פרוטוקול של ישיבת ועדה

הכנסת העשרים

הכנסת



25
ועדת המדע והטכנולוגיה
31/12/2018


מושב חמישי

פרוטוקול מס' 198
מישיבת ועדת המדע והטכנולוגיה
יום שני, כ"ג בטבת התשע"ט (31 בדצמבר 2018), שעה 11:00

הגנה על מידע במערכות ממוחשבות במערכת הבריאות

חברי הוועדה: אורי מקלב – היו"ר

מנהל טכנולוגיות ראשי, CTO, משרד הבריאות - ראובן אליהו

יועצת משפטית, משרד הבריאות - טליה אגמון

רפרנט, אגף תקציבים, משרד האוצר - רועי רייכר

מנהל תחום מדע יישומי והנדסי, משרד המדע והטכנולוגיה - אנדריי ברויסמן

עוזר ליועמ"ש, המשרד לביטחון הפנים - מאיר פוקס

רע"ן רפואה, משרד הביטחון - לנה קורן פלדמן

מנהל תחום לקוחות, רשות התקשוב הממשלתי - אהד יצקן

המחלקה המשפטית, הרשות להגנת הפרטיות - נעמה גורני לר

מנהל חטיבת הסייבר, המוסד לביטוח לאומי - יורם ביטון

עמיתת מחקר, אוניברסיטת חיפה - מישל ספקטור

ראש מערך הסייבר והטכנולוגיה, ההסתדרות הרפואית בישראל - עומר אורבך

נציג, ההסתדרות הרפואית בישראל - אלעד גודינגר

יועץ בתחום הסייבר, הר"י, ההסתדרות הרפואית בישראל - אילן גרייסר

מנהל הגנת סייבר, בית חולים איכילוב - איציק חן

מנמ"ר, מרכז רפואי וולפסון - ישראל פיינברג

סגן מנהל אגף מערכות מידע. בית החולים ברזילי - ניר גרווה

מנהלת אגף מערכות מידע, מרכז רפואי אסף הרופא - נטליה מינולין

מנמ"ר, מרכז רפואי מעייני הישועה - שי בירנבוים

דובר, מרכז רפואי מעייני הישועה - אליהו זלמנוביץ

ממונה הגנת המידע, שירותי בריאות כללית - ישראל גולדנברג

מנהל אבטחת מידע, לאומית שירותי בריאות - ליאב אור

מנהלת אגף טכנולוגיות מידע, קופת חולים מאוחדת - רותי קורצברג

מנחה בכיר תחום הגנת הסייבר, מכבי שירותי בריאות - אלכסנדר רייף

מדען ראשי, חברת אמ. די. קלון - עיבוד ופרטיות של מידע רפואי - חובב דרור

מנהל הגנת סייבר, חברת אוברליין - הגנת סייבר - דורון סחר

סמנכ"ל, פארמה מדיס בע"מ - בשמת דורון סחר

מנהל מערכות מידע, גאמידור דיאגנוסטיקה בע"מ, אבחון רפואי - אריה יחיאלי

איילת חאקימיאן

הדר אביב
הגנה על מידע במערכות ממוחשבות במערכת הבריאות

בוקר טוב לכולם, היום יום שני, כ"ג בטבת התשע"ט, 31 בדצמבר 2018. ועדת המדע והטכנולוגיה דנה היום בדיון מיוחד שעל סדר יומה: הגנה על מידע במערכות ממוחשבות במערכת הבריאות. זאת הכותרת, אבל ברשותכם, בדקות ספורות, אני אסביר לאן אני מבקש לכוון את הדיון, בעצם על שלושה דברים. אחד מהם הוא דבר מרכזי יותר ותיכף אני אשים עליו את הדגש.

מתוקף תפקידנו אנחנו מחויבים לפקח על היערכות סייבר של משרדי הממשלה והמערכת הממשלתית והציבורית, ובמקרה שאנחנו דנים היום זה אפילו קצת חריג, זו מערכת ציבורית פרטית מתוקף כך שמערכת הבריאות מנחה גם וחוזר מנכ"ל תופס גם בגופים שהם ציבוריים-פרטיים, כמו בתי חולים שהם ציבוריים-פרטיים, שגם זה יש במדינת ישראל, לא רק בתי חולים ממשלתיים ובכלל כמערכת הבריאות. מטבע הדברים נרצה לחדד, יש גורם שהא מנחה, הוא מחייב, ואם זה נכון לגבי כל הגופים בבריאות שמתנהלים ושמנהלים את מערכת הבריאות, כמו רשות הסייבר, או חוזר מנכ"ל, מה מחייב פה.

הדבר השני שאני מבקש להתקדם איתו הוא לראות מי אחראי. אני בעיקר מדבר מבחינת היישום וההטמעה, על מי זה מוטל, וזה הולך יחד עם מי המפקח, מי הגורם המפקח על כך. והנקודה המרכזית שגם כאן אנחנו מכוונים את הדיון היא מי מממן, האם אנחנו נותנים הנחיות ומשאירים את זה לבד להתמודד, משתי סיבות, קודם כל צריכה להיות הגינות. אף אחד לא מעלה בדעתו שירחיבו את סל הבריאות ואף גורם לא יממן את זה. אבל אנחנו צופים פני עתיד, אנחנו הרי לא ועדת ביקורת שדנה אחרי האירועים. אנחנו גם מלווים את זה וגם רוצים הרבה פעמים לדון לפני. כשיש קשיי מימון, אז יש גם דחייה ביישום מטבע הדברים. התוכניות הן רב שנתיות, לא שנתיות. מה שמזין את מערכת היישום זה הנושא הכלכלי, וכשאין על זה הכרעה וכשאין על זה מימון - - -

מצד אחד, מערכת הבריאות במדינת ישראל, ואנחנו גם גאים בכך, היא חדשנית, היא מתקדמת מאוד. רוב מערכות הבריאות, אני לא אומר על כל משרד הבריאות, יש פער מאוד גדול בתוך המשרד בין ההתקדמות, בין מערכת הבריאות כולה, כולל קופת חולים, כולל בתי חולים, במערכת המחשוב שלה, בדיגיטציה שלה, אבל טיפות חלב גם נמצאות במערכת הבריאות, ואני חושב שהן בין הגופים הממשלתיים שגוררים עוד, שם עדיין עובדים עם כרטיסיות ועם הזמנת תורים וביטול תורים, ודרך הטלפונים, ואין טלפונים, ופתקים ודברים מאוד ישנים. גם לזה אנחנו מנסים להיכנס. אבל אנחנו מדברים על החלק שכן מתחדש. בכלל אנחנו פורצי דרך. כולנו יודעים על התוכנית הממשלתית שתופסת תאוצה והיא גם מושקעת הרבה, המיזם הממשלתי שהולך להיות תוכנית נחשונית במחקר, בפיתוח וביישום של בריאות דיגיטלית, או התוכנית הממשלתית לבריאות דיגיטלית בנוסח הרשמי שלה, אנחנו על כרטיסים חכמים. שר הבריאות הופיע כאן בוועדה, הוא מופיע בעוד מקומות, במשרד הבריאות, על כרטיס אישי, כרטיס חכם.

במקביל מערכת הבריאות, מתוך המשרדים הממשלתיים הלא-ביטחוניים, אני חושב שהיא המערכת הרגישה ביותר. אני לא מכיר עוד משרד שהוא יותר רגיש ממשרד הבריאות. משרד השיכון, שהוא משרד הגדול? משרד התחבורה? יכול להיות שיש שם חומר שהוא לא חומר פתוח כל הזמן, רשימת בעלי תעודת נכה, רישיונות נהיגה, ואנחנו לא מדברים על המשמעות של המידע, אבל בעיקר למה שהוא נערך, ממה שהוא צריך לחשוש. מתקפות סייבר, משרד התקשורת, משרד האנרגיה, צריך לחשוש.

