במהלך 2019 בצפון אמריקה לבדה נחשפו כ- 41 מיליון רשומות רפואיות. בישראל אין נתונים מדוייקים אך ב- 5 השנים האחרונות היו ניסיונות רבים לפגוע בתפקוד בתי-החולים ולגניבת מידע אישי רגיש

ביום ראשון (18.10.2020) בשעות אחרי הצהריים דיווחתי בחלון המבזקים של אתר זה: הוגשה (18.10.2020) תביעה (ובקשה לאשרה כתובענה ייצוגית לפי חוק הגנת הצרכן) של 5 תובעים נגד המרכז הרפואי הילל יפה בחדרה, קופות החולים מאוחדת וכללית והמרכז הרפואי ברזילי באשקלון; “השאלה: האם המשיבות הפרו את הוראות הדין בכך שלא ביערו מידע רגיש שנוצר אצלם בטרם מכרו ציוד לצד ג’; היקף התביעה הקבוצתית: 1.5 מיליארד ₪.

למחרת, יום שני (19.10.2020) בצהריים פירסמתי ידיעה מורחבת על התביעה.

ידיעות פולו-אפ על הנושא פורסמו בדה מארקר וב- Israel Defense, כשבשני המקומות צויין כי Read IT Now היה הראשון לפרסם את הידיעה בנושא התובענה הייצוגית.

= = = = = = = = = =

בידיעה המקורית כתבתי בין השאר: לכתב התביעה צורפה חוות דעתו של מקסים שניידר, הבעלים של חברת פאזל מודיעין יצירתי בע”מ [בעל ניסיון במלמ”ב (הממונה על הביטחון במערכת הביטחון) שבמשרד הביטחון ובשירות ביטחון כללי (שב”כ)] מיום 15.9.2020 בה הוא כותב בין השאר כי ‘בחודש ינואר 2017 התקיים דיון ברמו”ט [כיום – הרשות להגנת הפרטיות במשרד המשפטים] בנוגע להגנת הפרטיות בעידן הדיגיטלי. לקראת הדיון נערך סקר בציבור בנוגע לפרטיות. תוצאות הסקר העלו כי נושא הגנת הפרטיות בתחום הבריאות נחשב בעיני הציבור כרגיש ביותר’.

לדבריו, בחודש אוקטובר התגלה למנהל בית-חולים וטרינרי במושב שדמה כי מכשיר אולטרה סאונד רפואי שרכש הכיל מידע רפואי חסוי רב. בעקבות זאת מקסים שניידר בדק מכשירים נוספים שנמצאו באותה מרפאה. “חשוב לציין בנקודה זו כי איתור ושליפת המידע לא דרש כל ידע מקצועי בתחום המחשבים שכן המידע לא היה מוגן ו/או מוצפן אלא זמין, מסודר ונגיש לכל אדם אשר עבד על המכשיר. בסך הכל נחשפתי לכמות מדהימה ובלתי נתפסת של 78,882 רשימות רפואיות הכוללות מידע אישי ורפואי רגיש”.

= = = = = = = = = =

להלן כמה קטעים נוספים מתוך אותה חוות דעת של מקסים שניידר שצורפה לכתב התביעה (ואשר לא פירסמתי בידיעה המקורית):

שוק המכשירים המשומשים ושווי רשומה רפואית

“בדיקה שערכתי העלתה כי בכל שנה נמכרים מאות מכשירים רפואיים משומשים […] ניתן למצוא מכשירים רפואיים משומשים באתרי מכירות כגון יד 2, יד שרה, ההסתדרות הרפואית בישראל וכדומה. בדרך כלל, מוסד רפואי מבצע מכירות באמצעות מכרזים […] את המכשירים הנמכרים ניתן למצוא במרפאות וטרינריות, קליניקות של רופאי שיניים, רופאים ויועצים בתחום האורתופדיה, יולדות וכדומה.

