ישיבת ועדה של הכנסת ה-20 מתאריך 31/12/2018

הגנה על מידע במערכות ממוחשבות במערכת הבריאות

פרוטוקול

 
פרוטוקול של ישיבת ועדה

הכנסת העשרים

הכנסת



25
ועדת המדע והטכנולוגיה
31/12/2018


מושב חמישי

פרוטוקול מס' 198
מישיבת ועדת המדע והטכנולוגיה
יום שני, כ"ג בטבת התשע"ט (31 בדצמבר 2018), שעה 11:00
סדר היום
הגנה על מידע במערכות ממוחשבות במערכת הבריאות
נכחו
חברי הוועדה: אורי מקלב – היו"ר
מוזמנים
מנהל טכנולוגיות ראשי, CTO, משרד הבריאות - ראובן אליהו

יועצת משפטית, משרד הבריאות - טליה אגמון

רפרנט, אגף תקציבים, משרד האוצר - רועי רייכר

מנהל תחום מדע יישומי והנדסי, משרד המדע והטכנולוגיה - אנדריי ברויסמן

עוזר ליועמ"ש, המשרד לביטחון הפנים - מאיר פוקס

רע"ן רפואה, משרד הביטחון - לנה קורן פלדמן

מנהל תחום לקוחות, רשות התקשוב הממשלתי - אהד יצקן

המחלקה המשפטית, הרשות להגנת הפרטיות - נעמה גורני לר

מנהל חטיבת הסייבר, המוסד לביטוח לאומי - יורם ביטון

עמיתת מחקר, אוניברסיטת חיפה - מישל ספקטור

ראש מערך הסייבר והטכנולוגיה, ההסתדרות הרפואית בישראל - עומר אורבך

נציג, ההסתדרות הרפואית בישראל - אלעד גודינגר

יועץ בתחום הסייבר, הר"י, ההסתדרות הרפואית בישראל - אילן גרייסר

מנהל הגנת סייבר, בית חולים איכילוב - איציק חן

מנמ"ר, מרכז רפואי וולפסון - ישראל פיינברג

סגן מנהל אגף מערכות מידע. בית החולים ברזילי - ניר גרווה

מנהלת אגף מערכות מידע, מרכז רפואי אסף הרופא - נטליה מינולין

מנמ"ר, מרכז רפואי מעייני הישועה - שי בירנבוים

דובר, מרכז רפואי מעייני הישועה - אליהו זלמנוביץ

ממונה הגנת המידע, שירותי בריאות כללית - ישראל גולדנברג

מנהל אבטחת מידע, לאומית שירותי בריאות - ליאב אור

מנהלת אגף טכנולוגיות מידע, קופת חולים מאוחדת - רותי קורצברג

מנחה בכיר תחום הגנת הסייבר, מכבי שירותי בריאות - אלכסנדר רייף

מדען ראשי, חברת אמ. די. קלון - עיבוד ופרטיות של מידע רפואי - חובב דרור

מנהל הגנת סייבר, חברת אוברליין - הגנת סייבר - דורון סחר

סמנכ"ל, פארמה מדיס בע"מ - בשמת דורון סחר

מנהל מערכות מידע, גאמידור דיאגנוסטיקה בע"מ, אבחון רפואי - אריה יחיאלי
מנהלת הוועדה
איילת חאקימיאן
רישום פרלמנטרי
הדר אביב
הגנה על מידע במערכות ממוחשבות במערכת הבריאות
היו"ר אורי מקלב
בוקר טוב לכולם, היום יום שני, כ"ג בטבת התשע"ט, 31 בדצמבר 2018. ועדת המדע והטכנולוגיה דנה היום בדיון מיוחד שעל סדר יומה: הגנה על מידע במערכות ממוחשבות במערכת הבריאות. זאת הכותרת, אבל ברשותכם, בדקות ספורות, אני אסביר לאן אני מבקש לכוון את הדיון, בעצם על שלושה דברים. אחד מהם הוא דבר מרכזי יותר ותיכף אני אשים עליו את הדגש.

מתוקף תפקידנו אנחנו מחויבים לפקח על היערכות סייבר של משרדי הממשלה והמערכת הממשלתית והציבורית, ובמקרה שאנחנו דנים היום זה אפילו קצת חריג, זו מערכת ציבורית פרטית מתוקף כך שמערכת הבריאות מנחה גם וחוזר מנכ"ל תופס גם בגופים שהם ציבוריים-פרטיים, כמו בתי חולים שהם ציבוריים-פרטיים, שגם זה יש במדינת ישראל, לא רק בתי חולים ממשלתיים ובכלל כמערכת הבריאות. מטבע הדברים נרצה לחדד, יש גורם שהא מנחה, הוא מחייב, ואם זה נכון לגבי כל הגופים בבריאות שמתנהלים ושמנהלים את מערכת הבריאות, כמו רשות הסייבר, או חוזר מנכ"ל, מה מחייב פה.

הדבר השני שאני מבקש להתקדם איתו הוא לראות מי אחראי. אני בעיקר מדבר מבחינת היישום וההטמעה, על מי זה מוטל, וזה הולך יחד עם מי המפקח, מי הגורם המפקח על כך. והנקודה המרכזית שגם כאן אנחנו מכוונים את הדיון היא מי מממן, האם אנחנו נותנים הנחיות ומשאירים את זה לבד להתמודד, משתי סיבות, קודם כל צריכה להיות הגינות. אף אחד לא מעלה בדעתו שירחיבו את סל הבריאות ואף גורם לא יממן את זה. אבל אנחנו צופים פני עתיד, אנחנו הרי לא ועדת ביקורת שדנה אחרי האירועים. אנחנו גם מלווים את זה וגם רוצים הרבה פעמים לדון לפני. כשיש קשיי מימון, אז יש גם דחייה ביישום מטבע הדברים. התוכניות הן רב שנתיות, לא שנתיות. מה שמזין את מערכת היישום זה הנושא הכלכלי, וכשאין על זה הכרעה וכשאין על זה מימון - - -

מצד אחד, מערכת הבריאות במדינת ישראל, ואנחנו גם גאים בכך, היא חדשנית, היא מתקדמת מאוד. רוב מערכות הבריאות, אני לא אומר על כל משרד הבריאות, יש פער מאוד גדול בתוך המשרד בין ההתקדמות, בין מערכת הבריאות כולה, כולל קופת חולים, כולל בתי חולים, במערכת המחשוב שלה, בדיגיטציה שלה, אבל טיפות חלב גם נמצאות במערכת הבריאות, ואני חושב שהן בין הגופים הממשלתיים שגוררים עוד, שם עדיין עובדים עם כרטיסיות ועם הזמנת תורים וביטול תורים, ודרך הטלפונים, ואין טלפונים, ופתקים ודברים מאוד ישנים. גם לזה אנחנו מנסים להיכנס. אבל אנחנו מדברים על החלק שכן מתחדש. בכלל אנחנו פורצי דרך. כולנו יודעים על התוכנית הממשלתית שתופסת תאוצה והיא גם מושקעת הרבה, המיזם הממשלתי שהולך להיות תוכנית נחשונית במחקר, בפיתוח וביישום של בריאות דיגיטלית, או התוכנית הממשלתית לבריאות דיגיטלית בנוסח הרשמי שלה, אנחנו על כרטיסים חכמים. שר הבריאות הופיע כאן בוועדה, הוא מופיע בעוד מקומות, במשרד הבריאות, על כרטיס אישי, כרטיס חכם.

במקביל מערכת הבריאות, מתוך המשרדים הממשלתיים הלא-ביטחוניים, אני חושב שהיא המערכת הרגישה ביותר. אני לא מכיר עוד משרד שהוא יותר רגיש ממשרד הבריאות. משרד השיכון, שהוא משרד הגדול? משרד התחבורה? יכול להיות שיש שם חומר שהוא לא חומר פתוח כל הזמן, רשימת בעלי תעודת נכה, רישיונות נהיגה, ואנחנו לא מדברים על המשמעות של המידע, אבל בעיקר למה שהוא נערך, ממה שהוא צריך לחשוש. מתקפות סייבר, משרד התקשורת, משרד האנרגיה, צריך לחשוש.

אנחנו עדים לכך שבבריטניה, למשל, לא לפני הרבה זמן היתה מתקפה מאוד מאוד קשה על מערכת הבריאות והתוצאות היו תוצאות של שאלת חיים ולא רק מידע אישי ומאוד מורכב ודיסקרטי. אנחנו מדברים על שאלת חיים ממש. נדמה לי שדיברו שם על קרוב ל-200 ניתוחים דחופים מצילי חיים שנדחו ושובשו בעקבות המתקפה הזאת. אנחנו מדברים על דברים שצריך לקחת בתשומת לב ראויה וחשובה והדחופה ביותר.

בסיכומו של דבר, נבקש מהדוברים להתכוון לדברים האלה. אני ער לכך שמה שמצפים ממני זה גם נושא התקצוב שאני חושב שהוא נושא נכון ודאי לגבי הפרטיים הציבוריים, אבל גם נכון לגבי בתי החולים הכלליים הממשלתיים. בסופו של דבר גם מערכת בריאות שיש לה אילוצי תקציב, ודאי שאם יש קיצוצי תקציב, דברים שהם לכאורה נראים הכי פחות קשוחים, הם תקציבים של תוכניות ומחשוב ושדרוג, רפורמה ודברים כאלה.

ברשותכם, בגלל שאתם פניתם באופן רשמי וביקשנו ממך גם להכין מצגת – המרכז הרפואי מעייני הישועה, שמייצג את בתי החולים הפרטיים הציבוריים. ואנחנו נרצה לשמוע גם מההסתדרות הרפואית, מבתי חולים ממשלתיים, ככל שהזמן יאפשר לנו.

מר שי בירנבוים, המנמ"ר של בית החולים מעייני הישועה, בבקשה.
שי בירנבוים
(הצגת מצגת)

בוקר טוב לכולם. חבר הכנסת הרב מקלב נתן הקדמה שלא צריכה שום הרחבה, אז אנחנו ניכנס מיד לעניינים, כאשר המגמה היא לשקף – אנחנו נשקף פה בצורה מעשית את המצב של בית החולים מעייני הישועה, אבל כנראה יש הרבה מן המשותף פה ליושבי השולחן ונשקף את הפערים בין מה שאנחנו צריכים להגיע אליו לעומת המצב הקיים.

דבר ראשון, רקע כללי קצר מאוד על בית החולים. מדובר במוסד שהוא ציבורי פרטי, הוא בית חולים קהילתי, קצת ייחודי בישראל, אין כאלה דברים בישראל. הוא מונה שלושה בניינים ומתנהל על פי רוח ההלכה היהודית, אבל זה לא מונע ממנו להיות מאוד ממוחשב, ותיכף נראה את זה, משרת את כל תושבי האיזור וקהילות דתיות וחרדיות מכל קצווי הארץ. עוסק בעיקר ברפואה ציבורית, מעט מאוד ברפואה פרטית.

בית החולים מונה היום 277 מיטות אשפוז, 16 מיטות אשפוז יום, רפואה דחופה, חדרי ניתוח. הוא בית חולים כללי לכל דבר. מבחינת לידות, הוא ידוע כבית חולים מהמובילים בארץ, השלישי בגודלו. ימי האשפוז – 132,000 בשנה, יש מרפאות מפותחות. כפי שאתם רואים, יש פעילות בית חולימית כללית לכל דבר ועניין.

לגבי הטכנולוגיה – בית החולים ממש מהיווסדו, בגלל שהוא פרטי ובגלל שהוא קטן, משתדל לשמור על רמת טכנולוגיה גבוהה מאוד. הוא ממוחשב באופן מלא, כל המחלקות, כל הפלטפורמה ממוחשבת מלא, כולל ביקורי הרופא, כולל הכול. יש פיתוחים חדשניים של רופאים שמשתמשים באייפדים או בסמארטפונים מהבית בשביל לראות את התיק חולה. תיכף אני אסביר גם למה. הטלרפואה אצלנו מפותחת מאוד, בעיקר ברדיולוגיה, ויש ממשקים רבים מאוד בין המכשור הרפואי והתיק הקליני.