אנחנו עדים לכך שבבריטניה, למשל, לא לפני הרבה זמן היתה מתקפה מאוד מאוד קשה על מערכת הבריאות והתוצאות היו תוצאות של שאלת חיים ולא רק מידע אישי ומאוד מורכב ודיסקרטי. אנחנו מדברים על שאלת חיים ממש. נדמה לי שדיברו שם על קרוב ל-200 ניתוחים דחופים מצילי חיים שנדחו ושובשו בעקבות המתקפה הזאת. אנחנו מדברים על דברים שצריך לקחת בתשומת לב ראויה וחשובה והדחופה ביותר.

בסיכומו של דבר, נבקש מהדוברים להתכוון לדברים האלה. אני ער לכך שמה שמצפים ממני זה גם נושא התקצוב שאני חושב שהוא נושא נכון ודאי לגבי הפרטיים הציבוריים, אבל גם נכון לגבי בתי החולים הכלליים הממשלתיים. בסופו של דבר גם מערכת בריאות שיש לה אילוצי תקציב, ודאי שאם יש קיצוצי תקציב, דברים שהם לכאורה נראים הכי פחות קשוחים, הם תקציבים של תוכניות ומחשוב ושדרוג, רפורמה ודברים כאלה.

ברשותכם, בגלל שאתם פניתם באופן רשמי וביקשנו ממך גם להכין מצגת – המרכז הרפואי מעייני הישועה, שמייצג את בתי החולים הפרטיים הציבוריים. ואנחנו נרצה לשמוע גם מההסתדרות הרפואית, מבתי חולים ממשלתיים, ככל שהזמן יאפשר לנו.

מר שי בירנבוים, המנמ"ר של בית החולים מעייני הישועה, בבקשה.

(הצגת מצגת)

בוקר טוב לכולם. חבר הכנסת הרב מקלב נתן הקדמה שלא צריכה שום הרחבה, אז אנחנו ניכנס מיד לעניינים, כאשר המגמה היא לשקף – אנחנו נשקף פה בצורה מעשית את המצב של בית החולים מעייני הישועה, אבל כנראה יש הרבה מן המשותף פה ליושבי השולחן ונשקף את הפערים בין מה שאנחנו צריכים להגיע אליו לעומת המצב הקיים.

דבר ראשון, רקע כללי קצר מאוד על בית החולים. מדובר במוסד שהוא ציבורי פרטי, הוא בית חולים קהילתי, קצת ייחודי בישראל, אין כאלה דברים בישראל. הוא מונה שלושה בניינים ומתנהל על פי רוח ההלכה היהודית, אבל זה לא מונע ממנו להיות מאוד ממוחשב, ותיכף נראה את זה, משרת את כל תושבי האיזור וקהילות דתיות וחרדיות מכל קצווי הארץ. עוסק בעיקר ברפואה ציבורית, מעט מאוד ברפואה פרטית.

בית החולים מונה היום 277 מיטות אשפוז, 16 מיטות אשפוז יום, רפואה דחופה, חדרי ניתוח. הוא בית חולים כללי לכל דבר. מבחינת לידות, הוא ידוע כבית חולים מהמובילים בארץ, השלישי בגודלו. ימי האשפוז – 132,000 בשנה, יש מרפאות מפותחות. כפי שאתם רואים, יש פעילות בית חולימית כללית לכל דבר ועניין.

לגבי הטכנולוגיה – בית החולים ממש מהיווסדו, בגלל שהוא פרטי ובגלל שהוא קטן, משתדל לשמור על רמת טכנולוגיה גבוהה מאוד. הוא ממוחשב באופן מלא, כל המחלקות, כל הפלטפורמה ממוחשבת מלא, כולל ביקורי הרופא, כולל הכול. יש פיתוחים חדשניים של רופאים שמשתמשים באייפדים או בסמארטפונים מהבית בשביל לראות את התיק חולה. תיכף אני אסביר גם למה. הטלרפואה אצלנו מפותחת מאוד, בעיקר ברדיולוגיה, ויש ממשקים רבים מאוד בין המכשור הרפואי והתיק הקליני.

מילה קצרה לגבי הטיפול מרחוק – דווקא בגלל שבית החולים הוא ציבורי פרטי, והוא לא משופע בכוח אדם באופן בלתי מוגבל, אנחנו משתמשים הרבה בכוח הרפואי הבכיר שלנו גם אחרי שעות העבודה. ולכן הנושא של טלרפואה הוא מאוד מפותח ושמים עליו הרבה דגש, כיוון שבצורה כזאת אני יכול להשתמש ברופאים שלנו גם בצורה מרוחקת. כמובן שנכנסים פה לפינה ולסוגיה של הסייבר וכל הסוגיה של ההגנה, כיוון שאם יש כל כך הרבה התחברויות מרחוק, אז צריך גם לתת תשובה לנושא הזה והנושא הזה הוא מאוד מאוד חשוב.

באופן כללי בית החולים עובד עם יוזרים פרטיים כל אחד? כל הכניסות של כל הצוות הן פרטיות?

פרטי, ודאי. אבל עדיין מדובר פה בסוגיה של התחברויות מרחוק, מרובות מאוד, בכל מיני אמצעים הכי עכשוויים שיש, וזה דורש מענה מאוד רחב.

היום יש לנו מערכות אבטחה של גלישה מרחוק. אני מדבר בשפה ברורה לכולם, כי לא כולם פה טכנולוגיים. יש לנו חומת אש חיצונית כלפי האינטרנט, מערכת מתקדמת לסינון אתרים, סינון דואר אלקטרוני, אנטי וירוס ארגוני ותאימות לנוהלי אבטחה של הגרדיטציה. זה מה שיש היום במצב הקיים במעייני הישועה. כי שנראה תיכף, אנחנו עדיין רחוקים הרבה מהיעד האמיתי שצריך להגיע אליו ברמה של אבטחה אמיתית, אבל זה מה שיש כרגע.

בית החולים - - - לשוק הרפואה בכלל, יש את חוזר המנהל הכללי משנת 2015 לגבי הנושא של תקן 27799, יש את תקנות אבטחת הפרטיות שנכנסו בשנה שעברה, וכולם מן הסתם מתמודדים איתן פה סביב השולחן. וכתוצאה מהנושאים הללו, וגם כמובן מתקנים אירופאיים שנכנסים עכשיו חזק מאוד לשוק, כל מי שרוכש ציוד מחוץ לארץ מכיר את זה טוב. אנחנו נאלצים להתמודד עם הרבה מאוד משאבים, גם מנהלתיים וגם טכנולוגיים, שלא היו בעבר.

דבר ראשון, העמידה בתקן אבטחת מידע על מערכות הבריאות, שדורש, מעבר לנושא של העמידה בתקן, לנהל באופן שוטף או לממן באופן שוטף ממונה לאבטחת מידע, לפעמים זה יותר מאדם אחד, לפעמים זה צוות, תלוי בגודל בית החולים. יש עלויות שנתיות לדברים הללו, ישנם ארגונים שמשתמשים באאוטסורסינג ומורידים במשהו את העלויות, אבל עדיין מדובר בעלויות. מדובר בעלויות שהוכתבו מלמעלה. יש גם ביצוע של פנטריישן, סקרים של סיכונים, של חדירות, דברים שמחויבים על פי התקן פעם בשנה וחצי. ויש כמובן עבודה מול ספקים שצריכים לעמוד בתקן הזה, מה שמגביל מאוד את תהליכי הרכש, מרחיב אותם, מאריך אותם, ודורש הרבה יותר ממה שנעשה בעבר.

יש לכם הערכה כספית של העלויות?

יש הערכה כספית. עלות תלת שנתית לממונה אבטחת מידע זה בערך מיליון וחיצי שקל כולל מע"מ.

לא כימתם את העלויות של ההגנה על הסייבר. אתה מדבר על הממונה עצמו.

