יועצי הפתולוגיה המרכזיים של אורגון פועלים כבר כמעט 60 שנה, ומציעים בדיקות מולקולריות ושירותי אבחון אחרים ממזרח לרכס הקסקייד.
החל מהחורף שעבר, היא פעלה במשך חודשים ללא תשלום, ושרדה במזומן בהישג יד, אמרה מנהלת האימון ג'ולי טרייסוול. הנוהג נתפס לאחר אחת ההתקפות הדיגיטליות המשמעותיות ביותר בהיסטוריה האמריקאית: הפריצה של מנהל התשלומים Change Healthcare בפברואר.
לאחרונה נודע ל-COPC ש-Change החלה לעבד חלק מהתביעות הקיימות, שמספרו בערך 20,000 נכון ליולי, אך טרייסוול לא יודעת אילו, לדבריה. פורטל התשלומים למטופלים נשאר מושבת, כלומר לקוחות אינם יכולים להסדיר את חשבונותיהם.
"ייקח חודשים כדי להיות מסוגל לחשב את ההפסד הכולל של זמן ההשבתה הזה", אמרה.
שירותי בריאות הם היעד השכיח ביותר להתקפות כופר: בשנת 2023, אומר ה-FBI, 249 מהם כוונו למוסדות בריאות – הכי הרבה מכל מגזר.
ומנהלי בריאות, עורכי דין ואלו במסדרונות הקונגרס מודאגים מכך שהתגובה של הממשל הפדרלי היא חסרת כוח, חסרת מימון ומתמקדת יתר על המידה בהגנה על בתי חולים – אפילו ש-Change הוכיח שחולשות נפוצות.
"הגישה הנוכחית של מחלקת הבריאות ושירותי האנוש לאבטחת סייבר של שירותי בריאות – רגולציה עצמית ושיטות עבודה מומלצות מרצון – היא לקויה למרבה הצער והותירה את מערכת הבריאות פגיעה לפושעים והאקרים ממשלתיים זרים", הסנאטור רון ווידן (D-Ore.) , יו"ר ועדת הכספים של הסנאט, כתב לאחרונה במכתב לסוכנות.
הכסף לא קיים, אמר מארק מונטגומרי, מנהל בכיר ב-Foundation for Defense of Democracies' Center on Cyber and Technology Innovation. "ראינו מאמצים מצטברים עד כמעט לא קיימים" להשקיע יותר באבטחה, אמר.
המשימה דחופה – 2024 הייתה שנה של פריצות לבריאות. מאות בתי חולים ברחבי דרום מזרח התמודדו עם שיבושים ביכולתם להשיג דם לעירוי לאחר שהמלכ"ר OneBlood, שירות תרומות, נפלה קורבן להתקפת תוכנת כופר.
התקפות סייבר מסבכות משימות שגרתיות ומורכבות כאחד, אמר נייט קוטור, קצין אבטחת מידע ראשי ברשת הבריאות של אוניברסיטת ורמונט, שנפגע ממתקפת תוכנת כופר בשנת 2020. "אנחנו לא יכולים לערבב קוקטייל כימותרפי בעין", אמר. בהתייחסו לטיפולי סרטן, באירוע ביוני בוושינגטון הבירה
בדצמבר, HHS הוציאה אסטרטגיית אבטחת סייבר שנועדה לתמוך במגזר. מספר הצעות התמקדו בבתי חולים, כולל תוכנית גזר ומקל לתגמל ספקים שאימצו שיטות אבטחה "חיוניות" מסוימות ולהעניש את אלו שלא.
אפילו המיקוד המצומצם הזה עשוי לקחת שנים להתממש: לפי הצעת התקציב של המחלקה, כסף יתחיל לזרום לבתי חולים "בעלי צרכים גבוהים" בשנת הכספים 2027.
ההתמקדות בבתי חולים "לא מתאימה", אמרה בראיון איליאנה פיטרס, עורכת אכיפה לשעבר במשרד לזכויות האזרח של HHS. "הממשלה הפדרלית צריכה ללכת רחוק יותר" על ידי השקעה גם בארגונים המספקים ומתקשרים עם ספקים, אמרה.
האינטרס של המחלקה בהגנה על בריאות ובטיחות המטופלים "מציב בתי חולים קרובים לראש רשימת השותפים המועדפים שלנו", אמר בריאן מאזנק, סגן מנהל במינהל למוכנות אסטרטגית ותגובה ב-HHS, בראיון.
האחריות לאבטחת הסייבר הבריאותית של המדינה חולקת על ידי שלושה משרדים בתוך שתי סוכנויות שונות. משרד זכויות האזרח של מחלקת הבריאות הוא מעין שוטר על הקצב, שעוקב אחר אם לבתי חולים ולקבוצות בריאות אחרות יש הגנות נאותות לפרטיות המטופלים, ואם לא, הוא עלול לקנוס אותם.
משרד ההיערכות של מחלקת הבריאות והסוכנות לאבטחת סייבר ואבטחת תשתיות של המחלקה לביטחון פנים מסייעים בבניית הגנות – כמו מתן חובה למפתחי תוכנה רפואית להשתמש בטכנולוגיית ביקורת כדי לבדוק את האבטחה שלהם.
