פרשנות | האם מתקפת סייבר מוצלחת נגד בית חולים בישראל פעם בשנתיים - זה סף מקובל?
הגנה בסייבר עולה כסף ומשרד הבריאות נמצא באופן תמידי בתת תקצוב ביחס לדרישות ממנו - האם הממשלה פיתחה מתאם בין כסף לחוסן בסייבר שמספק את הציבור הישראלי?
Photo by Piron Guillaume on Unsplash
אתמול (ג) דווח כי בית החולים מעיני הישועה נפל קורבן למתקפת כופר בסייבר, ככל הנראה מצד כנופיית Ragnar Locker. בעוד הפרטים הטכניים ידועים רק לצוות המטפל באירוע, פורסם כי בית החולים עבר לעבוד בעט ודף, נדחו ביקורים במרפאות חוץ והצוות הרפואי איבד גישה לתוצאות בדיקות חולים. כמו גם, חולים נותבו לבתי חולים אחרים באזור המרכז.
האירוע הקודם בסדר גודל דומה, היה בבית החולים הלל יפה בשנת 2021. התחקיר המלא של האירוע מעולם לא פורסם לציבור - ולא יפורסם. אחת השאלות שעולה מהאירוע, שנתיים לאחר מכן, בבית החולים מעיני הישועה, היא האם התובנות מהלל יפה שותפו עימו. זאת, מתוך הנחה כי בתי חולים מתנהגים באופן דומה בהיבט מערכות מחשוב.
מעיני הישועה הוא בית חולים המופעל על ידי עמותה וככזה, פרטים פיננסיים ואחרים מופיעים באתר גיידסטאר. לפי הדו״ח הפיננסי לשנת 2021, בית החולים הוציא כ-7 מליוני ש״ח בשנה על מערכות מחשוב. אם נניח 8-10 אחוזים מתקציב זה מושקעים בהגנת סייבר, כי אז אנו מדברים על תקציב סייבר שנתי בהיקף של כ-700,000 ש״ח. לבית חולים כ-300 מיטות והוא מקבל כ-200,000 חולים בשנה.
האם תקציב סייבר כזה מספיק להגנה על בית חולים כזה?
זו שאלת מפתח שאין עליה תשובה. אין מתאם ידוע או מוסכם בין האוצר למשרד הבריאות שיכול לתת תשובה ליחס בין השקעה כספית לחוסן בסייבר של בית חולים. גם אין קונצנזוס בין מומחים בתחום הסייבר. כל אחד יתן תשובה אחרת. חלק יאשימו את הצוות המקצועי שאינו מקצועי. חלק יטענו שתקציב כזה אינו מספיק עובדתית, גם אם הצוות מקצועי.
אנחנו כן יודעים שבאופן כללי, בתי חולים בישראל נמצאים בתת תקצוב קבוע. לאחרונה פורסמה כתבה באתר funder של העיתונאי אריאל ברזילי, תחת הכותרת ״הרעת תנאי תוכניות הביטוח הסיעודי הקולקטיבי בקופות החולים – בקרוב אצלך!״. זהו עוד סממן לבעיות התקציביות של קופות החולים המתפעלות בתי חולים בישראל. אם תשאלו רופא מה עדיף - כסף להצלת חיי אדם או כסף להגנה בסייבר, כנראה שחלק ניכר מהרופאים יעדיפו להציל חיי אדם (מכונות, מיטות, כוח אדם, מחקרים וכו׳).
תקציב הבסיס השנתי של משרד הבריאות הוא כ-45-50 מיליארדי ש״ח. זה אולי נשמע הרבה כסף, אך המשרד אחראי על מגוון תחומים בנוסף לבריאות הכללית, כולל טיפולי שיקום וניידות, שיקום נכי נפש, גריאטריה ועוד. במשרד הבריאות מועסקים למעלה מ-37,000 עובדים. מספר זה כולל את עובדי בתי החולים הממשלתיים (כלליים, פסיכיאטריים וגריאטריים - 26 בתי חולים), את עובדי לשכות הבריאות (7 לשכות ו12- נפות) ואת עובדי מטה משרד הבריאות והיחידות הכפופות אליו.