אני כימתי את הכול, אפשר להגיד בסוף את כל הסיפור. אבל מבחינת הממונה זה מיליון וחצי שקל. בדרך כלל מתווסף לו עוזר, כי זה תפקיד גדול. וישנם שמשתמשים בבסיס של משרה חלקית, אז זה מתחלק יותר, תלוי בגודל הפעילות.

נראה קצת מערכות שאצלנו הן חסרות, מן הסתם לחלק פה יש אותן, לחלק אין אותן, אבל מה שצריך שיהיה בכל התמונה הכוללת. דבר ראשון צריך לדעת, כפי שהרב מקלב ציין קודם את ההתקפה באנגליה – הרבה מאוד מההתקפות קורות דרך המכשור הרפואי שמחובר לפורטים של המערכת, הרבה פעמים פורטים ייחודיים, וגם הרבה פעמים זה ציוד שפחות מוגן. אין היום סטנדרטיזציה בתחום המכשור הרפואי כמו שיש בעולם המחשב. ולכן יש הרבה מאוד מקום לפרצות בנושא הזה. מקובל היום לעשות פיירוול פנימי, הגנת חומת אש פנימית. הסיפור הזה במעייני הישועה אליבא דכמות הפורטים וכמות המחשוב שיש אצלנו צריכה לעלות משהו כמו 800-700 אלף שקל. רק זה.

יש מערכת בקרה לחיבור של רשת המחשוב, מה שאנחנו קוראים - - -, זאת אומרת שלא יבוא אדם חיצוני ויתחבר פה לשקע ויהיה חלק מהרשת הכללית של בית החולים. זה סיפור של 240,000 שקל לשלוש שנים, משהו כזה. יש מערכת למניעת קוד זדוני, מה שמפורסם כזירו דיי, יום האפס, שאנחנו צריכים להגן על תחנות הקצה שלנו מהתקפות למיניהן, וזה גם כן מערכות לא זולות בכלל, שעולות 200-150, ולפעמים גם יותר, תלוי עד כמה הידרת בתחום ההגנה הזאת.

יש מערכת להגנה על המידע, כשמעבירים מידע בכלל, מה שאנחנו קוראים בעגה שלנו כספות, שזה עולם מאוד מאוד יקר, זאת אומרת, היום יש את הגוגל דרייב המפורסם שדרכו מעבירים נתונים, אבל הוא מערכת לא מאובטחת. אנחנו מעבירים נתונים שהם הכי מאובטחים שאפשר לצפות מאדם, נראה לי שצריך להיות מאובטח יותר מבנקים, והמערכות האלה דורשות מה שנקרא סטורג' מאובטח בענן. הדברים הללו עולים הרבה מאוד כסף. אנחנו עשינו סקרים של 700-600 אלף שקל הוצאות על הדברים האלה בלבד. ואני לא מדבר על השוטף. השוטף זה עוד סיפור בפני עצמו אחר כך לתחזק את זה. זה גם כוח אדם שצריך ללמוד את המערכות הללו. זה גם שוטף, שאתה משלם רישיונות לחברות, זה לא נגמר ברכישה.

יש מערכות להצפנה של מדיה נתיקה, מה שקוראים מערכות הלבנה. זאת אומרת, כל מקום שמגיע לארגון בריאות צריך להיות מוגן מבחינת דיסק און קי. ישנם ארגונים שהפתרון שלהם זה פשוט לסגור את המערכת, אז זה פתרון מאוד יעיל אבל הוא לא נותן שירות למשתמשים שלנו, ולכן היום יש מערכות הלבנה. מערכות ההלבנה הללו עולות 150-100 אלף שקל, תלוי בגודל הארגון. ויש מערכות לניהול אירועי אבטחת מידע חיצוני, מה שנקרא SIEM-SOC, כל התחום של הסקיוריטי אינפורמיישן שהיום מאוד מפותח ונרכש אך ורק כמעט תמיד על ידי אאוטסורסינג, כיוון שמדובר במערכות מאוד מאוד יקרות, וארגונים לא יכולים לסחוב את זה על עצמם, הם רוכשים את זה מבחוץ. גם זה סיפור של 150,000 שקל בשנה בערך.

דיברנו על זיהוי מרחוק. בנושא זה יש הרבה מקום להגנה, מה שנקרא Two Factor Authentication, זיהוי רב שלבי, ובנושא הזה יש הרבה שיטות ותיאוריות איך לעשות את זה. הסיפור הזה עולה כ-200 אלף שקל, תלוי מה רצית, והנושא הזה הוא מאוד קריטי. כמו שציינתי, בארגון כמו שלנו הנושא הזה הוא מאוד חשוב כיוון שאנחנו מתחברים מרחוק בצורה מסיבית למערכות בית החולים.

אז מה סך הכול? - - -

אז אני רק אגמור את הסקירה המהירה במהירות.

יש מערכות למניעת זליגת מידע, מה שנקרא DLP, מערכות יקרות מאוד שמאפשרות או מונעות יציאה מהדואר האלקטרוני של מידע חסוי. זה מערכות של 800-700 אלף שקל למערכת. יש נושא של אימון והדרכת העובדים, לאמן אותם שלא ייכנסו בכוונה למיילים שחשופים ושהם לא מכירים. אצלנו יש הרבה נושא של הגנה על מכשירים ניידים, כל התחום הזה של המכשירים הניידים. ויש גם הגנה על מערכות אלחוטיות בתוך בית החולים. כיוון שבית החולים הוא מערכת שמתבססת המון היום על הוט ספוטס, מה שנקרא המערכת האלחוטית, יש צורך נרחב בנושא של אבטחת מידע של המערכות הללו. שגם דרכן, כמו דרך השקע, לא ייכנסו למערכת.

סך הכול הכללי – אם אנחנו לוקחים את סך כל ההוצאות אצלנו לשלוש השנים הקרובות אנחנו מדברים על הוצאה של בין שישה לשבעה מיליון שקל. זו בערך ההוצאה הנדרשת אצלנו בארגון להביא את המצב למצב כמו שתיארתי פה.

יש לכם פער בין הדרישות של חוזר המנכ"ל למה שאתם עושים? או שאת זה הייתם עושים גם בלי חוזר מנכ"ל? יש דברים שאתם עושים בעקבות חוזר מנכ"ל? אתם חושבים שזה מחמיר מדי או הייתם יכולים להסתפק בפחות? לפעמים במערכות יש פערים בין - - - למקרה הכי רחב, ויש פעמים שאנחנו כמערכת היינו יכולים לפי הייעוצים שלנו, היינו עושים בצורה אחרת, בגלל דרישות חוזר מנכ"ל אנחנו עושים את זה. זה מתמקד אצלך, אבל אחרי זה הדוברים האחרים יוכלו לדבר בלי פירוט.

קודם כל, אנחנו מברכים על החוזר הזה. החוזר הזה מבחינתנו הוא דבר נכון בגדול. כמובן שיש ביקורת כזו או אחרת על התחומים שלו, אבל בגדול הוא נכון. מה שאצלנו ופה תיארתי זה הרצוי בשביל לעמוד בדרישות התקן. אין פה שום התפרעות מוגזמת. הדרישות פה הן הדרישות הסטנדרטיות היום לעמידה בנושא הגנת הסייבר הבסיסית.

כמובן שבנושא הזה זה כמו חברת ביטוח. אדם מחליט שהוא משקיע ביטוח חיים 10 מיליון שקל או מיליון שקל, זו החלטה אישית וזו החלטה גם ברמת הארגון. הארגון יכול להחליט דברים מסוימים שהוא מקל עם עצמו או לוקח את הריזיקה על עצמו, אבל בכל מקרה מדובר בריזיקות, זאת אומרת שהוא לוקח על עצמו שאם תהיה התקפה אז הוא יותר חשוף בתחומים מסוימים. זה שיקול דעת שצריך לקחת אותו, אבל זה ברור שכמעט כל הדברים שהעליתי פה הם דברים סטנדרטיים, אין פה שום יציאה החוצה להתפרעות.