מילה קצרה לגבי הטיפול מרחוק – דווקא בגלל שבית החולים הוא ציבורי פרטי, והוא לא משופע בכוח אדם באופן בלתי מוגבל, אנחנו משתמשים הרבה בכוח הרפואי הבכיר שלנו גם אחרי שעות העבודה. ולכן הנושא של טלרפואה הוא מאוד מפותח ושמים עליו הרבה דגש, כיוון שבצורה כזאת אני יכול להשתמש ברופאים שלנו גם בצורה מרוחקת. כמובן שנכנסים פה לפינה ולסוגיה של הסייבר וכל הסוגיה של ההגנה, כיוון שאם יש כל כך הרבה התחברויות מרחוק, אז צריך גם לתת תשובה לנושא הזה והנושא הזה הוא מאוד מאוד חשוב.
היו"ר אורי מקלב
באופן כללי בית החולים עובד עם יוזרים פרטיים כל אחד? כל הכניסות של כל הצוות הן פרטיות?
שי בירנבוים
פרטי, ודאי. אבל עדיין מדובר פה בסוגיה של התחברויות מרחוק, מרובות מאוד, בכל מיני אמצעים הכי עכשוויים שיש, וזה דורש מענה מאוד רחב.

היום יש לנו מערכות אבטחה של גלישה מרחוק. אני מדבר בשפה ברורה לכולם, כי לא כולם פה טכנולוגיים. יש לנו חומת אש חיצונית כלפי האינטרנט, מערכת מתקדמת לסינון אתרים, סינון דואר אלקטרוני, אנטי וירוס ארגוני ותאימות לנוהלי אבטחה של הגרדיטציה. זה מה שיש היום במצב הקיים במעייני הישועה. כי שנראה תיכף, אנחנו עדיין רחוקים הרבה מהיעד האמיתי שצריך להגיע אליו ברמה של אבטחה אמיתית, אבל זה מה שיש כרגע.

בית החולים - - - לשוק הרפואה בכלל, יש את חוזר המנהל הכללי משנת 2015 לגבי הנושא של תקן 27799, יש את תקנות אבטחת הפרטיות שנכנסו בשנה שעברה, וכולם מן הסתם מתמודדים איתן פה סביב השולחן. וכתוצאה מהנושאים הללו, וגם כמובן מתקנים אירופאיים שנכנסים עכשיו חזק מאוד לשוק, כל מי שרוכש ציוד מחוץ לארץ מכיר את זה טוב. אנחנו נאלצים להתמודד עם הרבה מאוד משאבים, גם מנהלתיים וגם טכנולוגיים, שלא היו בעבר.

דבר ראשון, העמידה בתקן אבטחת מידע על מערכות הבריאות, שדורש, מעבר לנושא של העמידה בתקן, לנהל באופן שוטף או לממן באופן שוטף ממונה לאבטחת מידע, לפעמים זה יותר מאדם אחד, לפעמים זה צוות, תלוי בגודל בית החולים. יש עלויות שנתיות לדברים הללו, ישנם ארגונים שמשתמשים באאוטסורסינג ומורידים במשהו את העלויות, אבל עדיין מדובר בעלויות. מדובר בעלויות שהוכתבו מלמעלה. יש גם ביצוע של פנטריישן, סקרים של סיכונים, של חדירות, דברים שמחויבים על פי התקן פעם בשנה וחצי. ויש כמובן עבודה מול ספקים שצריכים לעמוד בתקן הזה, מה שמגביל מאוד את תהליכי הרכש, מרחיב אותם, מאריך אותם, ודורש הרבה יותר ממה שנעשה בעבר.
היו"ר אורי מקלב
יש לכם הערכה כספית של העלויות?
שי בירנבוים
יש הערכה כספית. עלות תלת שנתית לממונה אבטחת מידע זה בערך מיליון וחיצי שקל כולל מע"מ.
היו"ר אורי מקלב
לא כימתם את העלויות של ההגנה על הסייבר. אתה מדבר על הממונה עצמו.
שי בירנבוים
אני כימתי את הכול, אפשר להגיד בסוף את כל הסיפור. אבל מבחינת הממונה זה מיליון וחצי שקל. בדרך כלל מתווסף לו עוזר, כי זה תפקיד גדול. וישנם שמשתמשים בבסיס של משרה חלקית, אז זה מתחלק יותר, תלוי בגודל הפעילות.

נראה קצת מערכות שאצלנו הן חסרות, מן הסתם לחלק פה יש אותן, לחלק אין אותן, אבל מה שצריך שיהיה בכל התמונה הכוללת. דבר ראשון צריך לדעת, כפי שהרב מקלב ציין קודם את ההתקפה באנגליה – הרבה מאוד מההתקפות קורות דרך המכשור הרפואי שמחובר לפורטים של המערכת, הרבה פעמים פורטים ייחודיים, וגם הרבה פעמים זה ציוד שפחות מוגן. אין היום סטנדרטיזציה בתחום המכשור הרפואי כמו שיש בעולם המחשב. ולכן יש הרבה מאוד מקום לפרצות בנושא הזה. מקובל היום לעשות פיירוול פנימי, הגנת חומת אש פנימית. הסיפור הזה במעייני הישועה אליבא דכמות הפורטים וכמות המחשוב שיש אצלנו צריכה לעלות משהו כמו 800-700 אלף שקל. רק זה.

יש מערכת בקרה לחיבור של רשת המחשוב, מה שאנחנו קוראים - - -, זאת אומרת שלא יבוא אדם חיצוני ויתחבר פה לשקע ויהיה חלק מהרשת הכללית של בית החולים. זה סיפור של 240,000 שקל לשלוש שנים, משהו כזה. יש מערכת למניעת קוד זדוני, מה שמפורסם כזירו דיי, יום האפס, שאנחנו צריכים להגן על תחנות הקצה שלנו מהתקפות למיניהן, וזה גם כן מערכות לא זולות בכלל, שעולות 200-150, ולפעמים גם יותר, תלוי עד כמה הידרת בתחום ההגנה הזאת.

יש מערכת להגנה על המידע, כשמעבירים מידע בכלל, מה שאנחנו קוראים בעגה שלנו כספות, שזה עולם מאוד מאוד יקר, זאת אומרת, היום יש את הגוגל דרייב המפורסם שדרכו מעבירים נתונים, אבל הוא מערכת לא מאובטחת. אנחנו מעבירים נתונים שהם הכי מאובטחים שאפשר לצפות מאדם, נראה לי שצריך להיות מאובטח יותר מבנקים, והמערכות האלה דורשות מה שנקרא סטורג' מאובטח בענן. הדברים הללו עולים הרבה מאוד כסף. אנחנו עשינו סקרים של 700-600 אלף שקל הוצאות על הדברים האלה בלבד. ואני לא מדבר על השוטף. השוטף זה עוד סיפור בפני עצמו אחר כך לתחזק את זה. זה גם כוח אדם שצריך ללמוד את המערכות הללו. זה גם שוטף, שאתה משלם רישיונות לחברות, זה לא נגמר ברכישה.

יש מערכות להצפנה של מדיה נתיקה, מה שקוראים מערכות הלבנה. זאת אומרת, כל מקום שמגיע לארגון בריאות צריך להיות מוגן מבחינת דיסק און קי. ישנם ארגונים שהפתרון שלהם זה פשוט לסגור את המערכת, אז זה פתרון מאוד יעיל אבל הוא לא נותן שירות למשתמשים שלנו, ולכן היום יש מערכות הלבנה. מערכות ההלבנה הללו עולות 150-100 אלף שקל, תלוי בגודל הארגון. ויש מערכות לניהול אירועי אבטחת מידע חיצוני, מה שנקרא SIEM-SOC, כל התחום של הסקיוריטי אינפורמיישן שהיום מאוד מפותח ונרכש אך ורק כמעט תמיד על ידי אאוטסורסינג, כיוון שמדובר במערכות מאוד מאוד יקרות, וארגונים לא יכולים לסחוב את זה על עצמם, הם רוכשים את זה מבחוץ. גם זה סיפור של 150,000 שקל בשנה בערך.

דיברנו על זיהוי מרחוק. בנושא זה יש הרבה מקום להגנה, מה שנקרא Two Factor Authentication, זיהוי רב שלבי, ובנושא הזה יש הרבה שיטות ותיאוריות איך לעשות את זה. הסיפור הזה עולה כ-200 אלף שקל, תלוי מה רצית, והנושא הזה הוא מאוד קריטי. כמו שציינתי, בארגון כמו שלנו הנושא הזה הוא מאוד חשוב כיוון שאנחנו מתחברים מרחוק בצורה מסיבית למערכות בית החולים.
היו"ר אורי מקלב
אז מה סך הכול? - - -
שי בירנבוים
אז אני רק אגמור את הסקירה המהירה במהירות.

יש מערכות למניעת זליגת מידע, מה שנקרא DLP, מערכות יקרות מאוד שמאפשרות או מונעות יציאה מהדואר האלקטרוני של מידע חסוי. זה מערכות של 800-700 אלף שקל למערכת. יש נושא של אימון והדרכת העובדים, לאמן אותם שלא ייכנסו בכוונה למיילים שחשופים ושהם לא מכירים. אצלנו יש הרבה נושא של הגנה על מכשירים ניידים, כל התחום הזה של המכשירים הניידים. ויש גם הגנה על מערכות אלחוטיות בתוך בית החולים. כיוון שבית החולים הוא מערכת שמתבססת המון היום על הוט ספוטס, מה שנקרא המערכת האלחוטית, יש צורך נרחב בנושא של אבטחת מידע של המערכות הללו. שגם דרכן, כמו דרך השקע, לא ייכנסו למערכת.

סך הכול הכללי – אם אנחנו לוקחים את סך כל ההוצאות אצלנו לשלוש השנים הקרובות אנחנו מדברים על הוצאה של בין שישה לשבעה מיליון שקל. זו בערך ההוצאה הנדרשת אצלנו בארגון להביא את המצב למצב כמו שתיארתי פה.
היו"ר אורי מקלב
יש לכם פער בין הדרישות של חוזר המנכ"ל למה שאתם עושים? או שאת זה הייתם עושים גם בלי חוזר מנכ"ל? יש דברים שאתם עושים בעקבות חוזר מנכ"ל? אתם חושבים שזה מחמיר מדי או הייתם יכולים להסתפק בפחות? לפעמים במערכות יש פערים בין - - - למקרה הכי רחב, ויש פעמים שאנחנו כמערכת היינו יכולים לפי הייעוצים שלנו, היינו עושים בצורה אחרת, בגלל דרישות חוזר מנכ"ל אנחנו עושים את זה. זה מתמקד אצלך, אבל אחרי זה הדוברים האחרים יוכלו לדבר בלי פירוט.
שי בירנבוים
קודם כל, אנחנו מברכים על החוזר הזה. החוזר הזה מבחינתנו הוא דבר נכון בגדול. כמובן שיש ביקורת כזו או אחרת על התחומים שלו, אבל בגדול הוא נכון. מה שאצלנו ופה תיארתי זה הרצוי בשביל לעמוד בדרישות התקן. אין פה שום התפרעות מוגזמת. הדרישות פה הן הדרישות הסטנדרטיות היום לעמידה בנושא הגנת הסייבר הבסיסית.