שני האחרונים נדרשים ליצור רשימה של "גופים חשובים מבחינה מערכתית" שפעילותם היא קריטית לתפקוד חלק של מערכת הבריאות. גופים אלה יכולים לקבל תשומת לב מיוחדת, כמו הכללה בתדריכי איומים ממשלתיים, אמר בראיון ג'וש קורמן, מייסד שותף של קבוצת קידום הסייבר I Am The Cavalry.
פקידים פדרליים עבדו על הרשימה כשהחדשות על פריצת ה-Change התפרסמו – אך Change Healthcare לא הייתה בה, אמרה ג'ן איסטרלי, מנהיגת סוכנות הסייבר של Homeland Security, באירוע במארס.
Nitin Natarajan, סגן מנהל סוכנות אבטחת הסייבר, אמר ל-KFF Health News כי הרשימה היא רק טיוטה. הסוכנות העריכה בעבר כי תסיים את רשימת הישויות – על פני המגזרים – בספטמבר האחרון.
משרד המוכנות של מחלקת הבריאות אמור לתאם עם סוכנות אבטחת הסייבר של ביטחון המולדת ולרוחב מחלקת הבריאות, אך אנשי הקונגרס אמרו כי המאמצים של המשרד אינם נכשלים. יש "ממגורות מצוינות" ב-HHS, "שם צוותים לא דיברו זה עם זה, (איפה) לא היה ברור למי אנשים צריכים ללכת", אמר מאט מקמורי, ראש הסגל של נציג רובין קלי (D -איל.), בכנס ביוני.
האם משרד המוכנות של משרד הבריאות "הבית הנכון לאבטחת סייבר? אני לא בטוח", אמר.
מבחינה היסטורית, המשרד התמקד באסונות בעולם הפיזי – רעידות אדמה, הוריקנים, התקפות אנתרקס, מגיפות. זה ירש את אבטחת הסייבר כאשר הנהגת המחלקה מתקופת טראמפ תפסה עוד כסף וסמכות, אמר כריס מיקינס, שעבד במשרד המוכנות תחת טראמפ וכעת הוא אנליסט בבנק ההשקעות ריימונד ג'יימס.
אבל מאז, אמר מיקינס, הסוכנות הראתה שהיא "לא מוסמכת לעשות את זה. אין שם את המימון, אין את ההתקשרות, אין את המומחיות שם".
למשרד המוכנות יש רק "קומץ קטן" של עובדים המתמקדים באבטחת סייבר, אמרה אנני פיקסלר, מנהלת המרכז לחדשנות בסייבר וטכנולוגיה של ה-FDD. Mazanec מודה שהמספר אינו גבוה אך מקווה שמימון נוסף יאפשר גיוס עובדים נוספים.
המשרד איחר להגיב למשוב מבחוץ. כאשר מסלקה תעשייתית לאיומי סייבר ניסתה לתאם איתה כדי ליצור תהליך תגובה לאירועים, "לקח כנראה שלוש שנים לזהות מישהו שמוכן לתמוך" במאמץ, אמר ג'ים רות', יו"ר הדירקטוריון דאז של הקבוצה, Health Information Sharing ומרכז הניתוח.
במהלך מתקפת NotPetya ב-2017 – פריצה שגרמה נזק גדול לבתי חולים וליצרנית התרופות Merck – בסופו של דבר Health-ISAC הפיצה מידע לחבריה בעצמה, כולל השיטה הטובה ביותר להכיל את המתקפה, אמר רוט.
התומכים בוחנים את הפריצה ל-Change – שנגרמה לפי הדיווחים מהיעדר אימות רב-גורמי, טכנולוגיה המוכרת מאוד במקומות העבודה של אמריקה – ואומרים ש-HHS צריך להשתמש במנדטים ובתמריצים כדי לגרום למגזר הבריאות לאמץ הגנות טובות יותר. האסטרטגיה של המחלקה שפורסמה בדצמבר הציעה רשימה מצומצמת יחסית של יעדים עבור מגזר הבריאות, שהן ברובן התנדבותיות בשלב זה. הסוכנות "חוקרת" יצירת תקנים "ניתנים לאכיפה", אמר מאזנק.
חלק גדול מאסטרטגיית HHS אמורה להתגלגל במהלך החודשים הקרובים. המחלקה כבר ביקשה מימון נוסף. משרד המוכנות, למשל, רוצה 12 מיליון דולר נוספים עבור אבטחת סייבר. המשרד לזכויות האזרח, עם תקציב שטוח וצוות אכיפה מתמעט, אמור לפרסם עדכון לכללי הפרטיות והאבטחה שלו.
"יש עדיין אתגרים משמעותיים שהתעשייה כולה מתמודדת איתם", אמר רות'. "אני לא רואה שום דבר באופק שבהכרח ישנה את זה".
מאמר זה נדפס מחדש מ-khn.org, חדר חדשות ארצי המייצר עיתונאות מעמיקה בנושאי בריאות ומהווה אחת מתוכניות הליבה הפועלות ב-KFF – המקור העצמאי למחקר מדיניות בריאות, סקרים ועיתונאות. |