מול האוצר, במשאים ומתנים שיש לכם אתם מקבלים שיפוי על כל הנושא הזה? הוא נחשב בין ההוצאות שלכם על מערכת הבריאות?

שום דבר. דובר איתם בעבר, ניסינו לדבר.

אני אסיים במילה אחת, שאני מברך על הדיון הזה, אני מקווה שייצא ממנו בשורה - - -

אני לא אכחיש שבפגישה שהייתי אצלכם, המנכ"ל פנה אליי והוא עורר אותי לעשות את זה יותר דחוף. אז בשילוב של כל הדברים ביחד אתם - - - הבכורה בעניין הזה. הגם שאתם מייצגים את בתי החולים הפרטיים, שני מיליון שקל בשנה זה נשמע אולי לא הרבה בתוך מערכת הבריאות, אבל כשמדברים על הממונים, צריך להביא את הכול מבחוץ, והמערכת כל הזמן עובדת בחסר גדול מאוד. מערכת הבריאות בארץ כפי שאנחנו יודעים, היא תמיד גירעונית, היא מובנית גירעונית בצורת ההתחשבנות והכול. אז אם יש ממשלה, אז יש מי שאולי מממן גם בצורה לא טובה. אנחנו לא חושבים באופן כללי שהמערכת הזאת עובדת נכון מבחינת כל ההתחשבנות. מצד אחד יכולים לשלם תשלומי יתר על תרופות שהיום הן גנריות ויכול להיות שמשלמים עליהן מחיר יקר. אבל מצד שני אין עדכונים בכלל על כל הנושא של העלויות, על האשפוז, על הרגולציה, על הדרישות. יש פערים גדולים מאוד שהיום גם מי שהוא לא בתוך המערכת, כל איש שמתמצא יודע שמערכת הבריאות עובדת היום מעבר לחסרים, היא גם עובדת לא נכון. כשמוסיפים טלאי על טלאי, יכול להיות ששר הבריאות ימשיך, שהוא נגע בכל מיני מורסות, ויכול להיות שגם בעניין הזה, לקחת את התקציב ולבנות אותו מהתחלה, נכון, אמיתי, עלויות מול תשלומים, מול הסכמים, ולא כשאנחנו עובדים כל הזמן, חסר מכאן, מוסיפים כאן – זה לא מערכת אמיתית, זה לא מערכת שבנויה בריא.

לבי לבי עם מנהלי בתי החולים. אני לא יודע איך אפשר לנהל מערכות אמיתיות כל כך חשובות באופן הזה, כל קיצוץ רוחבי בעצם כמעט שיתק בתי חולים שלמים מכיוון שלא יקבלו כסף. קופת חולים כללית, כדוגמה, וקיימנו על זה גם דיון, יש לה קיצוצים, היא לא תעביר לבית חולים, קופות חולים קרסו, שעובדת על הדלתא הכי נמוכה.

אני רוצה להעיר משהו מאוד חשוב לסיכום הדברים. כפי שדיברתי קודם, בעיקר בבתי החולים הפרטיים - - - הנושא של הטכנולוגיה הוא מאוד חשוב. למה הוא חשוב? כי הוא חוסך הרבה כסף. אם אני מסתכל על מעייני הישועה לפני שהוא היה ממוחשב באופן מלא - - - עם כל המערכות מלאות, היתה הרבה יותר פקידות. זה גם ברור, בשביל להביא תיק קליני אתה צריך ללכת לארכיון ולעשות חיפושים, וככה אתה עושה את זה בקליק אחד. העברת המידע בין הצוות, טיפול מרחוק. זאת אומרת, הטכנולוגיה היא לדעתי המפתח ליציבות הכלכלית של מערכות הבריאות בישראל. ככל שישקיעו בזה יותר כסף ויותר מאמץ, יגיעו ליעילות ארגונית הרבה יותר גבוהה ויגיעו למצב שבית החולים יכול להיות הרבה יותר חסכוני בהוצאות שלו ויותר מפוקח בהוצאות שלו כי יש לו את כל המידע ביד לדעת איך לנהל את עצמו נכון.

תודה רבה על הדברים. אני תיכף אתן לעוד אנשים להתייחס לדברים האלה. אבל באופן כללי זה שהתוכנית הממשלתית היום על בריאות דיגיטלית נבעה מכך שישראל היא ייחודית מעבר למבנה של מערכת הבריאות, שיש כמה קופות חולים מרכזיות, אבל הן ומערכת הבריאות ביחד היו הנחשונים, אפשר להגיד, בהרבה מובנים וכבר עבדו על מערכות ממוחשבות. זה הביא את מדינת ישראל היום ללכת על משהו פורץ דרך שהמדינה, אולי אתם מודעים לכך, אבל הממשלה רואה בזה – כמו בסייבר אנחנו מובילים בדבר הזה ואנחנו מעצמה בעניין הזה, וכמה התעניינות יש היום ממדינות רבות בעולם, באירופה ובשאר המדינות. היום מערכת היחסים הבין-לאומיים שלנו מתבססת על היכולות שיש לנו. השם שיש למדינת ישראל היום בעולם בדבר הזה, שכולם רוצים קשרים איתנו וכולם רוצים לקבל גם.

ביום חמישי ישבתי, לא תאמינו עד איפה זה מגיע, אבל ישבתי עם ארגון יוצאי חלם במדינת ישראל. יש ארגון כזה. הם גם גילו שאני חלמאי בדי.אנ.איי. שלי כנראה, ויש להם רצון לקיים אירוע מיוחד בדצמבר 2019, צעדת המוות הראשונה שהיתה בזמן מלחמת העולם השנייה, בזמן תקופת השואה, והם רוצים - - - הם נפגשו עם ראש העיר - - -, עיר של 60,000 תושבים. הוא מוכן לעזור הרבה, אבל שיסדרו לו פגישה עם ועדת המדע והטכנולוגיה. לכן הם גם הגיעו אליי. הוא רוצה קשר עם מדינת ישראל מבחינה טכנולוגית, הם רוצים ללמוד, הוא רוצה להיות, הוא כבר היה במדינת ישראל בביקור, אבל הוא רצה שיתוף פעולה. הוא מוכן הכול לעשות בשביל שיתוף פעולה במזרח פולין, מקום רחוק.

מנהלת הוועדה, איילת, נמצאת פה, אנחנו - - - בבקשות של משלחות של ועדות אירופיות, של האיחוד האירופי, לא מזמן נפגשנו עם ועדת המדע, שבכל מקום - - - ואנחנו רואים גם בנושא של בריאות, אנחנו נפרוץ, אבל אנחנו לא מתביישים בעניין הזה. זה לא סותר שאנחנו צריכים לתת את הכלים, את המימון, ולראות שחוסר המימון לא פוגע בבית החולים, שלא הורסים מערכות, שאנחנו מסתפקים בקצת כפי שאמרנו קודם, שהמערכות האלה הן מערכות רגישות מאוד. אחרי המערכת הביטחונית מערכת הבריאות היא מערכת מאוד מאוד רגישה. דרך אגב, מערכת הבריאות מונחית על ידי רשות הסייבר כשהיא רואה את המערכת הזאת כמערכת חשובה, ייחודית גם, מה שהיא לא עושה בדברים אולי ציבוריים כלליים ופרטיים. וכאן אנחנו רוצים לראות איפה יש את הסנכרון הזה בין המחויבות והצורך לבין המימון, ואם המערכות לא נפגעות מזה שיש לנו אולי מחסור במשאבים.

עומר אורבך הוא ראש מערך הסייבר בהסתדרות הרפואית, או אילן גרייסר, וגם ראובן אליהו. תבחרו ביניכם. אני לא בוחר.