“בהתאם לחיפוש שעשיתי, במהלך שנת 2019 בצפון אמריקה לבדה נחשפו כ- 41 מיליון

רשומות רפואיות. בישראל אין נתונים מדוייקים אך בחמש השנים האחרונות היו ניסיונות רבים לפגוע בתפקוד בתי-החולים ולגניבת מידע אישי רגיש.

“מניסיוני הרב בתחום אני יכול לציין כי מידע רפואי שווה פי 10 עד 40 (תלוי בהיקף ובאיכות) ממידע אישי אחר הניתן לרכישה באמצעות רשת האינטרנט, כגון מספרי תעודות זהות או כרטיסי אשראי גנובים. בהתאם, מחיר המידע הרפואי מגיע לסכום של עד אלף דולר ואף יותר מכך לרשומה רפואית בודדת.

“אחת הסיבות לכך שהמידע הרפואי הוא יקר והאקרים רבים מנסים להשיגו, הינה כי בניגוד למידע כמו כרטיסי אשראי, המידע הרפואי לא ניתן לביטול. במקרים בהם הרשומה הרפואית מכילה מידע בריאותי מוגן ורגיש, כגון אבחון מחלה קשה, אבחון מחלות מין, מידע על מצב פסיכולוגי רגיש וכדומה, ניתן לעשות בו שימוש למטרות סחיטה או איום, מבוכה ציבורית וכדומה. ובנוסף, ניתן להציע שירותים כאלו ואחרים.

“כלכלת השוק השחור שווה על-פי ההערכות כ- 1.5 טריליון דולר בשנה”.

הסיבה בגינה נותר מידע רפואי רגיש וחסוי במכשירים שנבדקו

“ככלל, כל המכשירים הרפואיים מחוברים לשרת (ענן או רשת סגורה) במוסד הרפואי הרלבנטי. הרשת מאובטחת ברמה הגבוהה ביותר ועומדת בתקן אבטחת מידע ISO27799.

“עמידה בתקן זה מהווה אסמכתה לקבלת רישיון למוסד הרפואי. מוסדות רפואיים אשר אינם עומדים בתקן זה לא יוכלו לקבל רישיון לניהול המוסד. התקן מדבר בעיקרו על מכלול שעל-פיו יש לשמור על כל המידע הבריאותי האישי, על שלמותו וזמינותו, בכלל זה התקן המגדיר את נכסי הארגון ומתקניו הקשורים למידע.

“עפ”י תקן זה, חלה חובה על ארגונים להבטיח כי כלל מידע הבריאות האישי המאוחסן במדיה יהיה מקודד ו/או מוגן מפני גניבה. בנוסף חלה חובה למחוק באופן בטוח כל מידע בריאותי אישי או, לחלופין, להשמיד את המדיה כאשר אין הוא נדרש עוד לשימוש.

“על-מנת למחוק לחלוטין את כל המידע הרגיש מהמכשיר ולהחזירו לכשירות כמכשיר יד שנייה, נדרשות מספר רב של פעולות אשר מסתכמות בעלות כלכלית גבוהה. הפעולות הנדרשות הן: פתיחת המכשיר, הוצאת הכונן הקשיח (הישן), החלפתו בכונן חדש, התקנת תוכנה לצורך הפעלת המכשיר (עלות רישיון של התוכנה כשלעצמה יכול בקלות להגיע עד לסכום של עשרת אלפים דולר), בדיקת וכיול של המכשיר ולבסוף השמדה פיזית של הכונן הקשיח הישן.

“[…] ניתן היה לבצע פעולה אחרת שהינה זולה יותר משמעותית: איש התמיכה מתחבר למכשיר ובמצע מחיקה של המידע תוך שהוא היה אמור להשאיר אך ורק את החומרה הדרושה להפעלת המכשיר. מדובר בפעולה פשוטה יחסית וזולה.

“בכל המכשירים שבדקתי, התברר לי כי אף אחת מדרכי הפעולה המתוארות לעיל לא בוצעה ו/או בוצעה בצורה רשלנית”.

