מתקפת הסייבר על בית החולים "שערי צדק" בחודש שעבר הייתה תזכורת כואבת לפגיעות של מערכת הבריאות. ניתחנו את האירוע והפקנו לקחים חשובים עבור כלל הארגונים בתחום.
מה קרה?
מניתוח הפורנזיקה עולה כי התוקפים חדרו לרשת הארגונית דרך שרת RDP (Remote Desktop Protocol) שהושאר חשוף לאינטרנט ללא הגנה מספקת. מרגע החדירה, לתוקפים נדרשו שעות ספורות בלבד כדי להשיג הרשאות Domain Admin ולהפיץ את הכופרה שהצפינה מערכות קריטיות, כולל את מערכת התיקים הרפואיים (EMR).
"למזלנו, הגיבויים היו תקינים ומבודדים (Offline Backups), והצלחנו לשחזר את המערכות הקריטיות תוך 48 שעות. אבל זה היה יכול להיגמר אחרת לגמרי עם פגיעה בחיי אדם."
הלקחים המרכזיים
אסור לחשוף RDP
גישה מרחוק חייבת להתבצע אך ורק דרך VPN מאובטח ולא בחשיפה ישירה.
חובת MFA
אימות דו-שלבי הוא לא המלצה, הוא חובה קריטית לכל חיבור מרחוק.
גיבויים מבודדים
גיבוי שלא מחובר לרשת (Air Gapped) הוא תעודת הביטוח היחידה מול כופר.
המלצות לארגוני בריאות
על מוסדות רפואיים לבצע באופן מיידי הערכת סיכונים מקיפה, להטמיע בקרות אבטחה מתקדמות (כגון EDR ו-Network Segmentation), ולתרגל תרחישי חירום באופן שוטף כדי להבטיח את רציפות הטיפול בחולים גם תחת מתקפה.