כמובן שבנושא הזה זה כמו חברת ביטוח. אדם מחליט שהוא משקיע ביטוח חיים 10 מיליון שקל או מיליון שקל, זו החלטה אישית וזו החלטה גם ברמת הארגון. הארגון יכול להחליט דברים מסוימים שהוא מקל עם עצמו או לוקח את הריזיקה על עצמו, אבל בכל מקרה מדובר בריזיקות, זאת אומרת שהוא לוקח על עצמו שאם תהיה התקפה אז הוא יותר חשוף בתחומים מסוימים. זה שיקול דעת שצריך לקחת אותו, אבל זה ברור שכמעט כל הדברים שהעליתי פה הם דברים סטנדרטיים, אין פה שום יציאה החוצה להתפרעות.
היו"ר אורי מקלב
מול האוצר, במשאים ומתנים שיש לכם אתם מקבלים שיפוי על כל הנושא הזה? הוא נחשב בין ההוצאות שלכם על מערכת הבריאות?
שי בירנבוים
שום דבר. דובר איתם בעבר, ניסינו לדבר.

אני אסיים במילה אחת, שאני מברך על הדיון הזה, אני מקווה שייצא ממנו בשורה - - -
היו"ר אורי מקלב
אני לא אכחיש שבפגישה שהייתי אצלכם, המנכ"ל פנה אליי והוא עורר אותי לעשות את זה יותר דחוף. אז בשילוב של כל הדברים ביחד אתם - - - הבכורה בעניין הזה. הגם שאתם מייצגים את בתי החולים הפרטיים, שני מיליון שקל בשנה זה נשמע אולי לא הרבה בתוך מערכת הבריאות, אבל כשמדברים על הממונים, צריך להביא את הכול מבחוץ, והמערכת כל הזמן עובדת בחסר גדול מאוד. מערכת הבריאות בארץ כפי שאנחנו יודעים, היא תמיד גירעונית, היא מובנית גירעונית בצורת ההתחשבנות והכול. אז אם יש ממשלה, אז יש מי שאולי מממן גם בצורה לא טובה. אנחנו לא חושבים באופן כללי שהמערכת הזאת עובדת נכון מבחינת כל ההתחשבנות. מצד אחד יכולים לשלם תשלומי יתר על תרופות שהיום הן גנריות ויכול להיות שמשלמים עליהן מחיר יקר. אבל מצד שני אין עדכונים בכלל על כל הנושא של העלויות, על האשפוז, על הרגולציה, על הדרישות. יש פערים גדולים מאוד שהיום גם מי שהוא לא בתוך המערכת, כל איש שמתמצא יודע שמערכת הבריאות עובדת היום מעבר לחסרים, היא גם עובדת לא נכון. כשמוסיפים טלאי על טלאי, יכול להיות ששר הבריאות ימשיך, שהוא נגע בכל מיני מורסות, ויכול להיות שגם בעניין הזה, לקחת את התקציב ולבנות אותו מהתחלה, נכון, אמיתי, עלויות מול תשלומים, מול הסכמים, ולא כשאנחנו עובדים כל הזמן, חסר מכאן, מוסיפים כאן – זה לא מערכת אמיתית, זה לא מערכת שבנויה בריא.

לבי לבי עם מנהלי בתי החולים. אני לא יודע איך אפשר לנהל מערכות אמיתיות כל כך חשובות באופן הזה, כל קיצוץ רוחבי בעצם כמעט שיתק בתי חולים שלמים מכיוון שלא יקבלו כסף. קופת חולים כללית, כדוגמה, וקיימנו על זה גם דיון, יש לה קיצוצים, היא לא תעביר לבית חולים, קופות חולים קרסו, שעובדת על הדלתא הכי נמוכה.
שי בירנבוים
אני רוצה להעיר משהו מאוד חשוב לסיכום הדברים. כפי שדיברתי קודם, בעיקר בבתי החולים הפרטיים - - - הנושא של הטכנולוגיה הוא מאוד חשוב. למה הוא חשוב? כי הוא חוסך הרבה כסף. אם אני מסתכל על מעייני הישועה לפני שהוא היה ממוחשב באופן מלא - - - עם כל המערכות מלאות, היתה הרבה יותר פקידות. זה גם ברור, בשביל להביא תיק קליני אתה צריך ללכת לארכיון ולעשות חיפושים, וככה אתה עושה את זה בקליק אחד. העברת המידע בין הצוות, טיפול מרחוק. זאת אומרת, הטכנולוגיה היא לדעתי המפתח ליציבות הכלכלית של מערכות הבריאות בישראל. ככל שישקיעו בזה יותר כסף ויותר מאמץ, יגיעו ליעילות ארגונית הרבה יותר גבוהה ויגיעו למצב שבית החולים יכול להיות הרבה יותר חסכוני בהוצאות שלו ויותר מפוקח בהוצאות שלו כי יש לו את כל המידע ביד לדעת איך לנהל את עצמו נכון.
היו"ר אורי מקלב
תודה רבה על הדברים. אני תיכף אתן לעוד אנשים להתייחס לדברים האלה. אבל באופן כללי זה שהתוכנית הממשלתית היום על בריאות דיגיטלית נבעה מכך שישראל היא ייחודית מעבר למבנה של מערכת הבריאות, שיש כמה קופות חולים מרכזיות, אבל הן ומערכת הבריאות ביחד היו הנחשונים, אפשר להגיד, בהרבה מובנים וכבר עבדו על מערכות ממוחשבות. זה הביא את מדינת ישראל היום ללכת על משהו פורץ דרך שהמדינה, אולי אתם מודעים לכך, אבל הממשלה רואה בזה – כמו בסייבר אנחנו מובילים בדבר הזה ואנחנו מעצמה בעניין הזה, וכמה התעניינות יש היום ממדינות רבות בעולם, באירופה ובשאר המדינות. היום מערכת היחסים הבין-לאומיים שלנו מתבססת על היכולות שיש לנו. השם שיש למדינת ישראל היום בעולם בדבר הזה, שכולם רוצים קשרים איתנו וכולם רוצים לקבל גם.

ביום חמישי ישבתי, לא תאמינו עד איפה זה מגיע, אבל ישבתי עם ארגון יוצאי חלם במדינת ישראל. יש ארגון כזה. הם גם גילו שאני חלמאי בדי.אנ.איי. שלי כנראה, ויש להם רצון לקיים אירוע מיוחד בדצמבר 2019, צעדת המוות הראשונה שהיתה בזמן מלחמת העולם השנייה, בזמן תקופת השואה, והם רוצים - - - הם נפגשו עם ראש העיר - - -, עיר של 60,000 תושבים. הוא מוכן לעזור הרבה, אבל שיסדרו לו פגישה עם ועדת המדע והטכנולוגיה. לכן הם גם הגיעו אליי. הוא רוצה קשר עם מדינת ישראל מבחינה טכנולוגית, הם רוצים ללמוד, הוא רוצה להיות, הוא כבר היה במדינת ישראל בביקור, אבל הוא רצה שיתוף פעולה. הוא מוכן הכול לעשות בשביל שיתוף פעולה במזרח פולין, מקום רחוק.

מנהלת הוועדה, איילת, נמצאת פה, אנחנו - - - בבקשות של משלחות של ועדות אירופיות, של האיחוד האירופי, לא מזמן נפגשנו עם ועדת המדע, שבכל מקום - - - ואנחנו רואים גם בנושא של בריאות, אנחנו נפרוץ, אבל אנחנו לא מתביישים בעניין הזה. זה לא סותר שאנחנו צריכים לתת את הכלים, את המימון, ולראות שחוסר המימון לא פוגע בבית החולים, שלא הורסים מערכות, שאנחנו מסתפקים בקצת כפי שאמרנו קודם, שהמערכות האלה הן מערכות רגישות מאוד. אחרי המערכת הביטחונית מערכת הבריאות היא מערכת מאוד מאוד רגישה. דרך אגב, מערכת הבריאות מונחית על ידי רשות הסייבר כשהיא רואה את המערכת הזאת כמערכת חשובה, ייחודית גם, מה שהיא לא עושה בדברים אולי ציבוריים כלליים ופרטיים. וכאן אנחנו רוצים לראות איפה יש את הסנכרון הזה בין המחויבות והצורך לבין המימון, ואם המערכות לא נפגעות מזה שיש לנו אולי מחסור במשאבים.

עומר אורבך הוא ראש מערך הסייבר בהסתדרות הרפואית, או אילן גרייסר, וגם ראובן אליהו. תבחרו ביניכם. אני לא בוחר.
אילן גרייסר
אני אתחיל. אני אילן, אני פה עם ההסתדרות הרפואית, אבל רק הסיעו אותי לפה. מודיעין, סייבר, סטארט אפים וכולי, אבל מה שחשוב הוא שבהתנדבות שלי אני מוביל צוות אדום, זה צוות של האקרים מתנדבים, לא מקבלים כסף, לא מדווחים לאף אחד, עושים מה שבא לנו, בין 20 ל-30 חבר'ה. לפני ארבע שנים תקפנו בית חולים באישור, את רוב הדברים עשינו באישור. אני אקצר ואגב אני לא יכול לדבר על זה כי זה מצולם.
היו"ר אורי מקלב
אני מבקש מהאנשים, לא רק מי שנמצא פה, זו ועדה משודרת, צופים בה עכשיו ואחר כך, וגם יש את הפרוטוקולים. כבר קיבלנו הערות על דברים שנאמרו ואנחנו צריכים להיות זהירים ככל האפשר על דברים שנאמרו בעבר. אנחנו יודעים שהמידע הזה הוא דבר מאוד מאוד חשוב, וצריך להיות זהיר מאוד, מעלה רעיונות ועוד דברים כאלה.
אילן גרייסר
ביומיים פירקנו את בית החולים במעט מאוד עבודה, מלמטה על למעלה, לכל הדאטה, לכל הציוד הרפואי, לכל המחשבים, לכל האמבולנסים, ביומיים, באמת, בלי להתאמץ כל כך, לא רק ברמה של זליגת מידע לקחת את כל הדאטה, אלא גם ברמה של שיבוש. הפסקנו את זה באמצע פשוט כי המצב היה כבר מגוחך. וזה 15 איש אחרי העבודה שהם עושים. הפער בין מה שאנחנו חושבים שהמצב, ויש הרבה אנשים עם הרבה ידע טכנולוגי שעובדים ומשפרים - - -
היו"ר אורי מקלב
15 איש שאתה מדבר עליהם זו קבוצה רשמית?
אילן גרייסר
לא רשמית. אנחנו חברים, האקרים.
היו"ר אורי מקלב
לוקחים פרויקטים כדי לעורר? - - -
אילן גרייסר
כן. כל שלושה חודשים או חצי שנה אנחנו תוקפים משהו אחר.
היו"ר אורי מקלב
ואף פעם לא נעצרתם? הכול בסדר?
אילן גרייסר
לא. מתייחסים אלינו מאוד יפה.
היו"ר אורי מקלב
כוונות טובות. לא כוונות זדון.
אילן גרייסר
בדיוק. מכירים אותנו בהסתדרות הרפואית, במערך הסייבר, בעוד כל מיני מקומות.
היו"ר אורי מקלב
רק בתחום הבריאות אתם? - - -
אילן גרייסר
לא. כל מקום שאנחנו חושבים שהמדינה לא מגינה מספיק או שהיא לא מגינה מול איום מסוים, או שיש פער בהבנה של המגזר בין כמה הוא פגיע באמת.
היו"ר אורי מקלב
ההיכרות ביניכם זה מ-8200?
אילן גרייסר
כל מיני, כן.
היו"ר אורי מקלב
מעניין. זה נשמע חסמבה של ה - - -
אילן גרייסר
הסייבר בישראל, בייחוד התקיפה, הוא תחום מאוד מצומצם. הרבה מכירים את האנשים וכולם עוזרים לנו. אין התנגדות. האנשים שאנחנו מדברים איתם, כולם רוצים לעזור, כולם רוצים לשמוע מה היה. אנחנו לא מפרסמים את זה, לא מדברים בפורומים ציבוריים, לא מראים תוצאות, שום דבר, רק למנהלי בתי חולים או למי שצריך, ללקוח שלנו כביכול.
קריאה
יש חברם שמשחקים כדורסל, ואתם תוקפים בתי חולים. סבבה.
אילן גרייסר
אין ספק שלהיות האקר, תוקף באישור זה - - -
היו"ר אורי מקלב
זה הובי מיוחד.
אילן גרייסר
כן, אבל זה גם חשוב. אני לומד המון, לא להיכנס לבתי חולים, למשל, אף פעם.
היו"ר אורי מקלב
אני מאחל את זה לכולם, חוץ מיולדות אומנם.
אילן גרייסר
המערכת, גם בסכומים שכביכול אתם רוצים, זה גם לא מגרד את מה שבאמת צריך להגן על התהליכים הרפואיים, לא על המידע הרפואי, מה שדיברת ברמה של שיבוש, אני לא מדבר על אובדן מידע. אגב, כסף של מידע רפואי ירד בעולם מ-300 דולר ל-13, כי כל כך הרבה נחשף שזה כבר לא.