סיכום

בסיכום חוות הדעת הכתובה אומר מקסים שניידר, הבעלים של חברת פאזל מודיעין יצירתי בע”מ, כי “אין ספק כי בעידן הנוכחי, המידע הוא ‘מקור האנרגיה’ החדש. ניתן לראות זאת בכל תחומי החיים ובייחוד באופן שבו פועלות חברות כמו גוגל ופייסבוק ודומיהן אשר מעניקות לצרכן שירותים בחינם וזאת בתמורה לאיסוף וכריית מידע על העדפותיו ופעולותיו ברשת ומחוצה לה. הרצון של חברות מסחריות ובעלי אינטרסים להשיג מידע גובר כל יום והוא בעלייה מתמדת. כך גם גדלות יכולות, שיטות ומקורות האיסוף.

“הפריצה למערכות הבריאות ולמוסדות הרפואיים היא עניין חדש יחסית. הפורצים גילו את הפוטנציאל הכלכלי של גניבת המידע והבינו כי המערכות של המוסד הרפואי, לרבות המכשור הרפואי, אינם נמצאים בחוד החנית בתחום אבטחת המידע וכאשר מתבצעת פריצה למערכות הארגון, העלות למוסד הרפואי נאמדת בעשרות מיליוני שקלים.

“הפריצה מתאפשרת מכיוון שמוסד רפואי מכיל אלפי מימשקי מחשוב ונקודות גישה אליו, ולכן אותו המוסד חייב לפעול בכל צורה ודרך על-מנת לוודא שהוא משקיע את מקסימום המשאבים ברשותו במטרה למנוע מקרים של חשיפה, גניבה, שינוי או הרס של המידע.

“אין חולק כי כל מומחה אבטחת מידע יציין כי הגורם האנושי הוא החוליה החלשה בכל הקשור להגנה על מידע ארגוני. הקלות בה ניתן לפרוץ למכשיר הרפואי וגניבת המידע האישי (ובמקרה דנן לא היה צורך כזה) היא בלתי נסבלת והיא כבר צויינה ע”י עשרות חברות היי-טק וחוקרי אבטחת מידע. ועדיין, לצערנו, ממשיכה לשמש כמקור איכותי למידע אישי ורגיש”.

בסיום הדברים תוהה כותב חוות הדעת: “איך ייתכן שמוסד רפואי אשר קיבל את אישור משרד הבריאות, מתחייב לטפל בפרט ולשמור את המידע של הפרט, לא ממלא אחר מחוייבות זו.

“לא ברור  כיצד יש חוסר תשומת לב העולה עד כדי רשלנות, כאשר מכשירים המכילים עשרות אלפי רשומות רפואיות חסויות ומסווגות, לא מוסרות טרם מכירת המכשירים.

“לא ברור כיצד אין כל גורם או גוף ביקורת אשר מוודא כי מידע רפואי אישי רגיש של מטופל לא יהיה פרוץ לכל דורש”.

* יודגש כי פרסום קטעים מחוות הדעת במסגרת ידיעה זו נעשה לאחר קבלת אישור מפורש לשימוש זה מצד ב”כ התובעים. הדברים מובאים כאן כמות שהם להוציא שינויי עריכה קלים.

** בידיעה המקורית ציינתי כי ב”כ התובעים ניהל דו-שיח עם הרשות להגנת הפרטיות במשרד המשפטים בסוף 2019 ובחודש ינואר 2020 בנושא זה. להבנתי מאז לא הייתה התקדמות בנושא. ערב פרסום ידיעה נוספת זו ביקשתי את תגובת הרשות להגנת הפרטיות ונעניתי: “הרשות להגנת הפרטיות אינה יכולה להתייחס להליכי אכיפה.  אין באמור כדי להכחיש או לאשר את הפרטים המתוארים בפנייתך”.

= = = = = = = = = =