אני אתחיל. אני אילן, אני פה עם ההסתדרות הרפואית, אבל רק הסיעו אותי לפה. מודיעין, סייבר, סטארט אפים וכולי, אבל מה שחשוב הוא שבהתנדבות שלי אני מוביל צוות אדום, זה צוות של האקרים מתנדבים, לא מקבלים כסף, לא מדווחים לאף אחד, עושים מה שבא לנו, בין 20 ל-30 חבר'ה. לפני ארבע שנים תקפנו בית חולים באישור, את רוב הדברים עשינו באישור. אני אקצר ואגב אני לא יכול לדבר על זה כי זה מצולם.

אני מבקש מהאנשים, לא רק מי שנמצא פה, זו ועדה משודרת, צופים בה עכשיו ואחר כך, וגם יש את הפרוטוקולים. כבר קיבלנו הערות על דברים שנאמרו ואנחנו צריכים להיות זהירים ככל האפשר על דברים שנאמרו בעבר. אנחנו יודעים שהמידע הזה הוא דבר מאוד מאוד חשוב, וצריך להיות זהיר מאוד, מעלה רעיונות ועוד דברים כאלה.

ביומיים פירקנו את בית החולים במעט מאוד עבודה, מלמטה על למעלה, לכל הדאטה, לכל הציוד הרפואי, לכל המחשבים, לכל האמבולנסים, ביומיים, באמת, בלי להתאמץ כל כך, לא רק ברמה של זליגת מידע לקחת את כל הדאטה, אלא גם ברמה של שיבוש. הפסקנו את זה באמצע פשוט כי המצב היה כבר מגוחך. וזה 15 איש אחרי העבודה שהם עושים. הפער בין מה שאנחנו חושבים שהמצב, ויש הרבה אנשים עם הרבה ידע טכנולוגי שעובדים ומשפרים - - -

15 איש שאתה מדבר עליהם זו קבוצה רשמית?

לא רשמית. אנחנו חברים, האקרים.

לוקחים פרויקטים כדי לעורר? - - -

כן. כל שלושה חודשים או חצי שנה אנחנו תוקפים משהו אחר.

ואף פעם לא נעצרתם? הכול בסדר?

לא. מתייחסים אלינו מאוד יפה.

כוונות טובות. לא כוונות זדון.

בדיוק. מכירים אותנו בהסתדרות הרפואית, במערך הסייבר, בעוד כל מיני מקומות.

רק בתחום הבריאות אתם? - - -

לא. כל מקום שאנחנו חושבים שהמדינה לא מגינה מספיק או שהיא לא מגינה מול איום מסוים, או שיש פער בהבנה של המגזר בין כמה הוא פגיע באמת.

ההיכרות ביניכם זה מ-8200?

כל מיני, כן.

מעניין. זה נשמע חסמבה של ה - - -

הסייבר בישראל, בייחוד התקיפה, הוא תחום מאוד מצומצם. הרבה מכירים את האנשים וכולם עוזרים לנו. אין התנגדות. האנשים שאנחנו מדברים איתם, כולם רוצים לעזור, כולם רוצים לשמוע מה היה. אנחנו לא מפרסמים את זה, לא מדברים בפורומים ציבוריים, לא מראים תוצאות, שום דבר, רק למנהלי בתי חולים או למי שצריך, ללקוח שלנו כביכול.

יש חברם שמשחקים כדורסל, ואתם תוקפים בתי חולים. סבבה.

אין ספק שלהיות האקר, תוקף באישור זה - - -

זה הובי מיוחד.

כן, אבל זה גם חשוב. אני לומד המון, לא להיכנס לבתי חולים, למשל, אף פעם.

אני מאחל את זה לכולם, חוץ מיולדות אומנם.

המערכת, גם בסכומים שכביכול אתם רוצים, זה גם לא מגרד את מה שבאמת צריך להגן על התהליכים הרפואיים, לא על המידע הרפואי, מה שדיברת ברמה של שיבוש, אני לא מדבר על אובדן מידע. אגב, כסף של מידע רפואי ירד בעולם מ-300 דולר ל-13, כי כל כך הרבה נחשף שזה כבר לא.

אז גם מה שאפשר לעשות עם זה, גם המערכת עצמה בנויה על שנים של שנים של הזנחה של IT, שכל מה שאנחנו מדברים על רק לעשות פאצ'ים להגן על מה שיש. אין לי הרבה מה לשפר, חוץ מזה שבאמת המצב הרבה הרבה יותר גרוע והרבה יותר מסוכן ממה שחושבים. אני רואה את כולם מהנהנים בראש, אז אנשים מבינים את זה.

צריך לשנות גם ברמה של תקציב, גם ברמה של מי עושה את האימפלמנטציה של התקציב כי בבתי חולים אין את הידע הטכנולוגי - - -

אתה מכיר את חזור המנכ"ל?

כן.

הוא לא מספיק?

הוא לא מספיק בתפיסה. וגם הנושא של לעמוד בתקנים, - - - ו-HIPAA, זה קומפליינס, זה לא סקיוריטי. אני בא מצד אחר, אני בצד שתוקף עד הסוף. אז צריך להבין שבכל הדברים האלה צריך לעשות קצת יותר וגם צריך לערב גומרים טכנולוגיים יותר משמעותיים, אני לא יודע אם זה האזרחי או הממשלתי.

אתם גם רואים שמערכת הבריאות, חוץ מהמערכת הביטחונית, וממה שקורה בעולם, היא יעד?

היא יעד, בייחוד בישראל.

צריכים להגיד את זה, צריך להעלות את זה למודעות. אנחנו צריכים לשים את זה בתשתית קריטית או להעלות את זה ברמה הגבוהה של - - -

בדיוק. עם מודיעין.

אילן, יכול להיות שבהמשך נרצה אותך. אתה מאתגר אותנו, הכנסת אותנו לאווירה אחרת.

שלום לכולם, אני עומר מההסתדרות הרפואית, ראש מערך סייבר.

בשנים האחרונות מיפינו את מצב הבריאות בסייבר במדינת ישראל והבנו שיש בעיות – שמירה על המידע עצמו ושמירה על הטכנולוגיות. ניסינו למצוא במהלך השנים האחרונות למצוא משותף שיגדיר חלקים ממערכת הבריאות כתשתית קריטית לאומית על מנת שיוכלו לשתף הן בידע ההגנתי והן בתקציבים לבתי החולים על מנת שיהיה להם תקציב, כי אם בית חולים צריך לבחור אם מכשיר MRI או הגנה על הסייבר, הוא יבחר במכשיר MRI, שזה בטוח. ואם כבר היום יש לנו עומס על בתי החולים, ואנשים מתים בגלל עומס, אז מה יהיה בזמן מתקפת סייבר, שאז יצטרכו לבחור הרופאים עצמם בין חיים או מוות בלי המידע הדרוש להם וחוסר מידע על מנת להגיש טיפול למטופל עצמו.

זה יכול להיות גם הרבה יותר מכך, זה יכול להטעות אותם בדברים.

שימוש מידע במזיד, בזדון, זה בהחלט דברים אפשריים. ורק שינוי דם או מדדים כלשהם יכולים להרוג בן אדם.

אני תיכף אבקש מהאוצר – הוא נמצא כאן? אמורים להגיע? אני אבקש לדעת אם צריך לעשות עבודה בדרישות מול העלויות, צריך לעשות עבודה מקצועית בתוך האוצר, לקחת את בתי החולים – אתם יודעים שצריך, אתם לא לקחתם את כלל בתי החולים, מהי עלות התקציב להגנה אמיתית אפילו ברמה מינימלית, אבל הגנה אמיתית לכל מה שאתם מעלים, מה המערכת דורשת ומי מממן את זה, באיזה סדרי גודל אנחנו מדברים. לקחנו בית חולים קטן, אבל כשמדברים על סדרי גודל גדולים צריך להיות בתוך התקציב, בתוך היעדים, בתוך תוכניות העבודה. חייבים להעלות את זה איך שהוא. זה לא יכול להישאר בדבר שאנחנו רק נדבר עליו וכל אחד יתמודד בצורה פנימית שלו ואישית שלו.