אז גם מה שאפשר לעשות עם זה, גם המערכת עצמה בנויה על שנים של שנים של הזנחה של IT, שכל מה שאנחנו מדברים על רק לעשות פאצ'ים להגן על מה שיש. אין לי הרבה מה לשפר, חוץ מזה שבאמת המצב הרבה הרבה יותר גרוע והרבה יותר מסוכן ממה שחושבים. אני רואה את כולם מהנהנים בראש, אז אנשים מבינים את זה.

צריך לשנות גם ברמה של תקציב, גם ברמה של מי עושה את האימפלמנטציה של התקציב כי בבתי חולים אין את הידע הטכנולוגי - - -
היו"ר אורי מקלב
אתה מכיר את חזור המנכ"ל?
אילן גרייסר
כן.
היו"ר אורי מקלב
הוא לא מספיק?
אילן גרייסר
הוא לא מספיק בתפיסה. וגם הנושא של לעמוד בתקנים, - - - ו-HIPAA, זה קומפליינס, זה לא סקיוריטי. אני בא מצד אחר, אני בצד שתוקף עד הסוף. אז צריך להבין שבכל הדברים האלה צריך לעשות קצת יותר וגם צריך לערב גומרים טכנולוגיים יותר משמעותיים, אני לא יודע אם זה האזרחי או הממשלתי.
היו"ר אורי מקלב
אתם גם רואים שמערכת הבריאות, חוץ מהמערכת הביטחונית, וממה שקורה בעולם, היא יעד?
אילן גרייסר
היא יעד, בייחוד בישראל.
היו"ר אורי מקלב
צריכים להגיד את זה, צריך להעלות את זה למודעות. אנחנו צריכים לשים את זה בתשתית קריטית או להעלות את זה ברמה הגבוהה של - - -
אילן גרייסר
בדיוק. עם מודיעין.
היו"ר אורי מקלב
אילן, יכול להיות שבהמשך נרצה אותך. אתה מאתגר אותנו, הכנסת אותנו לאווירה אחרת.
עומר אורבך
שלום לכולם, אני עומר מההסתדרות הרפואית, ראש מערך סייבר.

בשנים האחרונות מיפינו את מצב הבריאות בסייבר במדינת ישראל והבנו שיש בעיות – שמירה על המידע עצמו ושמירה על הטכנולוגיות. ניסינו למצוא במהלך השנים האחרונות למצוא משותף שיגדיר חלקים ממערכת הבריאות כתשתית קריטית לאומית על מנת שיוכלו לשתף הן בידע ההגנתי והן בתקציבים לבתי החולים על מנת שיהיה להם תקציב, כי אם בית חולים צריך לבחור אם מכשיר MRI או הגנה על הסייבר, הוא יבחר במכשיר MRI, שזה בטוח. ואם כבר היום יש לנו עומס על בתי החולים, ואנשים מתים בגלל עומס, אז מה יהיה בזמן מתקפת סייבר, שאז יצטרכו לבחור הרופאים עצמם בין חיים או מוות בלי המידע הדרוש להם וחוסר מידע על מנת להגיש טיפול למטופל עצמו.
היו"ר אורי מקלב
זה יכול להיות גם הרבה יותר מכך, זה יכול להטעות אותם בדברים.
עומר אורבך
שימוש מידע במזיד, בזדון, זה בהחלט דברים אפשריים. ורק שינוי דם או מדדים כלשהם יכולים להרוג בן אדם.
היו"ר אורי מקלב
אני תיכף אבקש מהאוצר – הוא נמצא כאן? אמורים להגיע? אני אבקש לדעת אם צריך לעשות עבודה בדרישות מול העלויות, צריך לעשות עבודה מקצועית בתוך האוצר, לקחת את בתי החולים – אתם יודעים שצריך, אתם לא לקחתם את כלל בתי החולים, מהי עלות התקציב להגנה אמיתית אפילו ברמה מינימלית, אבל הגנה אמיתית לכל מה שאתם מעלים, מה המערכת דורשת ומי מממן את זה, באיזה סדרי גודל אנחנו מדברים. לקחנו בית חולים קטן, אבל כשמדברים על סדרי גודל גדולים צריך להיות בתוך התקציב, בתוך היעדים, בתוך תוכניות העבודה. חייבים להעלות את זה איך שהוא. זה לא יכול להישאר בדבר שאנחנו רק נדבר עליו וכל אחד יתמודד בצורה פנימית שלו ואישית שלו.

תודה על הדברים. ראובן אליהו ממשרד הבריאות, בבקשה. אתה ממונה על אבטחת מידע במשרד הבריאות?
ראובן אליהו
אני ה-CTO של משרד הבריאות וממונה על הגנת הסייבר במגזר הבריאות. אני חושב שהדיון הזה הוא דיון מאוד מאוד חשוב.
היו"ר אורי מקלב
זו לא פעם ראשונה שאתה נמצא פה. נכון?
ראובן אליהו
זו לא פעם ראשונה שאתה שומע אותי מדבר פה.
היו"ר אורי מקלב
דיברנו אז כשדיברנו על מיישמי סייבר.
ראובן אליהו
נכון, נכון.

אז אני רוצה לספר על העשייה שלנו ואני רוצה להתייחס לנקודות שאתה אמרת. בעצם מ-2016 המשרד הקים יחידת סייבר מגזרית שתפקידה הוא בעיקר לעבוד עם ארגוני הבריאות ולעלות את המוכנות של הארגונים להתמודד עם איומי הסייבר ואתגרי הסייבר.
היו"ר אורי מקלב
סליחה. קופות החולים גם נחשבים אצלכם? אנחנו מדברים עכשיו על בתי חולים, אבל האם גם קופות החולים גם נמצאות אצלכם?
ראובן אליהו
אני מדבר על כל ארגוני הבריאות במדינת ישראל. קופות חולים, בתי חולים, מעבדות, מכונים, מרפאות, כולם כפופים לרגולציה שלנו ולהנחיות אבטחת מידע וסייבר שהקבוצה שאני מוביל מוציאה.

כפי שאמרתי, מ-2016 הקמנו יחידה שתפקידה הוא לעבוד עם הארגונים להעלות את המוכנות. הקבוצה הזאת סוקרת את השטח, ממפה אותה, אנחנו יודעים כבר היום פחות או יותר כמה תקציב באמת צריך כדי להגן על כל מגזר הבריאות, ואני מניח שהעבודה הזאת תימשך גם בשנה הבאה תחת פרויקט של רציפות תפקודית כדי שנוכל בסוף לעלות לאוצר ולהציג תמונת מצב אמיתית של מגזר הבריאות ומה נדרש כדי להגן עליו.

אני אתייחס לנקודות שאתה העלית, פיקוח והיערכות לסייבר, אז יש לנו בקבוצה הזאת יחידת בקרה ויחידת הנחיה והכוונה, שתפקידה הוא לעבור בין הארגונים, לפקח. בית חולים אלישע מכיר אותנו משבוע שעבר, שעשינו שם ביקורת של אבטחת מידע וסייבר בנושא של רישוי. כל ארגון בריאות עובר בקרה שלנו ויש פרק שלם של אבטחת מידע סייבר והגנה על פרטיות שאנחנו מחייבים את הארגונים ומבקרים אותם.

אחריות על יישום של נהלי המשרד, חוזרי המנכ"ל וחוקים היא באחריות הארגונים עצמם ומנהלי הארגונים. בעצם אנחנו דורשים מכל מנכ"ל ומנהל בית חולים וארגון בריאות אחר, לדאוג ליישם את כל נהלי אבטחת מידע והסייבר וחוקי מדינת ישראל, וזה אומר שגם לממן אותם. ופה זה החלק הקשה. אנחנו מבינים את הקושי של המימון. גם המשרד משקיע באותם נהלים וחוקים. יחד עם זאת, המשרד הרבה פעמים משקיע כסף ומקים מערכות לאומיות. אני אתן כמה דוגמאות מהשנים האחרונות.

בשנה שעברה התחלנו להטמיע מערכת SIEM מגזרית שניתנת חינם לכל ארגוני הבריאות. יש פה את איכילוב שכבר התחברו, וולפסון שמחובר, 19 בתי חולים כיום מחוברים. שי נגע בזה קודם, מערכת SIEM היא מערכת שיודעת לאסוף - - - מכל המערכות התפעוליות, לנטר אותם, ליצור שם אנומליה וחוקים, ולזהות אירועים או שימושים לא תקינים במידע או ברשת הארגונים. כיום כבר המשרד ו-19 ארגונים אחרים מחוברים ל-SIEM, ואני מקווה שבשנה הבאה נחבר את שאר גופי הבריאות, וזה ניתן בחינם לכל ארגוני הבריאות, פרטיים, ציבוריים וממשלתיים. אנחנו לא עושים הבחנה בעולם של אבטחת מידע וסייבר בין הארגונים. מה שאנחנו נותנים לממשלתיים אנחנו נותנים גם לפרטיים. הקבוצה שאני מנהל בעצם רואה את כולם כשווים. יש לנו מערכת תווך מוצפן, כספות, שפרושה על כל הארץ וגם פה אנחנו נותנים את השירות הזה חינם לארגונים, ולא מחייבים אותם, לא דורשים מהארגונים להקים.

אנחנו עורכים תרגילי סייבר, ואני מקווה שבשנה הבאה נשלים את כל הארגונים. המטרה שם היא להעלות את המודעות ולהראות לארגונים כיצד להתמודד עם אירועי סייבר ועוד עשרות פעילויות אחרות שאנחנו עורכים, מכתיבת מדיניות ועד עבודה בשטח עם הארגונים, וכל זה ממומן על ידי המשרד. היחידה הזו ממומנת בלא מעט כסף, זה מיליוני שקלים שהיא מוציאה לטובת הארגונים. אנחנו לא דורשים החזר מהארגונים כי המטרה שלנו היא להעלות את המוכנות להתמודדות עם אירועי סייבר. בשנה הבאה אנחנו הולכים להוציא רגולציה מקיפה בנושא אבטחת מידע וסייבר, שהיישום שלה לא יהיה קשה מדי, הוא ריאלי וניתן לביצוע. כמובן שאנחנו עושים ניטור של 24/7 על כל ארגוני הבריאות. יש לנו צוותי תגובה שיוצאים לשטח כל פעם, וכל זה ממומן על ידי המשרד.

דבר נוסף שאנחנו הולכים לעשות בשנה הבאה, זה להקים מתקן אימון טקטי, לאמן את גופי הבריאות, לדעת איך להתמודד עם אירועי סייבר, וגם את זה אנחנו מממנים, ואני חייב להגיד, הטכנולוגיה מתקדמת ואי אפשר להכניס טכנולוגיה בלי להביא אבטחת מידע וסייבר, וזה שינוי תפיסה שצריך להיות בתוך הארגונים. זאת אומרת, מעבר להגיד אנחנו רוצים עוד כסף ועוד כסף כשמכניסים היום טכנולוגיה חדשה, צריך לקחת בחשבון את הסייבר. ויצאה מדיניות מאוד מאוד סדורה כיצד מכניסים טכנולוגיה ומכשור רפואי לתוך ארגוני הבריאות. ובשנה הבאה אנחנו הולכים לבקר את זה שארגוני הבריאות הולכים ליישם את המדיניות הזאת, והיא אמורה לסייע למנהלי אבטחת מידע מול מנהלי בתי החולים והרופאים כיצד להכניס מכשור רפואי.

