום תגובה מהווה הסכמה לתנאי השימוש באתר.
התגובות יפורסמו לפי שיקול דעת העורך.

עשוי לעניין אותך

עצרו

מלחמת שנת היובל

דרכינו הנסתרות לציין יובל למלחמת יום הכיפורים

תמונת דוד

הפריימריסט

חמשיר לקראת הבחירות המוניציפליות