תודה על הדברים. ראובן אליהו ממשרד הבריאות, בבקשה. אתה ממונה על אבטחת מידע במשרד הבריאות?

אני ה-CTO של משרד הבריאות וממונה על הגנת הסייבר במגזר הבריאות. אני חושב שהדיון הזה הוא דיון מאוד מאוד חשוב.

זו לא פעם ראשונה שאתה נמצא פה. נכון?

זו לא פעם ראשונה שאתה שומע אותי מדבר פה.

דיברנו אז כשדיברנו על מיישמי סייבר.

נכון, נכון.

אז אני רוצה לספר על העשייה שלנו ואני רוצה להתייחס לנקודות שאתה אמרת. בעצם מ-2016 המשרד הקים יחידת סייבר מגזרית שתפקידה הוא בעיקר לעבוד עם ארגוני הבריאות ולעלות את המוכנות של הארגונים להתמודד עם איומי הסייבר ואתגרי הסייבר.

סליחה. קופות החולים גם נחשבים אצלכם? אנחנו מדברים עכשיו על בתי חולים, אבל האם גם קופות החולים גם נמצאות אצלכם?

אני מדבר על כל ארגוני הבריאות במדינת ישראל. קופות חולים, בתי חולים, מעבדות, מכונים, מרפאות, כולם כפופים לרגולציה שלנו ולהנחיות אבטחת מידע וסייבר שהקבוצה שאני מוביל מוציאה.

כפי שאמרתי, מ-2016 הקמנו יחידה שתפקידה הוא לעבוד עם הארגונים להעלות את המוכנות. הקבוצה הזאת סוקרת את השטח, ממפה אותה, אנחנו יודעים כבר היום פחות או יותר כמה תקציב באמת צריך כדי להגן על כל מגזר הבריאות, ואני מניח שהעבודה הזאת תימשך גם בשנה הבאה תחת פרויקט של רציפות תפקודית כדי שנוכל בסוף לעלות לאוצר ולהציג תמונת מצב אמיתית של מגזר הבריאות ומה נדרש כדי להגן עליו.

אני אתייחס לנקודות שאתה העלית, פיקוח והיערכות לסייבר, אז יש לנו בקבוצה הזאת יחידת בקרה ויחידת הנחיה והכוונה, שתפקידה הוא לעבור בין הארגונים, לפקח. בית חולים אלישע מכיר אותנו משבוע שעבר, שעשינו שם ביקורת של אבטחת מידע וסייבר בנושא של רישוי. כל ארגון בריאות עובר בקרה שלנו ויש פרק שלם של אבטחת מידע סייבר והגנה על פרטיות שאנחנו מחייבים את הארגונים ומבקרים אותם.

אחריות על יישום של נהלי המשרד, חוזרי המנכ"ל וחוקים היא באחריות הארגונים עצמם ומנהלי הארגונים. בעצם אנחנו דורשים מכל מנכ"ל ומנהל בית חולים וארגון בריאות אחר, לדאוג ליישם את כל נהלי אבטחת מידע והסייבר וחוקי מדינת ישראל, וזה אומר שגם לממן אותם. ופה זה החלק הקשה. אנחנו מבינים את הקושי של המימון. גם המשרד משקיע באותם נהלים וחוקים. יחד עם זאת, המשרד הרבה פעמים משקיע כסף ומקים מערכות לאומיות. אני אתן כמה דוגמאות מהשנים האחרונות.

בשנה שעברה התחלנו להטמיע מערכת SIEM מגזרית שניתנת חינם לכל ארגוני הבריאות. יש פה את איכילוב שכבר התחברו, וולפסון שמחובר, 19 בתי חולים כיום מחוברים. שי נגע בזה קודם, מערכת SIEM היא מערכת שיודעת לאסוף - - - מכל המערכות התפעוליות, לנטר אותם, ליצור שם אנומליה וחוקים, ולזהות אירועים או שימושים לא תקינים במידע או ברשת הארגונים. כיום כבר המשרד ו-19 ארגונים אחרים מחוברים ל-SIEM, ואני מקווה שבשנה הבאה נחבר את שאר גופי הבריאות, וזה ניתן בחינם לכל ארגוני הבריאות, פרטיים, ציבוריים וממשלתיים. אנחנו לא עושים הבחנה בעולם של אבטחת מידע וסייבר בין הארגונים. מה שאנחנו נותנים לממשלתיים אנחנו נותנים גם לפרטיים. הקבוצה שאני מנהל בעצם רואה את כולם כשווים. יש לנו מערכת תווך מוצפן, כספות, שפרושה על כל הארץ וגם פה אנחנו נותנים את השירות הזה חינם לארגונים, ולא מחייבים אותם, לא דורשים מהארגונים להקים.

אנחנו עורכים תרגילי סייבר, ואני מקווה שבשנה הבאה נשלים את כל הארגונים. המטרה שם היא להעלות את המודעות ולהראות לארגונים כיצד להתמודד עם אירועי סייבר ועוד עשרות פעילויות אחרות שאנחנו עורכים, מכתיבת מדיניות ועד עבודה בשטח עם הארגונים, וכל זה ממומן על ידי המשרד. היחידה הזו ממומנת בלא מעט כסף, זה מיליוני שקלים שהיא מוציאה לטובת הארגונים. אנחנו לא דורשים החזר מהארגונים כי המטרה שלנו היא להעלות את המוכנות להתמודדות עם אירועי סייבר. בשנה הבאה אנחנו הולכים להוציא רגולציה מקיפה בנושא אבטחת מידע וסייבר, שהיישום שלה לא יהיה קשה מדי, הוא ריאלי וניתן לביצוע. כמובן שאנחנו עושים ניטור של 24/7 על כל ארגוני הבריאות. יש לנו צוותי תגובה שיוצאים לשטח כל פעם, וכל זה ממומן על ידי המשרד.

דבר נוסף שאנחנו הולכים לעשות בשנה הבאה, זה להקים מתקן אימון טקטי, לאמן את גופי הבריאות, לדעת איך להתמודד עם אירועי סייבר, וגם את זה אנחנו מממנים, ואני חייב להגיד, הטכנולוגיה מתקדמת ואי אפשר להכניס טכנולוגיה בלי להביא אבטחת מידע וסייבר, וזה שינוי תפיסה שצריך להיות בתוך הארגונים. זאת אומרת, מעבר להגיד אנחנו רוצים עוד כסף ועוד כסף כשמכניסים היום טכנולוגיה חדשה, צריך לקחת בחשבון את הסייבר. ויצאה מדיניות מאוד מאוד סדורה כיצד מכניסים טכנולוגיה ומכשור רפואי לתוך ארגוני הבריאות. ובשנה הבאה אנחנו הולכים לבקר את זה שארגוני הבריאות הולכים ליישם את המדיניות הזאת, והיא אמורה לסייע למנהלי אבטחת מידע מול מנהלי בתי החולים והרופאים כיצד להכניס מכשור רפואי.

אז אני יכול לסכם שיש המון עשייה, אני חייב לומר שהיא לא תמיד הכי מספיקה בעולם וצריך עוד להמשיך ולהעלות את הקצב. אנחנו מודעים למוגבלות של המימון.

אתה רואה שוני בין בתי החולים?

כמובן. יש בתי חולים עם יותר משאבים, שמשקיעים יותר באבטחת מידע וסייבר ויש בתי חולים שקצת יותר קשה להם. אנחנו רואים גם את דור המדבר שאנחנו עוזרים להכשיר אותו כדי להיות מנהלי אבטחת מידע - - -

כשאתה דיברת על פיקוח, מה הכוונה? אתה נכנס לבית חולים לראות אם יש שם הגנה? אתה לוקח צוות מקצועי, מה שדיבר אילן? או שאתה עובד עם אילן? איך אתם עושים פיקוח? מה זה פיקוח?