אז אני יכול לסכם שיש המון עשייה, אני חייב לומר שהיא לא תמיד הכי מספיקה בעולם וצריך עוד להמשיך ולהעלות את הקצב. אנחנו מודעים למוגבלות של המימון.
היו"ר אורי מקלב
אתה רואה שוני בין בתי החולים?
ראובן אליהו
כמובן. יש בתי חולים עם יותר משאבים, שמשקיעים יותר באבטחת מידע וסייבר ויש בתי חולים שקצת יותר קשה להם. אנחנו רואים גם את דור המדבר שאנחנו עוזרים להכשיר אותו כדי להיות מנהלי אבטחת מידע - - -
היו"ר אורי מקלב
כשאתה דיברת על פיקוח, מה הכוונה? אתה נכנס לבית חולים לראות אם יש שם הגנה? אתה לוקח צוות מקצועי, מה שדיבר אילן? או שאתה עובד עם אילן? איך אתם עושים פיקוח? מה זה פיקוח?
ראובן אליהו
אנחנו לא עובדים עם אילן. אנחנו עובדים עם אנשים אחרים אצל אילן. אנחנו מכירים שם את רעות ועדו כמה אנשים שאנחנו עובדים איתם.
היו"ר אורי מקלב
מה אתם עושים בפיקוח? פיקוח מול תוכנית עבודה? מול עשייה? איך ההתנהלות שלכם מול בתי החולים ומול כל הגופים?
ראובן אליהו
בתי החולים מגישים לנו בכל שנה תוכניות עבודה שאנחנו מבקרים אותן ורואים שבאמת התוכניות האלה מיושמות בסוף בשטח. זה דבר אחד. דבר שני, זה ביקורות רישוי, שאנחנו מגיעים עם צוות מקצועי לבית חולים ועובדים עם אנשי אבטחת מידע. והדבר השלישי זה ביקורות פתע שאנחנו עושים בארגונים כדי לראות עמידה בנהלים.
היו"ר אורי מקלב
איך היית מדרג היום את בתי החולים?
ראובן אליהו
אני יכול להגיד שבשלוש השנים האחרונות יש התקדמות מאוד גדולה בנושא אבטחת מידע וסייבר בארגוני הבריאות. זה עדיין לא מספיק. יש ארגונים שהתקדמו מאוד מאוד קדימה. אנחנו רואים את איכילוב, שיבא והכללית שרצים מאוד מאוד טוב קדימה ויש להם יותר משאבים מאשר ארגונים אחרים, כמו אלישע שיש להם קצת יותר קשיים. אבל אני חושב שנעשתה התקדמות מאוד יפה. אני חושב שגם מנהלי הארגונים כבר היום מבינים שסייבר זה אל באג 2000, והם מבינים שצריך להשקיע ויש התייחסות מאוד מאוד גדולה לנושא של אבטחת מידע וסייבר. אנחנו רואים את זה בתרגולי סייבר.
היו"ר אורי מקלב
במספרים, אנחנו אוהבים לשמוע מספרים, מה התקציב הדרוש היום, תוספת תקציבית, אם עשיתם את המיפוי הזה, מה - - - דורשת היום בשביל להיות המינימום שאתה מצפה?
ראובן אליהו
אני חושב שכדי ליישר קו נדרש כחצי מיליארד שקל למערכת הבריאות כדי להביא אותה למצב טוב.
היו"ר אורי מקלב
אני דיברתי עם השר, הוא ניהל מלחמה קשה מאוד כדי שלא יעשו קיצוצים ולא ייגעו בדבר הזה, אבל אנחנו צריכים להעלות את זה. מערכת הבריאות דורשת חצי מיליארד שקל, כפי שאתה אומר, כדי ליישר קו, ולעשות את הדבר המינימלי.

עורכת דין נעמה גורני לר, מהרשות להגנת הפרטיות, בבקשה.
נעמה גורני לר
בוקר טוב. רציתם שאני אתייחס למשהו ספציפי?
היו"ר אורי מקלב
באופן כללי. איפה אתם מחותנים בכל העניין הזה?
נעמה גורני לר
נעים מאוד, אני נעמה גורני מהמחלקה המשפטית ברשות להגנת הפרטיות. הרשות היא יחידה של משרד המשפטים - - -
היו"ר אורי מקלב
אני יודע שבכרטיס חכם אתם מעורבים. הכרטיס האישי הרפואי, יש לכם מעורבות בעניין הזה? אני לא רוצה להתפזר. מצד אחד אנחנו רוצים לקדם את הדברים האלה ואנחנו מנהלים על זה דיונים. ומצד שני אנחנו יודעים שיש כל מיני חסמים - - - בתחום צנעת הפרט והגנת הפרטיות ודברים מהסוג הזה.
נעמה גורני לר
אני אתייחס באופן כללי, ואחר כך אני אתייחס לשאלה שלך.

כפי שצוין פה קודם לכן, במאי האחרון נכנסו לתוקף תקנות הגנת הפרטיות (אבטחת מידע). רבים מכם מתייחסים לסוגיות סייבר, שהן כמובן סוגיות חשובות לחלוטין. אבל אנחנו מתמקדים בתוך התחום של אבטחת המידע בהגנה על הזכות לפרטיות של אותם פרטים שמידע עליהם נמצא בתוך מאגרי המידע.

התקנות נכנסו לתוקף בחודש מאי האחרון, כידוע לרבים מכם, ובעצם מתייחסות גם למאגרי מידע שכוללים מידע על מצבו הרפואי של אדם או על מצבו הנפשי, ולמעשה ממקמות את אותם מאגרי מידע כבר ברמת האבטחה הבינונית ובזה לא די. יתכן מאוד שאנחנו נעבור לרמת אבטחה הגבוהה ביותר. ובהתאם לכך, חובות אבטחת המידע מכוח התקנות.

עוד אבקש לציין שבמסגרת הליך פיקוח רוחב שמבצעת הרשות, זה הליך פיקוח חדש שמבוצע בצורה של שאלונים, אנחנו קיימנו הליך של פיקוח במכונים רפואיים פרטיים שחלקם עובדים עם קופות החולים ובמרכזים לבריאות הנפש, ובכוונת הרשות, בהתאם לממצאים ובהתאם לשיקול דעתה, לראות מה קורה בשנת 2019, אם אנחנו ממשיכים את הבדיקה בנוגע לכל מה שקשור למידע רפואי, כאשר כבר עכשיו יש לנו ממצאים שאנחנו בתהליכים של בחינה איך אנחנו ממשיכים מכאן הלאה.

כמובן שהרשות רואה בנושא הזה חשיבות עליונה. לא צריך להרחיב.
היו"ר אורי מקלב
כשאנחנו מדברים על מכון דיאליזה שעובד עם קופת חולים, יש לו מחויבות מבחינה עצמית בגלל שהוא נקרא מאגר מידע או מחזיק מידע שהוא צריך לשמור עליו או שבגלל שהוא עובד עם קופת חולים אז הוא צריך לשמור את זה באופן אחר?
נעמה גורני לר
מכון פרטי לצורך העניין.
היו"ר אורי מקלב
מכון פרטי, כן. קופות החולים עובדות עם מכונים פרטיים, נכון? איפה הממשק בחלק של אבטחת מידע?
נעמה גורני לר
קודם כל, קופות החולים כגוף ציבורי ובתי החולים, והחובות החלות עליהם מכוח התקנות, אבל כמובן שאותו מכון פרטי שעובד עם קופת חולים והרבה פעמים מקושר למאגרי המידע של קופת החולים, אז למעשה יש לנו סיטואציה שבה גוף פרטי מקושר לאותם מאגרים ויכול מאוד להיות גם שחשוף למידע באופן שצריך לשים עליו דגש מבחינת אבטחת המידע בצורה יותר מוקפדת. ויכול להיות במצבים מסוימים שהוא אפילו ייחשב כמחזיק באותם מאגרי מידע, ואנחנו כבר מדברים מכוח החוק ומכוח התקנות על החובות שחלות מבחינת אבטחת המידע גם על מי שמחזיק באותו מאגר מידע למרות שהוא לא בעל מאגר המידע וקופת החולים היא בעלת מאגר המידע. ולעניין הזה חלות החובות הן על קופת החולים לוודא באותם הסכמים ובהתקשרות הכללית - - -
היו"ר אורי מקלב
אבל חשוב לציין שחוק מאגר מידע מדבר לא רק על השימושים שלו, אלא גם בהגנה על הסייבר.
נעמה גורני לר
בוודאי. הכלים של אבטחת המידע הרבה פעמים הם חופפים, הן מבחינת הסייבר והן מבחינת הרשות כרשות שאמונה על הגנת הפרטיות בתוך מאגרי מידע. ולכן בוודאי שהתקנות קודם על עושות סדר, וכמובן כל החוזרים והנחיות של משרד הבריאות. אבל בוודאי, זאת סוגיה שאנחנו רואים אותה אפילו יותר בעייתית לגבי האפשרות של פגיעה בפרטיות של אותם מכונים שמחזיקים באותו מידע.

אני אוסיף שבהיבט הפלילי, לרשות יש סמכויות מינהליות וגם סמכויות פליליות. בהיבט הפלילי, פרסמנו את זה שלאחרונה הסתיימה חקירה רגישה שניהלה הרשות במרכזה עמדה העברת מידע אודות נשים שהתכוונו לבצע הפלות. המידע הועבר לידי עמותה במרכז הארץ שפעלה אולי להניא את אותן נשים מלבצע הפלה, ואני לא צריכה להרחיב על אותה רגישות יתירה, במידע רפואי בכלל, אבל במידע רפואי כל כך רגיש כמו המידע הזה. זה באופן כללי מה שאני יכולה לעדכן. כמובן שאנחנו נמצאים בקשר עם משרד הבריאות ועובדים איתם.
היו"ר אורי מקלב
אתם מרוצים?
נעמה גורני לר
מרוצים.
היו"ר אורי מקלב
גם להגיד מילה - - -
נעמה גורני לר
לגמרי, תמיד להגיד מילה טובה.
היו"ר אורי מקלב
אני חושב שמשרד הבריאות צריך לציין את זה. כל מה שהם עשו בתחום אבטחת מידע וסייבר, היחידה שהקמתם, הפעילות שלכם והמעורבות שלכם ראויה לציון. אני מציין את זה ואני לא רוצה להגיד על אחרים, אבל אני נחשף פה ואנחנו מדברים על עוד משרדים. אנחנו יודעים את הדבר החשוב, שאתם רואים את זה, גם מבחינה טכנולוגית, כל היעדים שלכם בתחום הזה הם יעדים שראויים לציון מעבר לתוכנית הממשלתית. אנחנו דנו עכשיו שכרטיס רפואי ומידע אישי, אנחנו רואים בזה יעד ורוצים להגיע לזה.

רועי, לא היית בוועדה הזו, נכון? אני אגיד לך למה. אני תוהה בעצמי, כשאיילת מנהלת הוועדה אומרת, נחכה שנציג משרד האוצר ירד מוועדת הביקורת, אמרתי, נראה לי שהוא נכנס. היא שואלת אותי, לא, אמרתי, כן, הוא נמצא שם. איך אני יודע לזהות אתכם כאנשי אוצר. תסביר לי מה יש בכם שאני מזהה אתכם. הוא מהאוצר, נכון? לא טעיתי.

