חברת נובו נורדיסק (Novo Nordisk) הודיעה כי זיהתה אירוע אבטחה הכולל גישה בלתי מורשית למספר מצומצם של מערכות מחשוב פנימיות. החברה מסרה כי פתחה בחקירה מקיפה בעזרתם של מומחי אבטחת סייבר חיצוניים וכי היא נמצאת בקשר רציף עם הרשויות הרלוונטיות. כצעד מניעה ובלימה, החברה השביתה זמנית מערכות מחשוב פנימיות מסוימות והיא פועלת כעת להחזרת מערכות המחשוב שנפגעו לפעילות באופן מבוקר, מדורג ובטוח.
"בעוד החקירה ותהליכי התגובה שלנו בעיצומם, גילינו כי נתונים מסוימים שאינם ציבוריים, הכוללים מידע אישי – הועתקו אל מחוץ לחברה ללא הרשאה. אנו מעדכנים ומיידעים את הגורמים המושפעים מכך", מסרה יצרנית התרופות הדנית (יצרנית תרופת הלהיט להרזיה Wegovy). החברה הדגישה כי הפעילות העסקית המרכזית שלה לא נפגעה וכי היא ממשיכה להתנהל כסדרה.
בהודעה מורחבת שהוציאה החברה בהמשך, צוין כי האירוע השפיע על כמות מוגבלת של מידע הנוגע למטופלים המשתתפים בחלק מהניסויים הקליניים שלה. קטגוריות המידע האישי העלולות להיות מושפעות כוללות את מזהה המטופל (מחרוזת אלפא-נומרית אקראית), שנת הלידה, המגדר, נתוני הבריאות ומדדי אורח חיים כגון עישון, צריכת אלכוהול ו- BMI.
נובו נורדיסק הדגישה כי המידע אינו מקושר ישירות לשמות המטופלים או למזהים ישירים אחרים ועל כן היא אינה סבורה כי האירוע יאפשר לצד שלישי כלשהו לזהות את המשתתפים בניסויים הקליניים שלה. החברה ציינה כי לא נשקף סיכון מיידי למטופלים, אך המליצה להם לגלות ערנות ולדווח על כל פעילות חריגה העלולה להיות קשורה למתקפת הסייבר.
סכנות דלף מידע רפואי
דלף של מידע רפואי נושא בחובו סיכונים חמורים וייחודיים, החורגים מעבר לנזקים הכלכליים השגרתיים של פריצות סייבר רגילות. מידע רפואי כולל היסטוריה טיפולית, אבחנות נפשיות ופיזיות, תוצאות מעבדה ונתונים גנטיים, המהווים את המידע הרגיש והאינטימי ביותר של האדם. חשיפת נתונים אלו עלולה להוביל לפגיעה אנושה בפרטיותו של המטופל, להפליה פסולה במקומות תעסוקה או בחברות ביטוח, ואף לסחיטה באיומים של קורבנות שאינם מעוניינים שמצבם הבריאותי ייחשף לציבור. בניגוד לכרטיסי אשראי או לסיסמאות דיגיטליות שניתן להחליף בקלות רבה, מלווים נתונים רפואיים את האדם לאורך כל ימי חייו וברגע שהם זולגים לרשת האינטרנט האפלה, הנזק לפרטיות הופך לבלתי הפיך ועלול ללוות את הקורבן לצמיתות.
מעבר לפגיעה האישית, מהווה דלף מידע רפואי תשתית רחבה להונאות מתוחכמות ולפגיעה פיזית ישירה בבטיחות המטופלים. פושעי סייבר מנצלים את המידע הרפואי שנגנב לצורך גניבת זהות רפואית, במסגרתה הם רוכשים תרופות מרשם יקרות או מקבלים טיפולים רפואיים מורכבים על חשבון הקורבן. תופעה זו עלולה לשבש לחלוטין את התיק הרפואי האדם, להביא להזנת נתונים קליניים שגויים (כגון סוג דם, אלרגיות או מחלות רקע שאינן קיימות) ובכך לסכן את חייו באופן ממשי בעת קבלת טיפול חירום אמיתי. בנוסף, משתמשים פושעי סייבר במידע זה לביצוע מתקפות הנדסה חברתית ממוקדות (Spear Phishing), תוך התחזות למוסדות בריאות ורופאים, במטרה להונות מטופלים פגיעים, למכור להם תרופות מזויפות או לסחוט מהם כספים בנקודות השבר הרגישות ביותר של חייהם.
דרכים למניעת דלף מידע רפואי
מניעת דלף מידע רפואי דורשת יישום גישה רב-שכבתית ומחמירה להגנת סייבר, המבוססת בראש ובראשונה על הצפנת מידע חזקה מקצה לקצה ובקרת גישה קפדנית ביותר. ארגוני בריאות וחברות פארמה מחויבים לעבור למודל "אמון אפס" (Zero Trust Architecture), שבו אף משתמש, מכשיר או אפליקציה אינם זוכים לאמון אוטומטי בתוך הרשת וכל גישה לנתוני מטופלים מותנית באימות רב-שלבי קשיח (MFA) המבוסס על מאפיינים התנהגותיים וביומטריים. חובה להצפין את המידע הרפואי הן כאשר הוא מאוחסן בבסיסי הנתונים (Data at Rest) והן בעת העברתו בין מערכות וגורמים מטפלים (Data in Transit). יתרה מכך, יש להטמיע טכניקות מתקדמות של אנונימיזציה (Anonymization) וערבול נתונים קליניים (De-identification), במיוחד במסגרת ניסויים קליניים ומחקרים, כך שגם במקרה שבו נגנב מידע כפי שקרה באירוע של נובו נורדיסק, התוקפים לא יוכלו לשייך את הנתונים לאדם ספציפי ללא גישה למפתח פענוח נפרד ומאובטח במיוחד.
הרובד המשלים והחיוני במערך המניעה נשען על ניטור פרואקטיבי רציף, הגנה על נקודות קצה וחיזוק המודעות של הגורם האנושי. הטמעת מערכות טכנולוגיות מתקדמות לזיהוי ותגובה בזמן אמת (EDR/XDR) המשלבות בינה מלאכותית, מאפשרת לנטר התנהגויות חריגות ברשת כמו ניסיונות להורדה המונית של קבצים, גישה לבסיסי נתונים בשעות לא שגרתיות או העברות מידע מחוץ לגבולות הארגון – ולחסום אותן באופן אוטומטי באמצעות מערכות למניעת זליגת מידע (DLP – Data Loss Prevention). לצד הכלים הטכנולוגיים ומאחר שחלק ניכר ממתקפות הסייבר מתחילות בטעויות אנוש או בהנדסה חברתית, יש להשקיע במערך הדרכות תקופתי שוטף לכלל הצוותים הרפואיים, המחקריים והאדמיניסטרטיביים. הדרכות אלו מחדדות את החשיבות של היגיינת סייבר נכונה, זיהוי מתקפות דיוג (Phishing) מתוחכמות ופרוטוקולים מחמירים לניהול והעברה של רשומות רפואיות רגישות.