מתוך הסכום הזה, הצעת תקציב בתי החולים הממשלתיים הכלליים לשנת הכספים 2023 מסתכמת בכ-12.4 מיליארד ש״ח. לשנת הכספים 2024 מסתכמת הצעת התקציב בכ-12.4 מיליארד ש"ח. הכסף הזה מיועד רק לתפעול בית החולים.
״חדשנות וסייבר״
תחת סעיף ״חדשנות וסייבר״ בתקציב משרד הבריאות, נכתב כי המשרד פועל להתאמת מערכת הבריאות למהפכה הדיגיטלית ולהתפתחויות הטכנולוגיות. ״במישור אחד, המשרד פועל להטמעת שימוש בכלים טכנולוגיים ודיגיטליים למציאת פתרונות שימושיים ויעילים לבעיות אדמיניסטרטיביות, קליניות וניהוליות פשוטות ומורכבות כאחד, אשר טומנות הזדמנות משמעותית למקסום יכולות המערכת.
״במישור שני, המשרד נערך לאיומים טכנולוגיים חדשים ומשתנים כל העת, בדגש על אירועי סייבר. במישור שלישי, המשרד יפעל לתחילת מימוש מסקנות ועדת "חדשנות בבריאות" משנת ,2022 אשר מונתה ע"י שר הבריאות לגיבוש תוכנית רב-שנתית לפיתוח ענף ה-Tech Health והפיכת מערכת הבריאות הישראלית למובילה עולמית בפיתוח ובשימוש בטכנולוגיות חדשניות שישפרו את איכות ויעילות שירותי הבריאות.״
על פי פירוט התקציב של המשרד, מתוך תקציב המשרד, כ-1.1 עד 1.2 מיליארדי ש״ח בשנה מוקצים לטובת ״תקצוב מטה״, הכוללים תקציבי תפעול במטה המשרד, נסיעות לחו"ל, ביטחון, דיור, רכב ומחשוב. ניתן להניח כי ״מחשוב״, כולל בתוכו גם הגנה בסייבר. אין פירוט כמה מושקע ישירות בהגנה בסייבר.
אם נניח כי 10% מתוך הסעיף התקציבי הולך על מחשוב, ומתוכו 10% על הגנה בסייבר, נשארנו עם 12 מליון ש״ח בשנה להגן בסייבר על 26 בתי חולים. בממוצע, זה יוצא כ460,000 ש״ח בשנה על הגנה בסייבר לבית חולים. ניתן להניח כי לא כל בתי החולים נולדו שווים וחלק מקבלים יותר. גם אם חלק מקבלים יותר, זה לא רחוק מההנחה לגבי מעיני הישועה שעומדת על כ-700,000 ש״ח תקציב סייבר שנתי.
מתאם בין כסף לחוסן בסייבר
לסיכום, אמנם אין מתאם בין כסף לחוסן בסייבר בבתי חולים, אך ניתן להסיק כי יש תלות הדדית בין שני הגורמים. אי אפשר עד בלתי אפשרי להגן על בית חולים בלי כסף. בין שמדובר בשכירת כוח אדם מקצועי, רכש מוצרים (חומרה ותוכנה), מודעות לצוות הרפואי, בדיקות חדירות ועוד. כל אלו עולים כסף, ולא מעט.
נכון להיום, ברמת התקציב הזו, אחת לשנתיים בית חולים בישראל נופל קורבן למתקפה שמשביתה אותו לכשבוע. האם זה סף נסבל מבחינת הממשלה? היות והתקציב אף פעם לא באמת מספיק לכל מה שהממשלה רוצה, זו השאלה שעומדת תלויה באוויר לאחר האירועים בהלל יפה (2021) ומעיני הישועה (2023).