ניר גרווה, מבית חולים ברזילי, בבקשה. נתון אחד שדיבר עליו ראובן, בהערכה מזערית ואולי מצומצמת, הוא דיבר על חצי מיליארד שקל כדי ליישר קו עם מערכות הגנה שצריכים בתי החולים. הוא בטח לא כלל את בתי החולים הפרטיים, אני חושב, אולי כן.
קריאה
אנחנו מדברים בתקציב הזה על הכול.
היו"ר אורי מקלב
בתחום מעייני הישועה שיש לו ייחודיות, שהוא לא ממשלתי, שאין לו מי - - - את הקופה, מתמודד לבד עם עלויות מאוד גבוהות. ובסך הכול גם בבתי חולים רגילים, זה תמיד משהו על חשבון משהו. מאוד הצפנו את הנושא הזה, כמה הנושא הזה היא תשתית קריטית, היא תשתית חשובה כמערכת הבריאות, שהיא גם יעד ואם לא נעשה לה, אז היא מאוד פרוצה ואז המשמעות היא מאוד חמורה.

ניר, בבקשה.
ניר גרווה
למערכת הבריאות יש כלים מאוד מאוד מוגבלים מבחינה תקציבית להתמודד עם סייבר, היות ותקציב הסייבר הוא לא תקציב ייעודי, אלא הוא נגזר מתקציב בית החולים וכל המגבלות, כפי שאמרת, זה מערכת גירעונית שמתחילה מראש בחסר, ומזה נגזרת פעילות. עם כל זה, בכלים שיש לנו אנחנו עושים הרבה, מנסים להטמיע את הכלים שאנחנו כן קונים עד הסוף, וכמובן יש חלק מאוד גדול של עבודה אנושית של לחנך גם את המשתמשים וגם את הספקים לעבוד בצורה שהיא יותר מאובטחת, כדי לאבטח את המטופל והנתונים שלו שהם מאוד רגישים, כפי שציינה - - -

הייחודיות של מערכת הבריאות היא שיש מתח מאוד מאוד גבוה בין הגנה לתפעול. אם במקומות ביטחוניים אתה יכול לסגור את הדלתות עד הסוף ולגדר, אז במערכת הבריאות או בתוך בית חולים, כשאתה עושה את זה, אתה באופן משמעותי פוגע בחולה. זה אומר שאתה לא תוכל להכניס מכשיר חדש לפעילות מהירה, כי אתה צריך לעשות את כל סט הבדיקות הנדרש כדי לוודא שהוא עומד בכל תקני האבטחה. והמון פעמים אתה נוטה לצד הקליני כדי לאפשר הצלת חיים, ויש לזה מחיר.

מבחינת תקינת כוח אדם, יש את מנהל אבטחת המידע, שהוא תקן קיים. אבל חסר תקן שמיישם כוח אדם, כמו שאני מבין שראובן עבר איתך, שזה כוח ייעודי שבא לקחת את מה שמנהל אבטחת מידע שם לב אליו וזיהה תהליכים ארגוניים שצריכים לבצע, ולבצע אותם דה פקטו בכלים טכנולוגיים. היום הנטל הזה נופל על מערכת IT של אותו ארגון שגם מראש היא כבר קורסת היות שיש לה תקינה מופחתת משלה כדי לנהל את התפעול השוטף של בית החולים.
היו"ר אורי מקלב
באופן כללי, שנלמד, אני לא מומחה בזה, היא מערכת שעובדת על תקצוב תלת-שנתי, מערכות המחשוב עובדות לא על תקציב שנתי באופן כולל.
ניר גרווה
אני יחסית חדש במערכת הבריאות. באתי מעבודה עם משרדים ממשלתיים אחרים. התקצוב שאני רואה הוא כרגע תקצוב שנתי. זאת אומרת, פר שנה אני מבנה את תוכנית העבודה לשנה הקרובה. יכול להיות שרעיי עושים תוכניות ארוכות יותר. אני כרגע, בתור מצטרף חדש, עשיתי תוכנית לשנה הקרובה, שנגזרת מהתקציב שיש לי.
היו"ר אורי מקלב
ומה העלות שלה?
ניר גרווה
העלות שרציתי היא בסביבות שישה-שבעה מיליון שקלים. עלות מינימלית לתפעול טוב היא שלושה מיליון שקלים. העלות שאני אקבל אחרי שיאשרו לי את התקציב - - -. כרגע אנחנו עדיין בתוך תהליך אישור תקצוב בתוך בית החולים.

לסיום, אני חושב ששיתוף הפעולה עם משרד הבריאות הוא מאוד מאוד טוב, וזה שמוקם SIEM שהוא מגזרי זה יוזמה מבורכת, ויש לנו פגישה בשבוע הבא לקדם את זה מבפנים. והייתי שמח לראות שיש תקציב שהוא ייעודי לסייבר, כדי שזה לא ייפול תחת התקציב הכולל, אלא ייועד למטרה חשובה.
היו"ר אורי מקלב
לשם אנחנו מכוונים.

אלכס רייף ממכבי, בבקשה.
אלכסנדר רייף
שלום לכולם. שלום, ראובן. אני וראובן מכירים הרבה במיילים וטלפונים.

כל מה שאני רוצה להגיד זה המשך של הדוברים הקודמים, וכפי שהבחור לידי פה אמר, אם יכולתי לסגור את כל מערכת הבריאות מאחורי מסך ברזל, לא היינו מדברים פה. אבל גם משרד הבריאות מקדם חדשנות, ומדינת ישראל בכלל מקדמת חדשנות, בעיקר בבריאות. ולחדשנות הזו יש מחיר באיומים וצריך להגן עליה.

יש בעיה אחת גדולה שאני רואה, שזה אובר-רגולציה. ובהמשך לעורכת הדין מהרשות להגנת הפרטיות שדיברה, אם אני אקח את תקן אבטחת מידע של משרד הבריאות שמחייב את גופי הבריאות לעמוד בו, ואני אקח את תקנות הגנת הפרטיות ואני אשים אותם אחד על השני, הם חופפים. אבל אני חייב לעמוד פעם אחת פה ופעם אחת פה. אני כפוף לביקורת מצד אחד ואני כפוף לביקורת מצד שני. זה גוזל המון כוח אדם, והנגזרת של כוח אדם זה כסף. זאת אומרת, אני רואה פה מקום לאיזשהו איחוד, זאת אומרת, אם אני עומד בתקנות משרד הבריאות, אם אני עומד בחוזר מנכ"ל של משרד הבריאות, אוטומטית זה אומר שאני עומד בהגנת הפרטיות, או להיפך. לא יכול להיות שאני צריך לתת דין וחשבון כל פעם לגוף אחר שבסופו של דבר זה מדינת ישראל. הרי כמו שאני מדווח מס הכנסה פעם אחת - - -
היו"ר אורי מקלב
מי הגוף שיכול?
אלכסנדר רייף
זה לא משנה. תקימו גוף חדש שיגיד, אוקיי, אני מרכז את שניהם, תעמוד מולי.
קריאה
- - -
אלכסנדר רייף
אני משלם פעמיים.
קריאה
הרשות מאפשרת הקלה.
אלכסנדר רייף
לא תמיד. גם בשביל לקבל את ההקלה, אני צריך לעבוד בשביל זה. אני צריך להגיש דוחות, אני צריך להציג הסברים.
היו"ר אורי מקלב
לא תמיד הם מקבלים את זה. אבל לפעמים רוצים דברים אחרים. לא תמיד זו אותה ביקורת.
אלכסנדר רייף
אתם צריכים להבין שכל זה זה כוח אדם, זה משרה מלאה, לפעמים זה שתי משרות מלאות, שאפשר לנתב לדברים אחרים.

כמובן, כל מה שאמרו כאן תקף, שצריך להוסיף עוד תקציבים. אבל מצד שני, זה לא מוריד מהאחריות שלנו. אני יכול להגיד על מכבי שאנחנו משקיעים המון באבטחת מידע. אבל לצערי, אנחנו משקיעים גם המון בעמידה ברגולציה, דברים שיכולנו להפנות לעשייה ממשית בשטח, שבעקיפין זה גם עומד ברגולציה.
היו"ר אורי מקלב
תודה. לא התעמקנו היום בנושא קופת חולים. אבל נתת לנו טעימה גם בעניין הזה.

יורם ביטון, מהמוסד לביטוח לאומי, מה יש לכם להוסיף?
יורם ביטון
לא, אני לא רוצה לדבר בשם המוסד לביטוח לאומי. אני בא כרגע בראש של הסייבר.
היו"ר אורי מקלב
מה התפקיד שלך?
יורם ביטון
התפקיד שלי הוא בתחום הסייבר, בתחום ה- SIEM-SOCשדיברו עליו לפני כן, גם Penetration Test, בדיקות חוסן, חדשנות. אבל שוב פעם, אני לא בשם ביטוח לאומי.
היו"ר אורי מקלב
אתה כולך ביטוח לאומי. אתה בא לפה, רואים ביטוח לאומי.
יורם ביטון
כן, אני כמעט 40 שנה שם.
יורם ביטון
יש נושא שפחות מתייחסים אליו, וזה הנושא של המכשור הרפואי עצמו, המכשור הרפואי האלקטרוני, הדיגיטלי, שמתחבר לרשתות, ואיך שהוא ניתן להגיע אליו. אני אתן איזושהי דוגמה כדי להמחיש את זה.

בכנס RSA האחרון שהיה באפריל 2018, בסשן שקשור למערכת הבריאות, הדגימו שם רופאים והאקרים איך הם משתלטים על משאבה שהיתה מחוברת לאיזושהי אינפוזיה. אותם האקרים הגבירו את הקצב של המשאבה עצמה, כשבחלונית עצמה נראה הקצב שקבעה האחות.
אלכסנדר רייף
חשוב לציין שזה קטע שחוזר על עצמו בכל כנס RSA, הם פשוט ממחזרים אותו ועושים אותו עוד פעם ועוד פעם ועוד פעם, את אותו טריק. וזה לא באמת כל כך פשוט לעשות את זה. הגנה על מכשור רפואי זה מאוד חשוב, אבל אתה חייב להיות ממוקד בנושא.
היו"ר אורי מקלב
אנחנו קיימנו דיונים - - - דברים שבאינטרנט, היו על זה כתבות, שה-iRobot בבית יכול לתת לך מידע, הוא יודע אם יש לך שטיחים, אם יש לך כלב, ואם יש לך מישהו אחר, הוא יודע על תקלות, הוא יודע על כל מה שיש לך ועוד דברים כאלה, אז קל וחומר בדברים רפואיים. אני מניח שהוא יכול לשאוב מידע והוא יודע מידע, והוא יכול לתת מידע ולאסוף מידע. בשונה אולי מחברות שמפעילות את ה-iRobot, יש להן אולי עניין, אני לא יודע אם החברות האלה, שמשווקות או מייצרות את אותם מכשירים רפואיים, אם הם מתעסקים עם זה. אני לא יודע אם יש להם עניין.

