אינדיקציה ברורה לדלף מידע רפואי רגיש ממערכות בית החולים 'מעייני הישועה'

הרשות להגנת הפרטיות מפנה את הציבור להמלצות שפרסמה למשתמשי אתרים שפרטיהם האישיים דלפו, בעקבות אינדיקציה ברורה לדלף מידע רפואי רגיש ממערכות בית החולים "מעייני הישועה".

בחינת הפרשה החלה לאחר שברשות להגנת הפרטיות התקבל ביום שלישי (8.8.23) דיווח מיידי, כמתחייב עפ"י דין, מבית החולים 'מעייני הישועה' בבני ברק על אירוע סייבר. במהלך בחינה ראשונית, הגורמים המקצועיים ברשות הגיעו למסקנה כי מלבד נעילת קבצים והשבתת מערכות המחשוב, יש אינדיקציה של ממש לכך שבמהלך האירוע הצליחו התוקפים להשיג מידע אישי על מטופלים.

ההתקפה מיוחסת לקבוצת 'רגנר לוקר' (Ragnar locker) ממזרח אירופה. ידוע כי קבוצה זו נוהגת לעשות שימוש בשיטת הסחיטה הכפולה - הצפנת מידע וכן גניבה של מידע רגיש מרשת הארגון הנסחט. דלף המידע עלול להכיל נתונים רגישים מאוד כגון פרטי הזדהות וסיסמאות כניסה למערכת, שם המשתמש ופרטי קשר, מידע רפואי, פרטי כרטיס האשראי ועוד.

עו"ד גלעד סממה, ראש הרשות להגנת הפרטיות התבטא בעניין זה בכלי התקשורת השונים וציין: "מיד עם קרות האירוע כפי שמתחייב לפי חוק הגנת הפרטיות קיבלנו דיווח מביה"ח על תקיפת הסייבר ונכנסנו לפעולה. כמובן שבתקיפה מסוג כזה, מול בית חולים, החשש המידי הוא שמידע אישי רגיש של מטופלים זלג החוצה ויכול לנדוד ברשת לכל מיני פעילויות עברייניות אחרות.  העולם שלנו נסמך על שיתוף מידע אישי. התוקפים במרחבי הסייבר מחפשים את המידע הזה כי הם יכולים לדרוש כופר או למכור אותו באופן שמאפשר להציע את הרווח שלהם על בסיס המידע הזה. לכן אנחנו מזהירים את הציבור שמא המידע הרפואי עלול לחשוף פרטים רגישים, ויכול לייצר ניצול ע"י גורמים אחרים".

לדבריו, "הדבר המרכזי זה לגלות ערנות ולא לפעול בפזיזות אם מקבלים פניה כזו או אחרת באימייל או פנייה טלפונית, בוודאי כשמזהים שבמסגרת הפניה מונגש מידע רפואי שמקורו בבית החולים אך לא מזהים את הגוף שיוצר קשר או שדוחקים במקבל הפניה לבצע פעולה מסוימת ברחבי האינטרנט. אנחנו בעיצומה של בחינה ראשונית בנוגע לאירוע עצמו ולאחר מכן נכנסים לחקירה הרבה יותר עמוקה שמטרתה לבחון האם הארגון, קרי בית החולים, עמד בתקנות אבטחת מידע". כך סממה. 

להלן ההנחיות:

אם נודע לך כי דלף מידע מאתר המחזיק בפרטיך האישיים, אנו ממליצים לנקוט משנה זהירות בכל הקשור להתנהלות השוטפת במרחב הדיגיטאלי: 

