שירות הפורוורד של משרד הבריאות
פירצת אבטחה הכי פשוטה באתר המרכז הרפואי ת”א ע”ש סוראסקי חשפה מידע רפואי מסווג על מטופלים שזימנו באמצעותו תורים. פרסמתי על זה ידיעה בכלכליסט.
כשפניתי ביום שני לדוברת סוראסקי, אביבה שמר, היא קודם כל דאגה מיד שהפירצה תיסגר, ואחר כך שלחה תגובה שקצת קוממה אותי:
מדובר באתר אינטרנט המהווה ערוץ תקשורת של חולים עם בית חולים, ולא במערכות המידע של בית החולים.
האתר מתוחזק על ידי חברה חיצונית לבית החולים.
הטופס לזימון תורים, שהגישה אליו נפרצה, הורד מהאתר לאלתר, ובית החולים ינקוט בכל האמצעים הנדרשים לאבטחת מידע זה בעתיד.
• העובדה שלא מדובר במערכות המידע של בית החולים (כלומר, שלא נחשפו התיקים הרפואיים, אלא רק הזימונים) היא נחמה קטנה מאוד למי שהמידע הרפואי שלו נחשף, כמו אחד המטופלים שביקש לקבוע תור לבדיקה פסיכיאטרית דחופה, למשל.
• העובדה שהאתר מתוחזק על ידי חברה חיצונית לבית החולים לא מעניינת אף אחד, כמו שלא אסכים לקבל את הנימוק “חברת החשמל אחראית על החשמל” אם הפסקת חשמל תהרוג את כל החולים המחוברים למכונות הנשמה – בית החולים אחראי על האתר שלו ועל אבטחת המידע הרגיש שבו. ואם החברה החיצונית עושה עבודה גרועה, שמנהלי סוראסקי יעיפו אותה ויתנו את העבודה לחברה אחרת (ואחרי המון טלפונים היום לקונסיסט מערכות, חברת הענק שבנתה את האתר ומתחזקת אותו, חזרה אלי בערב המנכ”לית עדית שרויטמן, והסכימה לומר רק זאת: “אנחנו לא דנים עם התקשורת במערכות היחסים שלנו עם הלקוחות שלנו”. שזה בסדר גמור, כאמור, כי זכותם לעשות עבודה לא טובה, האחריות בסופו של דבר היא של סוראסקי).
• ההבטחה לנקוט בכל האמצעים לאבטח את המידע בעתיד מעלה את התהיה למה צריך היה לחכות לפירצה כדי לנקוט בהם.
במקביל ביקשתי תגובה ממשרד הבריאות, הרגולטור והרשות האחראית על סוראסקי. דוברת המשרד, עינב שימרון-גרינבוים, שלחה תשובה אפילו יותר מקוממת – משפט נאצל על חשיבות הסודיות הרפואית וקופי-פייסט של התגובה של סוראסקי:
שמירת החיסיון הרפואי היא אחת מאבני היסוד של ניהול מערכת הרפואה הן במישור שבין הרופא למטופל והן חובתו של המוסד הרפואי.
מבדיקה שערכנו מול בית החולים עלה כי:
1. מדובר בערוץ תקשורת של חולים עם בית החולים ולא במערכות המידע של בית החולים.
2. האתר מתוחזק על ידי חברה חיצונית לבית החולים.
3. הטופס לזימון תורים שהגישה אליו נפרצה הורד מהאתר לאלתר. בית החולים ינקוט בכל האמצעים הנדרשים לאבטחת מידע זה בעתיד.
זה לא רק שהמשרד אימץ את הטיעונים הלא-מקובלים של סוראסקי בלי לשאול או להתווכח, בשמשו כמעין שירות פורוורד אנושי לתגובה של המרכז הרפואי; הוא גם נמנע מלנקוט עמדה וצעדים, כמו לברר את הנסיבות שהובילו לפירצה הרשלנית, לנקוט בסנקציות נגד בית החולים או סתם להפיק לקחים ולחדד נהלים – מין דברים כאלה שמתבקש לעשות כשמתגלה פגיעה כזאת ב”אחת מאבני היסוד של ניהול מערכת הרפואה”. תדע כל אם עבריה שמסרה את גורל תיקה הרפואי לידי סקריפט קידיז.