אנחנו יודעים שאותן חברות שמספקות את צורכי הבית, יש להן גם עניין לקבל את המידע, הם מוכרים אותו, מתעסקים איתו. אצלכם אולי המוטיבציה לעשות את זה, אני לא בטוח שזה נמצא שם אצל אותן חברות. אבל זה קיים, יכול להיות בגלל שהן רוצות לתת שירות, הן רוצות לדעת כשזה מתקלקל, הן רוצות לתת לך שירות של מעקב ואז הוא רוצה לדעת עוד דברים. התשובה למה ה-iRobot צריך לדעת זה מכל מיני סיבות, גם אם זה מתקלקל, להודיע לך, הם בסינכרון עם מערכות, יש להם מספיק סיבות למה רוצים את כל המידע. אני לא יודע איך אתם הגדרתם את אותם מכשירים רפואיים שאתה אומר שהם יודעים, ומי שאוגר אותם, מי שעושה בזה שימוש.
יורם ביטון
היום יש יותר ויותר מודעות לעניין הזה של לאבטח את המכשירים האלה. שוב פעם, אלה מכשירים שחיים תלויים בהם, ויש מודעות הולכת וגוברת אצל היצרנים לגבי הנושא של אבטחת מידע. אבל אם ניקח מצד שני את התקציב שכולם מדברים עליו, שהוא מאוד מאוד בעייתי, אז אני מניח שאם כן יגיע איזשהו תקציב לאיזשהו גוף שמטפל בבריאות, אז קודם כל הוא ילך לרכוש ציוד חדש ולהשלים את מה שחסר, ובטח הוא לא יפנה אותו ויטפל בכל הדברים שכן דורשים את הטיפול.
ישראל פיינברג
הציוד החדש יותר גם יהיה יותר מאובטח.
יורם ביטון
החדש יהיה יותר מאובטח, אבל עדיין גם בישן - - -

איזו עוד בעיה יש? מערכות הפעלה כמו ווינדוס מקבלות עדכונים פעם בחודש. ציוד מהסוג הזה לא מתעדכן, ואלה דברים שצריך לתת עליהם את הדעת. אולי שווה סשן מיוחד רק לנושא הזה.
היו"ר אורי מקלב
תודה על הדברים. יש לך עוד כמה דקות אתנו? משום מה הגיע לאוזניי שבבית חולים איכילוב, שם משדרגים, שמים דגש על כל נושא הסייבר. נמצא כאן איציק חן?
איציק חן
נמצא.
היו"ר אורי מקלב
אתה יכול להגיד לנו מה זה נקרא שמדברים על זה, שמרכלים עליכם שאיכילוב לקחו את כל נושא הסייבר לרמה גבוהה מאוד? במה זה בא לידי ביטוי? זה נכון, השמועה, או לא?
איציק חן
אני לא יכול להגיד שזה לא נכון.
היו"ר אורי מקלב
אין הנחתום מעיד על עיסתו.
איציק חן
אני לא יודע בדיוק מה מקור השמועות, אבל אנחנו כמובן עושים עם משרד הבריאות וגם עם חברות - - -
היו"ר אורי מקלב
זה פרויקט של המנכ"ל שלכם?
ראובן אליהו
אני אגיד מה זה יותר. באיכילוב, יש פה את איציק, ואיציק דוחף מאוד מאוד חזק קדימה את נושא אבטחת מידע וסייבר. אני חייב להגיד, בארגונים שיש בהם מנמ"ר ומנהל אבטחת מידע חזקים, הם מצליחים להביא תקציבים ולקדם. ובמקומות שאין, זה לא קורה. אז זה לזכותו של איציק.

פרופ' רוני גמזו, מנכ"ל בית החולים, היה בעבר מנכ"ל משרד הבריאות, והחליט לשים את איכילוב כמודל עולמי לנושא של אבטחת מידע וסייבר. בשנה הבאה, החל ממחר, אנחנו מתחילים פרויקט חדש שמשרד הבריאות, איכילוב, מערך הסייבר, רשות החדשנות, שנקרא: בית חולים מוגן חכם, שהמטרה שלו לבנות מודל עולמי בנושא של הגנה על ארגון בריאות, מה נדרש, ממש תפיסת עולם. וכמובן להביא משאבים נכונים וטכנולוגיות לבית החולים הזה. ואנחנו מקווים שבסוף השנה הבאה זה יהיה מודל שמכל העולם יבואו ויראו את הפרויקט הזה, ואיך זה צריך להיעשות ולעשות אותו נכון. בגלל זה איכילוב נחשב למשהו מתקדם, אבל גם בזכות העשייה של איציק ו - - -
היו"ר אורי מקלב
ומה העלויות?
ראובן אליהו
כרגע המשרד הוא שממן את הפרויקט הזה. אנחנו מקווים להשקיע שם לא מעט כסף ביחד עם שותפים אחרים.
היו"ר אורי מקלב
זאת אומרת, אני מבין שלא רק מנמ"ר רציני, גם מנכ"ל טוב יכול להביא עוד כספים ממשרד הבריאות.
ראובן אליהו
בוא נגיד שאיכילוב לא צריכים כל כך את הכספים שלנו.
איציק חן
אני רוצה להדגיש שגם אנחנו כאיכילוב, שהוא יחסית בית חולים מתקדם ועם יותר תקציבים, עדיין נתקלים בעיקר בשנה הקרובה, בגלל הקיצוץ התקציבי, יש לנו לא מעט פערים. אם אני אתייחס למה שאילן אמר מקודם, אז הוא מייצג את הסקאלה המאוד-קיצונית, של באים 15 אנשים ומפרקים את בית החולים. אנחנו אף פעם לא נהיה מוגנים ברמה הזאת. צריך גם לזכור שבית חולים הוא מקום פתוח ונגיש לציבור, ואנשים מסתובבים. זה משהו ייחודי. אין את זה כמעט בארגונים אחרים. אז אנחנו עוסקים במזעור. ומה שמשרד הבריאות עושה אתנו ובכלל – מנסים להתקדם כמה שיותר, אבל אנחנו לא נהיה ברמה הזאת.

הזכרת בהתחלה את בית החולים בבריטניה, זה יכול לקרות גם פה. זה שזה לא קרה עד עכשיו, לא הייתי מייחס את זה כל כך ליכולות, אולי ליותר מזל ובחירה - - -
היו"ר אורי מקלב
שם זה היה אירוע כופר. הם יודעים שבבתי החולים פה אין ממי לקחת.
איציק חן
זו גם אופציה.
היו"ר אורי מקלב
הם לא מתעסקים עם עניים.
איציק חן
אבל זה יכול לקרות. יש מערכות מידע בכל בית חולים, כמה מערכות מידע קריטיות, ואם הן ייפגעו, אז התמונה היא - - -
היו"ר אורי מקלב
אין ספק. אנחנו חוששים מסייבר לא בגלל כופר. אנחנו יודעים למה מדינת ישראל חשופה. אין כמעט משהו שזז במדינה שלא חשוף. גם עמותות שמתעסקות עם אוכל לנצרכים, גם שם נכנסים אלינו. אין מקום שלא מחפשים אותנו. אנחנו כל הזמן נמצאים באירועים של מתקפות. אין בהשוואה למדינה אחרת בסדרי גודל.

משרד הביטחון רוצה להגיד לנו משהו? יש מה להוסיף?
לנה קורן פלדמן
אני ד"ר לנה קורן, ראש ענף רפואה. אני רק אגיד שאמר פה עמיתי שאם אפשר היה לסגור את מערכת הבריאות מאחורי מסך ברזל, אז הוא היה מרוצה. אז אנחנו מאחורי מסך ברזל. יש לנו רשת אינטרנטית סגורה לחלוטין, עם הזדהות מאוד חזקה. עדיין אנחנו פועלים על פי הנחיות וחוזרי מנכ"ל של משרד הבריאות.
היו"ר אורי מקלב
רועי רייכר, בבקשה. רייכר זה תרגום לעשיר, אתה יודע?
רועי רייכר
רייכר, עשיר? לא.
היו"ר אורי מקלב
כן. זה ביידיש.
רועי רייכר
אז זהו, אמרו לי שבגרמנית זה עשיר, אבל ברומנית זה מעשן. ואני רומני.
היו"ר אורי מקלב
אבל אחרי שנמצאים באוצר, זה נדבק אליך גם. יש איסור לעשן גם.
רועי רייכר
קודם כל אני מתנצל מראש שיכולתי להגיע רק לרגעים האחרונים בדיון המפרה הזה. למדתי גם בדקות האחרונות - - -
היו"ר אורי מקלב
אתה רפרנט בריאות במשרד האוצר?
רועי רייכר
נכון.
היו"ר אורי מקלב
כמה זמן אתה בתפקיד?
רועי רייכר
שנה.
היו"ר אורי מקלב
מי היה לפניך?
רועי רייכר
לפניי היה אלעד מסאסא.

אני אדבר בשני משפטים על תקציב הבריאות בכלל ועל התקציבים שמופנים בתוך המרחב הזה לעולם המחשוב והסייבר בפרט. גם בתוך עולם המחשוב, לפחות בפרויקטים שמשרד הבריאות מציג לנו, התעדוף שלהם הרבה פעמים שם את הסייבר וההגנה במקום מאוד משמעותי, אבל לא פחות ממנו שם הנגשה של שירותים ומדידה בכל מיני השוואות כאלה ואחרות שמאוד חשוב למשרד הבריאות לעשות בתוך פרויקטים של מחשוב, פרויקטים שמושקעים בהם עשרות ואף מאות מיליוני שקלים.

כידוע לכם, אני מניח שדברים כבר נאמרו, אבל בארבע השנים האחרונות תקציב הבריאות גדל בממוצע של 7% בכל שנה. לשם השוואה זה כמעט פי 2.5 מהגידול בתקציב המדינה. בשלוש השנים האחרונות יש גידול של שמונה מיליארד שקלים. ואין ספק שהממשלה, בטח האחרונה, ואני מניח שגם לפניה וגם הבאות, רואות בתחום הבריאות בכלל ובעולם המחשוב והקדמה הטכנולוגית שלו בפרט מוקד שיש לשים עליו את הדעת ולהשקיע בו את המשאבים הדרושים.

כפי שאמרתי קודם, בתוך המרחב הזה יש מחלקות במשרד הבריאות שמולן אנחנו עובדים, בין היתר בדיוני תקציב, והמנגנון הוא כזה שהם מציגים את כל הצרכים של המשרד. יש את המקורות שכולנו מבינים שכל שנה הם משתנים, אבל בסוף הם תמיד יהיו קטנים מהצרכים. זה בהגדרה. ואז על בסיס תעדוף – ולפעמים התעדוף הזה בא לידי ביטוי בפרויקט שהוא מחשובי אך לא סייבר, אם זה בתוך ישראל דיגיטלית ואם לא, ולפעמים זה מגיע בכל מיני הגנות למיניהן. את המינימום, ואני מניח שודבר עליו פה, אני לא הייתי במהלך הדיון, אבל אם יש איזשהו מינימום שחוזר המנכ"ל מחייב, יש מקומות שלא יכולים לעמוד בהם, זה דברים שאנחנו נשמח להכיר ולדעת עליהם.
היו"ר אורי מקלב
זו השאלה ששאלנו. מה ההבדל בין הרחבת סל הבריאות, יש לזה שיפוי ותקציב, לחוזר מנכ"ל שמחייב, שזה לא תרופה, אבל זה מערכת הגנה, ואין לזה - - - של תקציב. מה ההבדל?
רועי רייכר
ברמת העיקרון חוזרי מנכ"ל אמורים לבוא יחד עם גיבוי תקציבי, לפחות ברמת המערכת. יכול להיות שיש זליגות פה ושם. אני אומר עוד פעם, לא זכיתי להיות בדיון ולשמוע על זליגה ספציפית, והראתה לי מנהלת הוועדה בקצרה, ואני אתעמק בזה לאחר מכן. אם אתם רוצים, אני אכתוב לכם תגובה. אבל ברמת העיקרון, לשאלתך הקונקרטית, גידול שנדרש עקב חוזר כזה או אחר לעמוד בדרישות מינימליות, אמור להיות רק לאחר שיש הסכמה וגיבוי בין הממשלה לבין השטח. במקרים שבהם זה לא קורה, בשביל זה יש את הדיונים האלה - - -
היו"ר אורי מקלב
יש חוזר מנכ"ל ויש חוזר מנכ"ל. אני מניח שחוזר מנכ"ל שמחייב בסייבר, נותנים לזה תעדוף ועדיפות. חוזר מנכ"ל יכול להיות בשירות הציבור ועוד דברים כאלה, אבל בנושא סייבר אף אחד לא יכול לקחת את האחריות, אף אחד לא רוצה לקחת אחריות, המנהל וכל הרמות, בדברים האלה של אבטחת מידע. תיכף בתי החולים יגידו, הלנו אתה או לצרינו? האם האוצר צריך בתקציבים שיש גם לראות אם אתם עושים את הדברים האלה? אנחנו חיפשנו מי הגורם המפקח. למשרד הבריאות יש גורם מפקח, וזה נכון בעניין הזה. אבל הוא גם יודע שהוא נטול תקציבים והמערכות שלו הן יותר לקדם את המערכת. החלק של הפיקוח שלו הוא פחות במערכת, הוא יותר רוצה לראות שאת התוכניות עושים, אבל כשזה מגיע לנושא תקציב, הוא גם עומד ככה. ראובן העריך את מה שחסר בחצי מיליארד שקל כדי ליישר קו למערכות הבריאות.
רועי רייכר
התהליך העקרוני שמתרחש והמנגנון הסדור שבו מתנהל תקציב המדינה, בין היתר כמובן, משרד הבריאות מוכל בתוכו. המנגנון, ואנחנו עומדים בטווח של חודשים מדיוני התקציב הבאים. בדיוני התקציב התהליך שמתרחש הוא מסגרת דיונים שבה יש העדפה ותעדוף של שימושי משרד הבריאות, אם זה פרויקט למניעת זיהומים, אם זה פרויקט לשיפור המיונים בבתי החולים ואם זה סייבר שבהרבה מקרים הוא לא פחות חשוב, בטח לאחר הדברים ששמעתי כאן ואתם שמעתם עוד לפניי.