1. ודאו כי אינכם משתמשים באותו צירוף של שם משתמש וסיסמה עימם אתם מזדהים לשירות שנפרץ, באתרים או בשירותים מקוונים נוספים. חשוב מאוד להשתמש בסיסמה שונה בכל שירות, ומומלץ כי השינוי בסיסמה לא יהיה בנאלי (כלומר, לא די בשינוי כגון MyPass1 או MyPass! במקום MyPass). מומלץ לנהל את הסיסמאות בתוכנה ייעודית לניהול סיסמאות (כגון מחולל סיסמאות) אשר מצפינה את הסיסמה, ובכל מקרה להתאים סיסמא ייעודית לכל שירות (כך לדוגמה, לאתר GOV ניתן להתאים סיסמה ייעודית MyPass_GOV_@). כמובן שאין לשמור סיסמאות באופן גלוי בסביבת המחשב או בטלפון הנייד.
2. בכל מקרה בו עולה חשש לדלף מידע כלשהו, יש לשנות מיד את הסיסמה בשירות שנפרץ, ולהפעיל אימות דו שלבי להגברת האבטחה על חשבון המשתמש שלכם, אם השרות מאפשר זאת. בנוסף, קיימים שירותים הבוחנים אם הסיסמאות השמורות אצלם נחשפו, כך לדוגמה אם עושים שימוש במנהל הסיסמאות של גוגל בדפדפן כרום, עמוד בדיקות האבטחה בחשבון הגוגל שלכם (https://myaccount.google.com/security-checkup) יציין בפניכם רשימה של מאגרים שונים ברשת אשר נתוניהם נפרצו, ועלולים לכלול צירוף של שם המשתמש והסיסמה מתוך אחד החשבונות שלכם.
3. יש להתייחס בחשדנות מוגברת לכל פניה יזומה בדוא"ל, בהודעת טקסט ואף לשיחת טלפון. ודאו שאכן יש קשר בין הפניה היזומה אליכם לבין השירות המוכר לכם. 
4. בעת קבלת דואר אלקטרוני בדקו היטב את כתובת הדוא"ל של השולח והפעילו שיקול דעת – האם אתם מכירים את השולח? האם כבר קיבלתם בעבר דוא"ל מכתובת זו?
5. שימו לב לדואר אלקטרוני הכולל ביטויים לא שגרתיים - שגיאות כתיב וניסוח שאינו קולח, כדי לזהות ניסיונות הונאה.
6. לעולם אל תמסרו פרטים אישיים כגון סיסמה, מספר כרטיס אשראי או קוד אישי לבקשת הפונה, בפרט אם התבקשתם בשיחה לספק קוד זיהוי (OTP) אותו קיבלתם מנותן השירות.
7. היו זהירים מדואר אלקטרוני הדוחק בכם לביצוע פעולות מיידיות או ניסיונות ליצירת מצב של לחץ ודחיפוּת - זו טכניקה מוכרת המיועדת להוביל אתכם לפעול תחת לחץ ולבצע פעולה שתשרת את מטרות התוקף.
8. כמו כן, היזהרו מהודעות המכילות הבטחות או הצעות שמבטיחות זכייה כלשהי או הנחה גדולה.
9. אם נשלח אליכם קישור המציע לכם לבצע פעולה כלשהי באתר המוכר לכם, גשו לאתר באמצעות הקלדת כתובת האתר בדפדפן ולא דרך הקישור המצורף. היו חשדניים כלפי קבצים מצורפים ואל תמהרו לפתוח אותם - פתחו רק כאשר הנכם בטוחים לגבי לגיטימיות המקור או כתובת הדוא"ל של השולח. אם אינכם בטוחים לגבי מהימנות התכתובת - צרו קשר עם השולח באמצעי תקשורת אחר (למשל בשיחת טלפון). 
10. נתחו את סיכוניכם. אתם יודעים טוב מכולם מהם ערוצי התקשורת אשר עלולים עתה להיות חשופים בפני התוקף, ומהו אופי המידע שעלול להימצא בידיו ורגישותו. פעלו להקטנת הנזק בהתאם – העלו את רמת חשדנותכם במקומות הרלוונטיים, בדקו בפרוטרוט את פירוט הפעולות בכרטיס האשראי שלכם, והודעות מרשתות חברתיות במקרה בו מישהו מנסה להיכנס לחשבונכם. יידעו אנשים שהתוקף עלול לפנות אליהם, ויידעו את המשטרה והרשויות על כל נסיון סחיטה או פישינג.

'בחדרי' גם ברשתות החברתיות - הצטרפו!