הגנה בסייבר עולה כסף ומשרד הבריאות נמצא באופן תמידי בתת תקצוב ביחס לדרישות ממנו - האם הממשלה פיתחה מתאם בין כסף לחוסן בסייבר שמספק את הציבור הישראלי?
Photo by Piron Guillaume on Unsplash
אתמול (ג) דווח כי בית החולים מעיני הישועה נפל קורבן למתקפת כופר בסייבר, ככל הנראה מצד כנופיית Ragnar Locker. בעוד הפרטים הטכניים ידועים רק לצוות המטפל באירוע, פורסם כי בית החולים עבר לעבוד בעט ודף, נדחו ביקורים במרפאות חוץ והצוות הרפואי איבד גישה לתוצאות בדיקות חולים. כמו גם, חולים נותבו לבתי חולים אחרים באזור המרכז.
האירוע הקודם בסדר גודל דומה, היה בבית החולים הלל יפה בשנת 2021. התחקיר המלא של האירוע מעולם לא פורסם לציבור - ולא יפורסם. אחת השאלות שעולה מהאירוע, שנתיים לאחר מכן, בבית החולים מעיני הישועה, היא האם התובנות מהלל יפה שותפו עימו. זאת, מתוך הנחה כי בתי חולים מתנהגים באופן דומה בהיבט מערכות מחשוב.
מעיני הישועה הוא בית חולים המופעל על ידי עמותה וככזה, פרטים פיננסיים ואחרים מופיעים באתר גיידסטאר. לפי הדו״ח הפיננסי לשנת 2021, בית החולים הוציא כ-7 מליוני ש״ח בשנה על מערכות מחשוב. אם נניח 8-10 אחוזים מתקציב זה מושקעים בהגנת סייבר, כי אז אנו מדברים על תקציב סייבר שנתי בהיקף של כ-700,000 ש״ח. לבית חולים כ-300 מיטות והוא מקבל כ-200,000 חולים בשנה.
האם תקציב סייבר כזה מספיק להגנה על בית חולים כזה?
זו שאלת מפתח שאין עליה תשובה. אין מתאם ידוע או מוסכם בין האוצר למשרד הבריאות שיכול לתת תשובה ליחס בין השקעה כספית לחוסן בסייבר של בית חולים. גם אין קונצנזוס בין מומחים בתחום הסייבר. כל אחד יתן תשובה אחרת. חלק יאשימו את הצוות המקצועי שאינו מקצועי. חלק יטענו שתקציב כזה אינו מספיק עובדתית, גם אם הצוות מקצועי.
אנחנו כן יודעים שבאופן כללי, בתי חולים בישראל נמצאים בתת תקצוב קבוע. לאחרונה פורסמה כתבה באתר funder של העיתונאי אריאל ברזילי, תחת הכותרת ״הרעת תנאי תוכניות הביטוח הסיעודי הקולקטיבי בקופות החולים – בקרוב אצלך!״. זהו עוד סממן לבעיות התקציביות של קופות החולים המתפעלות בתי חולים בישראל. אם תשאלו רופא מה עדיף - כסף להצלת חיי אדם או כסף להגנה בסייבר, כנראה שחלק ניכר מהרופאים יעדיפו להציל חיי אדם (מכונות, מיטות, כוח אדם, מחקרים וכו׳).
תקציב הבסיס השנתי של משרד הבריאות הוא כ-45-50 מיליארדי ש״ח. זה אולי נשמע הרבה כסף, אך המשרד אחראי על מגוון תחומים בנוסף לבריאות הכללית, כולל טיפולי שיקום וניידות, שיקום נכי נפש, גריאטריה ועוד. במשרד הבריאות מועסקים למעלה מ-37,000 עובדים. מספר זה כולל את עובדי בתי החולים הממשלתיים (כלליים, פסיכיאטריים וגריאטריים - 26 בתי חולים), את עובדי לשכות הבריאות (7 לשכות ו12- נפות) ואת עובדי מטה משרד הבריאות והיחידות הכפופות אליו.