אנחנו לא עובדים עם אילן. אנחנו עובדים עם אנשים אחרים אצל אילן. אנחנו מכירים שם את רעות ועדו כמה אנשים שאנחנו עובדים איתם.

מה אתם עושים בפיקוח? פיקוח מול תוכנית עבודה? מול עשייה? איך ההתנהלות שלכם מול בתי החולים ומול כל הגופים?

בתי החולים מגישים לנו בכל שנה תוכניות עבודה שאנחנו מבקרים אותן ורואים שבאמת התוכניות האלה מיושמות בסוף בשטח. זה דבר אחד. דבר שני, זה ביקורות רישוי, שאנחנו מגיעים עם צוות מקצועי לבית חולים ועובדים עם אנשי אבטחת מידע. והדבר השלישי זה ביקורות פתע שאנחנו עושים בארגונים כדי לראות עמידה בנהלים.

איך היית מדרג היום את בתי החולים?

אני יכול להגיד שבשלוש השנים האחרונות יש התקדמות מאוד גדולה בנושא אבטחת מידע וסייבר בארגוני הבריאות. זה עדיין לא מספיק. יש ארגונים שהתקדמו מאוד מאוד קדימה. אנחנו רואים את איכילוב, שיבא והכללית שרצים מאוד מאוד טוב קדימה ויש להם יותר משאבים מאשר ארגונים אחרים, כמו אלישע שיש להם קצת יותר קשיים. אבל אני חושב שנעשתה התקדמות מאוד יפה. אני חושב שגם מנהלי הארגונים כבר היום מבינים שסייבר זה אל באג 2000, והם מבינים שצריך להשקיע ויש התייחסות מאוד מאוד גדולה לנושא של אבטחת מידע וסייבר. אנחנו רואים את זה בתרגולי סייבר.

במספרים, אנחנו אוהבים לשמוע מספרים, מה התקציב הדרוש היום, תוספת תקציבית, אם עשיתם את המיפוי הזה, מה - - - דורשת היום בשביל להיות המינימום שאתה מצפה?

אני חושב שכדי ליישר קו נדרש כחצי מיליארד שקל למערכת הבריאות כדי להביא אותה למצב טוב.

אני דיברתי עם השר, הוא ניהל מלחמה קשה מאוד כדי שלא יעשו קיצוצים ולא ייגעו בדבר הזה, אבל אנחנו צריכים להעלות את זה. מערכת הבריאות דורשת חצי מיליארד שקל, כפי שאתה אומר, כדי ליישר קו, ולעשות את הדבר המינימלי.

עורכת דין נעמה גורני לר, מהרשות להגנת הפרטיות, בבקשה.

בוקר טוב. רציתם שאני אתייחס למשהו ספציפי?

באופן כללי. איפה אתם מחותנים בכל העניין הזה?

נעים מאוד, אני נעמה גורני מהמחלקה המשפטית ברשות להגנת הפרטיות. הרשות היא יחידה של משרד המשפטים - - -

אני יודע שבכרטיס חכם אתם מעורבים. הכרטיס האישי הרפואי, יש לכם מעורבות בעניין הזה? אני לא רוצה להתפזר. מצד אחד אנחנו רוצים לקדם את הדברים האלה ואנחנו מנהלים על זה דיונים. ומצד שני אנחנו יודעים שיש כל מיני חסמים - - - בתחום צנעת הפרט והגנת הפרטיות ודברים מהסוג הזה.

אני אתייחס באופן כללי, ואחר כך אני אתייחס לשאלה שלך.

כפי שצוין פה קודם לכן, במאי האחרון נכנסו לתוקף תקנות הגנת הפרטיות (אבטחת מידע). רבים מכם מתייחסים לסוגיות סייבר, שהן כמובן סוגיות חשובות לחלוטין. אבל אנחנו מתמקדים בתוך התחום של אבטחת המידע בהגנה על הזכות לפרטיות של אותם פרטים שמידע עליהם נמצא בתוך מאגרי המידע.

התקנות נכנסו לתוקף בחודש מאי האחרון, כידוע לרבים מכם, ובעצם מתייחסות גם למאגרי מידע שכוללים מידע על מצבו הרפואי של אדם או על מצבו הנפשי, ולמעשה ממקמות את אותם מאגרי מידע כבר ברמת האבטחה הבינונית ובזה לא די. יתכן מאוד שאנחנו נעבור לרמת אבטחה הגבוהה ביותר. ובהתאם לכך, חובות אבטחת המידע מכוח התקנות.

עוד אבקש לציין שבמסגרת הליך פיקוח רוחב שמבצעת הרשות, זה הליך פיקוח חדש שמבוצע בצורה של שאלונים, אנחנו קיימנו הליך של פיקוח במכונים רפואיים פרטיים שחלקם עובדים עם קופות החולים ובמרכזים לבריאות הנפש, ובכוונת הרשות, בהתאם לממצאים ובהתאם לשיקול דעתה, לראות מה קורה בשנת 2019, אם אנחנו ממשיכים את הבדיקה בנוגע לכל מה שקשור למידע רפואי, כאשר כבר עכשיו יש לנו ממצאים שאנחנו בתהליכים של בחינה איך אנחנו ממשיכים מכאן הלאה.

כמובן שהרשות רואה בנושא הזה חשיבות עליונה. לא צריך להרחיב.

כשאנחנו מדברים על מכון דיאליזה שעובד עם קופת חולים, יש לו מחויבות מבחינה עצמית בגלל שהוא נקרא מאגר מידע או מחזיק מידע שהוא צריך לשמור עליו או שבגלל שהוא עובד עם קופת חולים אז הוא צריך לשמור את זה באופן אחר?

מכון פרטי לצורך העניין.

מכון פרטי, כן. קופות החולים עובדות עם מכונים פרטיים, נכון? איפה הממשק בחלק של אבטחת מידע?

קודם כל, קופות החולים כגוף ציבורי ובתי החולים, והחובות החלות עליהם מכוח התקנות, אבל כמובן שאותו מכון פרטי שעובד עם קופת חולים והרבה פעמים מקושר למאגרי המידע של קופת החולים, אז למעשה יש לנו סיטואציה שבה גוף פרטי מקושר לאותם מאגרים ויכול מאוד להיות גם שחשוף למידע באופן שצריך לשים עליו דגש מבחינת אבטחת המידע בצורה יותר מוקפדת. ויכול להיות במצבים מסוימים שהוא אפילו ייחשב כמחזיק באותם מאגרי מידע, ואנחנו כבר מדברים מכוח החוק ומכוח התקנות על החובות שחלות מבחינת אבטחת המידע גם על מי שמחזיק באותו מאגר מידע למרות שהוא לא בעל מאגר המידע וקופת החולים היא בעלת מאגר המידע. ולעניין הזה חלות החובות הן על קופת החולים לוודא באותם הסכמים ובהתקשרות הכללית - - -

אבל חשוב לציין שחוק מאגר מידע מדבר לא רק על השימושים שלו, אלא גם בהגנה על הסייבר.

בוודאי. הכלים של אבטחת המידע הרבה פעמים הם חופפים, הן מבחינת הסייבר והן מבחינת הרשות כרשות שאמונה על הגנת הפרטיות בתוך מאגרי מידע. ולכן בוודאי שהתקנות קודם על עושות סדר, וכמובן כל החוזרים והנחיות של משרד הבריאות. אבל בוודאי, זאת סוגיה שאנחנו רואים אותה אפילו יותר בעייתית לגבי האפשרות של פגיעה בפרטיות של אותם מכונים שמחזיקים באותו מידע.

