למה מגזר הבריאות נמצא בחזית איומי הסייבר – ומה ארגונים חייבים לעשות עכשיו
מערכת הבריאות מחזיקה באחד מסוגי המידע הרגישים ביותר שקיימים: מידע רפואי, אישי ותפעולי של מטופלים, עובדים וספקים. בשנים האחרונות הפך המידע הזה ליעד מרכזי עבור תוקפים, לא רק בגלל ערכו הכלכלי, אלא גם בשל ההשפעה הישירה שיכולה להיות לפגיעה במערכות בריאות על רציפות הטיפול, אמון הציבור והיכולת להמשיך לפעול בזמן אמת.
ב־24 באפריל 2026 דיווחה חברת Medtronic, אחת מיצרניות המכשור הרפואי הגדולות בעולם, על פריצה לרשת הארגונית שלה. קבוצת תקיפה טענה לגניבת מעל 9 מיליון רשומות מידע אישי. האירוע הזה מצטרף לשורה ארוכה של תקיפות נגד בתי חולים, קופות חולים, מעבדות רפואיות, ספקי ציוד רפואי וחברות טכנולוגיה רפואית ברחבי העולם.
לפי דוח Verizon DBIR 2026, מגזר הבריאות הוא אחד המגזרים המותקפים ביותר בעולם כבר 14 שנה ברציפות. מעבר לנזק הכלכלי, אירוע אבטחת מידע במערכת בריאות עלול להשפיע באופן ישיר גם על חיי אדם, זמינות שירותים רפואיים ואמון המטופלים בארגון.
לא רק סייבר – גם פרטיות ואחריות רגולטורית
בשנים האחרונות הרגולציה סביב מידע רפואי ופרטיות הפכה למחמירה משמעותית יותר. בישראל, חוק הגנת הפרטיות ותיקון 13 מעלים את רף האחריות של ארגונים המחזיקים מידע אישי ורגיש. המשמעות היא שלא מספיק להחזיק פתרונות אבטחה טכנולוגיים בלבד. ארגונים נדרשים להוכיח ניהול מסודר של הרשאות, בקרות, נהלים, תיעוד, מודעות עובדים וניהול סיכונים מתמשך.
במקביל, ארגוני בריאות רבים נדרשים להתמודד גם עם תקנים ורגולציות בינלאומיות כגון GDPR, ISO 27001 ו־ISO 27799, המיועד במיוחד לעולמות הבריאות והמידע הרפואי.
המעבר הזה משנה את כללי המשחק. השאלה כבר אינה “האם הארגון הותקף”, אלא האם הוא מסוגל להראות שנקט באמצעים סבירים, ניהל את הסיכונים בצורה אחראית ופעל באופן פרואקטיבי לצמצום החשיפה.
למה דווקא ארגוני בריאות נמצאים בסיכון גבוה
בשונה מארגונים אחרים, סביבת הבריאות מבוססת על שילוב מורכב של מערכות רפואיות, מערכות IT, ציוד רפואי חכם, מערכות ענן, ספקים חיצוניים ועובדים רבים בעלי גישה למידע רגיש.
בפועל, ארגוני בריאות מתמודדים עם מספר אתגרים מרכזיים:
- ריבוי משתמשים והרשאות גישה למידע רפואי
- מערכות ותיקות שקשה לעדכן או להחליף
- חיבורי ספקים ונותני שירות מרחוק
- ציוד רפואי חכם המחובר לרשת הארגונית
- תלות גבוהה בזמינות המערכות לצורך טיפול רפואי
- מודעות עובדים שאינה תמיד מותאמת לאיומים המודרניים
התוצאה היא משטח תקיפה רחב מאוד, שבו גם טעות אנוש קטנה או הרשאה שלא נוהלה נכון עלולות להוביל לחשיפת מידע משמעותית.
האתגר האמיתי: אנשים, תהליכים ובקרה
אחד הדברים שאנו רואים שוב ושוב בארגוני בריאות הוא שהפערים המשמעותיים אינם בהכרח טכנולוגיים. במקרים רבים קיימים מוצרי אבטחה מתקדמים, אך חסרים תהליכים סדורים, מדיניות ברורה או בקרה רציפה.
לדוגמה:
- עובדים בעלי הרשאות עודפות שאינן נדרשות לתפקידם
- גישה של ספקים למערכות ללא בקרה מספקת
- מערכות שאינן ממופות באופן מלא
- היעדר תהליך מסודר לניהול אירועים ודיווח
- נהלים שאינם מיושמים בפועל בשטח
- מודעות עובדים נמוכה לניסיונות פישינג והנדסה חברתית
בדיוק בנקודות האלה נוצרת פעמים רבות החשיפה האמיתית.
ISO 27799 – תקן שמחבר בין אבטחת מידע לעולם הבריאות
אחד התקנים המרכזיים בעולמות הבריאות הוא ISO 27799, המבוסס על ISO 27001 ומותאם במיוחד לניהול אבטחת מידע במערכות רפואיות.
התקן מספק מסגרת עבודה לניהול מידע רפואי רגיש, תוך התייחסות להיבטים כמו:
- ניהול גישה למידע רפואי
- הפרדת סמכויות והרשאות
- אבטחת ציוד רפואי ומערכות קליניות
- תיעוד ובקרה
- ניהול ספקים ושרשרת אספקה
- שמירה על זמינות מידע רפואי
- הגנה על פרטיות המטופלים
מעבר לעמידה בדרישות רגולטוריות, התקן מסייע לארגונים לייצר סדר, שליטה ותהליכי עבודה ברורים יותר סביב המידע הרגיש ביותר שלהם.
מודעות עובדים היא חלק מההגנה
במגזר הבריאות, החוליה האנושית היא פעמים רבות נקודת התורפה המרכזית. צוותים רפואיים ותפעוליים עובדים תחת עומס גבוה, לחץ וזמינות מתמדת, מה שהופך אותם ליעד משמעותי עבור מתקפות פישינג, הנדסה חברתית וניסיונות התחזות.
לכן, אבטחת מידע בארגוני בריאות אינה יכולה להתבסס רק על טכנולוגיה. יש צורך בתרבות ארגונית מודעת יותר, הכוללת הדרכות עובדים, תרגילי פישינג, נהלים ברורים והטמעת שגרות עבודה בטוחות לאורך זמן.
הגנה אמיתית נבנית כאשר אנשים, תהליכים וטכנולוגיה עובדים יחד.
אבטחת מידע במערכת הבריאות היא תהליך מתמשך
ארגוני בריאות אינם יכולים להרשות לעצמם להסתכל על אבטחת מידע כפרויקט חד־פעמי או כדרישת ציות בלבד. מדובר בתהליך מתמשך של ניהול סיכונים, שיפור תהליכים, בקרה והסתגלות לאיומים משתנים.
באינפוגארד אנחנו מלווים ארגוני בריאות, ספקי שירות רפואי וחברות ציוד רפואי בתהליכי אבטחת מידע, פרטיות ורגולציה – החל מסקרי סיכונים והערכת פערים, דרך שירותי CISO ו־DPO, ועד הכנה לתקנים ורגולציות ישראליות ובינלאומיות.
המטרה אינה רק לעמוד בדרישות, אלא לבנות סביבה בטוחה, יציבה ואמינה יותר – עבור הארגון, העובדים והמטופלים כאחד.