אחרי כמה וכמה שיחות עם משרד הבריאות הצלחנו להעביר את המסר ש”סוראסקי אמרו שזה בסדר, אז מבחינתנו סבבה” זו ממש לא תשובה מספקת מרגולטור שבעצמו מודה ששמירת החיסיון היא מאבני היסוד וכו’, והם עיבו קצת את התגובה:
שמירת החיסיון הרפואי היא אחת מאבני היסוד של ניהול מערכת הרפואה, הן במישור שבין הרופא למטופל והן כחובתו של המוסד הרפואי. מבדיקה ראשונית עולה כי אכן נמצאה פרצת אבטחה בטופס זימון התורים. ככל הידוע לנו, עם היוודע לבית החולים על הפרצה הטופס המדובר הוסר מהאתר לאלתר. יחד עם זאת, משרד הבריאות יקיים בדיקה מעמיקה של הנושא.
היום ביקשתי לדבר עם גורם רלוונטי במשרד, המנכ”ל או מי שאמון על אכיפת הסודיות הרפואית. אחרי מי יודע כמה שיחות קיבלתי תגובה חדשה, הפעם עם הבטחה לפעולות של ממש:
הממונה על אבטחת המידע במשרד הבריאות, איתן מלמד, יסייע לבית החולים בטיפול בפרצה שאותרה ובמניעת הישנות מקרים כאלה בעתיד. בנוסף יבחנו ערוצי התקשורת עם הציבור בבתי החולים האחרים כדי לוודא שמקוימים נוהלי אבטחת המידע של המשרד.
עד 50 אלף שקל סטטוטורי לנפגע
לסיפור הזה יש גם היבט משפטי – פגיעה בפרטיות של המטופלים לפי חוק הגנת הפרטיות. “חוק הגנת הפרטיות קובע שהפרת סעיפים מסויימים ממנו במזיד, כלומר בכוונת זדון, הינם עבירה פלילית, אולם מרגע שמדובר ברשלנות אפשרית ולא בזדון – אין זו עבירה פלילית”, הסביר לי עו”ד יורם ליכטנשטיין, המתמחה באינטרנט ובדיני טכנולוגיות. “במרבית המקרים, למעט בסוגי עבירות כגון איסורים מוחלטים והריגת אדם, לא מעמידים לדין פלילי על התרשלות, כיוון שזו אינה עבירה. עוד צריך לזכור שסעיף 16 לחוק קובע גם איסור על חשיפת מידע שהגיע לאדם במסגרת ניהול מאגר מידע, אלא למטרות מותרות, כגון ביצוע העבודה לשמה נמסר המידע, על פי צו בית משפט וכיוצא בזה. הפרת סעיף זה מוגדרת כעבירה פלילית שעונשה חמש שנות מאסר, אולם גם כאן יחולו הסטנדרטים העונשיים לגבי הצורך במודעות לעבירה, ואם לא תוכח ידיעה בפועל ולא רק התרשלות – אין המדובר בעבירה פלילית והעונש לא יחול”.
ומה לגבי פיצויים לנפגעים?
“הפיצוי לפי חוק הגנת הפרטיות חל במקרה של הרשעה בעבירה פלילית או בעוולה אזרחית. בשני המקרים בית המשפט רשאי לפסוק לכל נפגע סעד של פיצוי בלא הוכחת נזק העולה עד כדי 50 אלף שקל, וכמובן יכול להיות נמוך ממנו”.
אז המטופלים יוכלו להגיש תביעות אזרחיות נגד סוראסקי ולדרוש פיצויים?
“חוק הגנת הפרטיות קובע שהפרת הוראותיו מהווה עילה נזיקית לפי פקודת הנזיקין. משמעות הדבר, בין היתר, היא שאם נציגי המוסד הרפואי פעלו לפי סטנדרטים לפיהם היו פועלים אנשי מקצוע סבירים בתחומם, סביר להניח שיקבע שהם לא גרמו לעוולה נזיקית. מנגד, אם היתה כאן פעולה לא סבירה כך שתוכח אחריות נזיקית, ואם היו נפגעים רבים מהפעולה הבעייתית, הסעד שקובע החוק יכול להצטבר לסכומים לא מבוטלים. זו הקלה שהמחוקק מעניק לתובעים, כיוון שבמרבית המקרים קשה מאוד לקשור בין נזק ישיר לבין הפרת הפרטיות. כלומר – צריך לזכור שאין בכלל חובה שיגרם נזק. גם אם לא נגרם נזק, עצם החשיפה מזכה בפיצוי, אם כי סביר להניח שהוא לא יהיה 50 אלף שקל אלא נמוך מכך”.