מתוך הסכום הזה, הצעת תקציב בתי החולים הממשלתיים הכלליים לשנת הכספים 2023 מסתכמת בכ-12.4 מיליארד ש״ח. לשנת הכספים 2024 מסתכמת הצעת התקציב בכ-12.4 מיליארד ש"ח. הכסף הזה מיועד רק לתפעול בית החולים.
״חדשנות וסייבר״
תחת סעיף ״חדשנות וסייבר״ בתקציב משרד הבריאות, נכתב כי המשרד פועל להתאמת מערכת הבריאות למהפכה הדיגיטלית ולהתפתחויות הטכנולוגיות. ״במישור אחד, המשרד פועל להטמעת שימוש בכלים טכנולוגיים ודיגיטליים למציאת פתרונות שימושיים ויעילים לבעיות אדמיניסטרטיביות, קליניות וניהוליות פשוטות ומורכבות כאחד, אשר טומנות הזדמנות משמעותית למקסום יכולות המערכת.
״במישור שני, המשרד נערך לאיומים טכנולוגיים חדשים ומשתנים כל העת, בדגש על אירועי סייבר. במישור שלישי, המשרד יפעל לתחילת מימוש מסקנות ועדת "חדשנות בבריאות" משנת ,2022 אשר מונתה ע"י שר הבריאות לגיבוש תוכנית רב-שנתית לפיתוח ענף ה-Tech Health והפיכת מערכת הבריאות הישראלית למובילה עולמית בפיתוח ובשימוש בטכנולוגיות חדשניות שישפרו את איכות ויעילות שירותי הבריאות.״
על פי פירוט התקציב של המשרד, מתוך תקציב המשרד, כ-1.1 עד 1.2 מיליארדי ש״ח בשנה מוקצים לטובת ״תקצוב מטה״, הכוללים תקציבי תפעול במטה המשרד, נסיעות לחו"ל, ביטחון, דיור, רכב ומחשוב. ניתן להניח כי ״מחשוב״, כולל בתוכו גם הגנה בסייבר. אין פירוט כמה מושקע ישירות בהגנה בסייבר.
אם נניח כי 10% מתוך הסעיף התקציבי הולך על מחשוב, ומתוכו 10% על הגנה בסייבר, נשארנו עם 12 מליון ש״ח בשנה להגן בסייבר על 26 בתי חולים. בממוצע, זה יוצא כ460,000 ש״ח בשנה על הגנה בסייבר לבית חולים. ניתן להניח כי לא כל בתי החולים נולדו שווים וחלק מקבלים יותר. גם אם חלק מקבלים יותר, זה לא רחוק מההנחה לגבי מעיני הישועה שעומדת על כ-700,000 ש״ח תקציב סייבר שנתי.
מתאם בין כסף לחוסן בסייבר
לסיכום, אמנם אין מתאם בין כסף לחוסן בסייבר בבתי חולים, אך ניתן להסיק כי יש תלות הדדית בין שני הגורמים. אי אפשר עד בלתי אפשרי להגן על בית חולים בלי כסף. בין שמדובר בשכירת כוח אדם מקצועי, רכש מוצרים (חומרה ותוכנה), מודעות לצוות הרפואי, בדיקות חדירות ועוד. כל אלו עולים כסף, ולא מעט.
נכון להיום, ברמת התקציב הזו, אחת לשנתיים בית חולים בישראל נופל קורבן למתקפה שמשביתה אותו לכשבוע. האם זה סף נסבל מבחינת הממשלה? היות והתקציב אף פעם לא באמת מספיק לכל מה שהממשלה רוצה, זו השאלה שעומדת תלויה באוויר לאחר האירועים בהלל יפה (2021) ומעיני הישועה (2023).