בתוך המסגרת הזאת, המשאבים לא תמיד צבועים לשימוש מסוים. לצורך העניין, משרד האוצר הוא לא הגוף שיאמר למשרד הבריאות, את הכסף הזה אתה חייב לשים פה ופה ופה. בדרך כלל הדיון הוא דיון שבו המשרד אומר מה הוא הכי צריך, מה הכי חשוב לו, משרד האוצר אומר מה יש לו לתת, ובתוך זה מייצרים יחסי העדפה. על גבי הדבר הזה יש הרבה גופים במערכת הממשלתית שאחראים על תחום המחשוב ומערך הסייבר בפרט, ובהרבה מקרים תקציבים מועברים מהתקציב של אותו הגוף אל תקציב המשרד הרלוונטי, אם זה חינוך, ואם זה בריאות ואם זה רווחה. שני הצירים האלה אמורים לייצר תמונה משלימה.

במקרים שבהם זה לא קורה, ואם תיארתם פה לפני שהגעתי מקרה בבית חולים מסוים שבו זה לא קרה, אלה המקרים שצריך להעלות לסדר היום ולראות איך אנחנו פותרים את הבעיה.
היו"ר אורי מקלב
אני אתייחס למה שאתה אומר בדברי הסיכום. תודה על הדברים. בעיקרון אתה מסכים אתנו, תיכף אני אתייחס לזה. יש מישהו שרוצה להוסיף?
ישראל פיינברג
אני ישראל פיינברג, מנמ"ר בית חולים וולפסון.

דיברו פה על מכשירים, דיברו על תוכניות, אנחנו משתפים פעולה עם כולם. נושא שהוא לא מכשירים הוא SCADA, בעצם תשתיות המבנה של בית החולים, שזה הגזים והסולר והחשמל ומיזוג וקירור וכל מה שמתחזק את המבנה ואת מערכות המחשוב. העלויות שלהם הן מאות אלפי שקלים, ולהחליף מערכות כאלה זה פרויקטים ענקיים, כי בעצם המחשב שולט על כל מיני מנועים קטנים שפותחים וסוגרים ברזים. לפחות אצלנו זה מערכות מבוססות XP, ולהחליף אותן זה מאות אלפי שקלים. ואני מניח שברוב בתי החולים זה המצב, והנושא עולה למודעות רק השנה בשיתוף עם ראובן והצוות שלו. אני כמעט בטח שאף אחד לא מתקצב את זה.
אלכסנדר רייף
אני אחדד את מה שהוא אומר, שתקיפה של מערך SCADA כזה, אתה פשוט נשאר בלי חולים.
ישראל פיינברג
אין מבנה, אין חמצן.
היו"ר אורי מקלב
זאת אומרת, זה עוד אחת מההתמודדויות. לא נראה שבית חולים הוא מקום שיש בו דברים מסוכנים.
ישראל פיינברג
חושבים שהחמצן זורם לבד.
היו"ר אורי מקלב
רואים יותר חלוקים בלבן, ולא יודעים שמאחורי זה, החצר האחורית היא מאוד מסוכנת וצריכה הרבה השקעה.
אלעד גודינגר
אני עורך דין אלעד גודינגר, אני ראש תחום מדיניות ציבורית בהסתדרות הרפואית.

דיברנו קודם על האירוע שקרה בבריטניה, שהיה ממניע פלילי, והיו לנו פה מקרים ברשויות מקומיות שהותקפו על רקע פלילי, אין שום ספק שנגיע ליום שתהיה פה התקפה, בין אם ממניע פלילי ובין אם ממניע לאומני.
היו"ר אורי מקלב
אל תפתח פה. חס וחלילה.
אלעד גודינגר
חס וחלילה.
היו"ר אורי מקלב
זה רק כדי לעורר.
אלעד גודינגר
כן, רק להדגיש את החשיבות של התשתית הקריטית, זה הבדל עצום במובן של תקציבים ושל ידע. אני לא רואה מה יותר קריטי במערכת בריאות בנושא הזה. וחבל שנגיע לוועדת חקירה אחרי זה ונצטער על כך. תודה.
היו"ר אורי מקלב
אנחנו צמצמנו בדברי הסיכום. תודה, קודם כל, על ההשתתפות. אני גם הופתעתי לטובה וגם אנחנו מרגישים שאנחנו צריכים לחדד ולהציף את הנושא הזה. אם חשבנו שאחרי חוזר מנכ"ל נמצא פערים מאוד גדולים, אז קודם כל בתי החולים ומערכת הבריאות באופן כללי לא מלינים על חוזר מנכ"ל שזה פחות מדי או יותר מדי, אלא מסכימים איתו. בתי החולים בעצמם מודעים ויודעים את גודל האחריות שיש להם, מכירים את מה שיש להם, ויודעים שבעניין הזה צריך לעשות מאמצים. ויש גם מודעות, יש להם את הכלים לעשות את זה, ושם המשחק הוא תקציב. ככל שיהיה יותר תקציב, ידעו לעשות את זה.

אנחנו יודעים גם את הבעייתיות. זאת אומרת, אם אנחנו יודעים מצד אחד את החשיבות והצורך, יש גם את הבעייתיות והמורכבות שיש לבתי החולים שהם לא יכולים להיות משהו סגור, כספות סגורות. לקחנו את משרד התחבורה, מה יש לו שם? בעיני רוחי, נניח המאגר של תעודות הנכה שהם מנפיקים. זה לא מאגר שהוא שימושי כל יום. בבתי חולים המידע הזה הפרטי והחיצוני מול מערכות חיצוניות, מול השימושים הפנימיים, הוא דינמי מאוד, דחוף מאוד, אי אפשר לעשות להם חסמים ועיכובים. מכל הבחינות אין להשוות בזה. הסתכלתי על משרדים גדולים – משרד השיכון, מה יש במשרד השיכון? יש מאגרים של תעודות זכאות, יש עוד כמה דברים, זה לא משהו שצריך לסגור אותו, הכניסות יכולות להיות מבוקרות, משהו אחר לגמרי.

לכן שאנחנו מדברים על סייבר וכל המערכות האלה, הם צריכים לקבל מבט אחר. ואנחנו גם דורשים מהם, והם נמצאים שם בקדמה של הטכנולוגיה וההתקדמות במידע המהיר, הרחבת המידע, אפשרות השימוש של חולים, של רופאים, של מחלקות שונות. זה נמצא במקם אחר. המדינה גם שמה את זה בדגש מבחינת הביג דאטה שאנחנו יודעים שאנחנו רוצים לתת לזה להתפתח ולהמשיך להיות באופן הזה.

אני רואה תועלת במשרד, גם - - - לשר האוצר וגם לשר הבריאות, אנחנו מבקשים להעלות את הנושא הזה לקידמה. כמו המלחמה בזיהומים בבתי החולים, הסייבר במערכת הבריאות ובתחום בתי החולים צריך להיות בקדמה. ואני גם שם דגש בסוגריים, ודאי בתי החולים הפרטיים, שהם גם מוכנים לזה, הם עוד יותר צריכים להיות מכיוון שבאמת אין להם שום אפשרות של תקציבים, ואפשר מפעם לפעם לתת לחיצה עליך ולקבל תקציב ודברים כאלה.

משרד הבריאות, אני מעריך את העבודה שלכם, אני רואה גם את ההערכה שיש, אני רואה את הקשר הטוב שאתם בניתם בתוך המערכות האלה, ואני מבין שיש לכם הסכמה על נושא התקציב. אנחנו נהיה שותפים גם בהמשך, בלקדם את זה, בצורך להציף את הנושא הזה, להעלות את זה על סדר היום, לתת תעדופים, וממילא יש הרבה דברים שהם חשובים, אבל כשאתה מעלה כמה נושאים זה גם יביא לתוספת תקציב. אני מודה לך על שיתוף הפעולה וההסכמה.
ראובן אליהו
אני רוצה לומר על שתי החלטות ממשלה שקיימות. האחת, על הגופים הממשלתיים להקצות 8%, או לפחות 6% מתקציב הטכנולוגיות של הארגונים, באבטחת מידע וסייבר. לצערנו בהרבה ארגונים זה לא קורה וצריך להקפיד על זה ולדרוש שארגונים יעשו. במשרד זה נעשה, המשרד משקיע אפילו יותר, אבל זה דבר שחייב להיות בכל הארגונים. והוועדה הזאת צריכה להרים את הכפפה ולדרוש שההחלטה הזאת תחול גם על גופים פרטיים וציבוריים.
היו"ר אורי מקלב
ראובן, אני לא יודע כמה שנים אתה במשרד הבריאות, אבל כל החלטת ממשלה שאין מאחוריה תקציב ואין שיפויים מאחורי זה, זה נכון, הוא מחייב, אבל - - -
ראובן אליהו
אבל צריך לדאוג שזה יקרה. אני דואג בתוך המשרד שזה קורה אצלנו, ואני נלחם על זה. כולנו צריכים להילחם.
היו"ר אורי מקלב
זה נכון. זה יעד שצריך לעמוד בו, וזה נתן לך כיוון ומטרה.
ראובן אליהו
נכון. אני חושב שאת ההחלטה הזאת צריך לשנות גם אצל גופים ציבוריים ופרטיים, ולא רק על הממשלתיים, כי זה יכול לסייע גם לגופים פרטיים.
היו"ר אורי מקלב
אנחנו נקיים על זה דיון, על כל הגופים הפרטיים שמסתובבים סביב מערכת הבריאות, גם על המידע, גם על השירות ועל המחויבות שלהם. אני לא רוצה להתעסק בזה במסגרת בתי החולים. גם אם אתה לא שומע אותי, אני אומר את זה בסך הכול לפרוטוקול. מערכת הבריאות היא מערכת גדולה שיש לה עוד נספחים, ויש עוד מכונים ודברים פרטיים, ממשקים שיש. זה שווה דיון על מה המחויבות שלהם, איפה הם נמצאים בתוך המערכת, קניית השירותים מבחוץ. אני חושב שגם קופות החולים נותנים היום היקפים ענקיים, וזה שווה דיון בנפרד גם מהיבט הסייבר אבל גם מעוד היבטים, ואנחנו נעשה את זה.
ראובן אליהו
אני רוצה להגיד עוד דבר אחד על החלטת ממשלה נוספת שהיא על הפעילות המגזרית, פעילות שהוטלה על משרדי הממשלה אבל בחיים לא תוקצבה. זאת אומר, הממשלה דורשת ממשרדי הממשלה להיות אחראים, נגיד אצלנו במשרד הבריאות, נושא של אבטחת מידע וסייבר, אבל בחיים לא נתנה לנו כסף לנושא הזה. זאת אומרת, כל הפעילות הזאת נעשית מהתקציב הקיים של ה-IT, של המשרדים וkt כל המשרדים משקיעים בזה וזה חבל.
היו"ר אורי מקלב
אצלנו אומרים שאין חתונה בלי כתובה.
ראובן אליהו
פה אין כתובה.
היו"ר אורי מקלב
רבותיי, יום טוב. תודה רבה לכם.


הישיבה ננעלה בשעה 12:40.

קוד המקור של הנתונים