• מן הארכיב: רכבת ישראל מסירה אחריות משירות המודיעין בסלולרי
תגובות
מה זה פה?
רוצה להפיק פודקאסט?
המלצת סייברסייבר (מ)
פרנסה
-
לאחרונה בחדר 404
-
ילד, רובוט התמיכה הרגשית שלך עומד למות
האחראי על האינטרנט בגלצ
-
שליחות קטלנית בלי ביטוח רפואי האחראי על האינטרנט בגלצ
-
ה-NFL מזייפים את אלישה קיז, קנדה אייר מאשימים את הצ’טבוט ומפסידים האחראי על האינטרנט בגלצ
-
שתיקטוק האחראי על האינטרנט בגלצ
-
איך מדרגים בעברית?
- שקר הביטקוין, קיץ חם במקרר של שופרסל, הצופן היווני ועוד עדכוני סייברסייבר
-
זום מסתבכת עם העובדים והמשתמשים האחראי על האינטרנט בגלצ
- אילן מאסק ממשיך לחטוף יוזרים בטוויטר
- ברכות לסופרת בינה מ. על כניסתה לרשימת רבי המכר של קינדל
- פסיקה עלולה לתת למו”לים שליטה מוחלטת על השאלת ספרים דיגיטליים בספריות
- תומכי נטלי דדון מבצעים לינצ’טרנט שנמוך דירוג בבית-קפה הלא-נכון
-
זעם נגד תרגום המכונה האחראי על האינטרנט בגלצ
-
מתמונות חתולים לפוליצר – חדשות באזזפיד נסגרים האחראי על האינטרנט בגלצ
-
תיק-תק לחסום את טיקטוק האחראי על האינטרנט בגלצ
-
זו תרבות ביטול על כלום האחראי על האינטרנט בגלצ
-
ילד, רובוט התמיכה הרגשית שלך עומד למות
משהו שצריך לבדוק: אם “האתר מתוחזק על ידי חברה חיצונית”, האם זה אומר שמאגר המידע נמצא בידיה? האם יש לה רשיון לניהול מאגרי מידע? האם עובדים שם אנשים שתמורת 50 שקל יתנו כל מידע על כל מטופל? ומה הממונה על אבטחת מידע רפואי עשה עד היום, חוץ מללמד את המזכירות איך עושים קופי פייסט?
וכמו כן, שוב ושוב: חוסר מקצועיות בתחום התוכנה בישראל.
אני מעריך (ויתקנו אותי כל עורכי הדין), שאין עילה למטופלים לתבוע, כל עוד לא הוכח שמישהו באמת “פרץ” בצורה הפרימיטיבית הזו ונחשף למידע. ייתכן שהמידע היה שמור בצורה רשלנית, אבל הפיצוי הסטטוטורי מפצה כאשר המידע הרפואי נחשף. במקרה דנן לא הוכח אם הוא נחשף (זולת לך, ולמי שגילה את הפרצה הזו).
אבל אולי אני טועה.
דוברמן, הבעיה היא כמובן לא אם אפשר לתבוע או לא, אלא שלאף אחד לא ממש אכפת, או אין כל רצון לקחת אחריות על מידע פרטי שעלול לדלוף, וגם אין אינטרס לשמור על המידע הפרטי שלנו.
מפתיע אותי שלא קומם אותך שהיא אמרה “הטופס… שהגישה אליו -נפרצה-“.
שום דבר כאן לא נפרץ. היא גורמת לזה להראות כאילו הם קורבנות של האקרים מסוכנים. זה הרי מערכת שבנויה ברשלנות שמאפשרת לכל אחד בפעולה פשוטה לפשפש בתורים. שום דבר לא “נפרץ”, ולא מעורב פה “פורץ”.
ועל זה היו כותבים הטוקבקיסטים:
“להחרים את בית החולים סוראסקי!! לא להתאשפז אצלם!! רק כשפוגעים להם בכיס הם מבינים!!1”