אני אוסיף שבהיבט הפלילי, לרשות יש סמכויות מינהליות וגם סמכויות פליליות. בהיבט הפלילי, פרסמנו את זה שלאחרונה הסתיימה חקירה רגישה שניהלה הרשות במרכזה עמדה העברת מידע אודות נשים שהתכוונו לבצע הפלות. המידע הועבר לידי עמותה במרכז הארץ שפעלה אולי להניא את אותן נשים מלבצע הפלה, ואני לא צריכה להרחיב על אותה רגישות יתירה, במידע רפואי בכלל, אבל במידע רפואי כל כך רגיש כמו המידע הזה. זה באופן כללי מה שאני יכולה לעדכן. כמובן שאנחנו נמצאים בקשר עם משרד הבריאות ועובדים איתם.

אתם מרוצים?

מרוצים.

גם להגיד מילה - - -

לגמרי, תמיד להגיד מילה טובה.

אני חושב שמשרד הבריאות צריך לציין את זה. כל מה שהם עשו בתחום אבטחת מידע וסייבר, היחידה שהקמתם, הפעילות שלכם והמעורבות שלכם ראויה לציון. אני מציין את זה ואני לא רוצה להגיד על אחרים, אבל אני נחשף פה ואנחנו מדברים על עוד משרדים. אנחנו יודעים את הדבר החשוב, שאתם רואים את זה, גם מבחינה טכנולוגית, כל היעדים שלכם בתחום הזה הם יעדים שראויים לציון מעבר לתוכנית הממשלתית. אנחנו דנו עכשיו שכרטיס רפואי ומידע אישי, אנחנו רואים בזה יעד ורוצים להגיע לזה.

רועי, לא היית בוועדה הזו, נכון? אני אגיד לך למה. אני תוהה בעצמי, כשאיילת מנהלת הוועדה אומרת, נחכה שנציג משרד האוצר ירד מוועדת הביקורת, אמרתי, נראה לי שהוא נכנס. היא שואלת אותי, לא, אמרתי, כן, הוא נמצא שם. איך אני יודע לזהות אתכם כאנשי אוצר. תסביר לי מה יש בכם שאני מזהה אתכם. הוא מהאוצר, נכון? לא טעיתי.

ניר גרווה, מבית חולים ברזילי, בבקשה. נתון אחד שדיבר עליו ראובן, בהערכה מזערית ואולי מצומצמת, הוא דיבר על חצי מיליארד שקל כדי ליישר קו עם מערכות הגנה שצריכים בתי החולים. הוא בטח לא כלל את בתי החולים הפרטיים, אני חושב, אולי כן.

אנחנו מדברים בתקציב הזה על הכול.

בתחום מעייני הישועה שיש לו ייחודיות, שהוא לא ממשלתי, שאין לו מי - - - את הקופה, מתמודד לבד עם עלויות מאוד גבוהות. ובסך הכול גם בבתי חולים רגילים, זה תמיד משהו על חשבון משהו. מאוד הצפנו את הנושא הזה, כמה הנושא הזה היא תשתית קריטית, היא תשתית חשובה כמערכת הבריאות, שהיא גם יעד ואם לא נעשה לה, אז היא מאוד פרוצה ואז המשמעות היא מאוד חמורה.

ניר, בבקשה.

למערכת הבריאות יש כלים מאוד מאוד מוגבלים מבחינה תקציבית להתמודד עם סייבר, היות ותקציב הסייבר הוא לא תקציב ייעודי, אלא הוא נגזר מתקציב בית החולים וכל המגבלות, כפי שאמרת, זה מערכת גירעונית שמתחילה מראש בחסר, ומזה נגזרת פעילות. עם כל זה, בכלים שיש לנו אנחנו עושים הרבה, מנסים להטמיע את הכלים שאנחנו כן קונים עד הסוף, וכמובן יש חלק מאוד גדול של עבודה אנושית של לחנך גם את המשתמשים וגם את הספקים לעבוד בצורה שהיא יותר מאובטחת, כדי לאבטח את המטופל והנתונים שלו שהם מאוד רגישים, כפי שציינה - - -

הייחודיות של מערכת הבריאות היא שיש מתח מאוד מאוד גבוה בין הגנה לתפעול. אם במקומות ביטחוניים אתה יכול לסגור את הדלתות עד הסוף ולגדר, אז במערכת הבריאות או בתוך בית חולים, כשאתה עושה את זה, אתה באופן משמעותי פוגע בחולה. זה אומר שאתה לא תוכל להכניס מכשיר חדש לפעילות מהירה, כי אתה צריך לעשות את כל סט הבדיקות הנדרש כדי לוודא שהוא עומד בכל תקני האבטחה. והמון פעמים אתה נוטה לצד הקליני כדי לאפשר הצלת חיים, ויש לזה מחיר.

מבחינת תקינת כוח אדם, יש את מנהל אבטחת המידע, שהוא תקן קיים. אבל חסר תקן שמיישם כוח אדם, כמו שאני מבין שראובן עבר איתך, שזה כוח ייעודי שבא לקחת את מה שמנהל אבטחת מידע שם לב אליו וזיהה תהליכים ארגוניים שצריכים לבצע, ולבצע אותם דה פקטו בכלים טכנולוגיים. היום הנטל הזה נופל על מערכת IT של אותו ארגון שגם מראש היא כבר קורסת היות שיש לה תקינה מופחתת משלה כדי לנהל את התפעול השוטף של בית החולים.

באופן כללי, שנלמד, אני לא מומחה בזה, היא מערכת שעובדת על תקצוב תלת-שנתי, מערכות המחשוב עובדות לא על תקציב שנתי באופן כולל.

אני יחסית חדש במערכת הבריאות. באתי מעבודה עם משרדים ממשלתיים אחרים. התקצוב שאני רואה הוא כרגע תקצוב שנתי. זאת אומרת, פר שנה אני מבנה את תוכנית העבודה לשנה הקרובה. יכול להיות שרעיי עושים תוכניות ארוכות יותר. אני כרגע, בתור מצטרף חדש, עשיתי תוכנית לשנה הקרובה, שנגזרת מהתקציב שיש לי.

ומה העלות שלה?

העלות שרציתי היא בסביבות שישה-שבעה מיליון שקלים. עלות מינימלית לתפעול טוב היא שלושה מיליון שקלים. העלות שאני אקבל אחרי שיאשרו לי את התקציב - - -. כרגע אנחנו עדיין בתוך תהליך אישור תקצוב בתוך בית החולים.

לסיום, אני חושב ששיתוף הפעולה עם משרד הבריאות הוא מאוד מאוד טוב, וזה שמוקם SIEM שהוא מגזרי זה יוזמה מבורכת, ויש לנו פגישה בשבוע הבא לקדם את זה מבפנים. והייתי שמח לראות שיש תקציב שהוא ייעודי לסייבר, כדי שזה לא ייפול תחת התקציב הכולל, אלא ייועד למטרה חשובה.

לשם אנחנו מכוונים.

אלכס רייף ממכבי, בבקשה.

שלום לכולם. שלום, ראובן. אני וראובן מכירים הרבה במיילים וטלפונים.

כל מה שאני רוצה להגיד זה המשך של הדוברים הקודמים, וכפי שהבחור לידי פה אמר, אם יכולתי לסגור את כל מערכת הבריאות מאחורי מסך ברזל, לא היינו מדברים פה. אבל גם משרד הבריאות מקדם חדשנות, ומדינת ישראל בכלל מקדמת חדשנות, בעיקר בבריאות. ולחדשנות הזו יש מחיר באיומים וצריך להגן עליה.

יש בעיה אחת גדולה שאני רואה, שזה אובר-רגולציה. ובהמשך לעורכת הדין מהרשות להגנת הפרטיות שדיברה, אם אני אקח את תקן אבטחת מידע של משרד הבריאות שמחייב את גופי הבריאות לעמוד בו, ואני אקח את תקנות הגנת הפרטיות ואני אשים אותם אחד על השני, הם חופפים. אבל אני חייב לעמוד פעם אחת פה ופעם אחת פה. אני כפוף לביקורת מצד אחד ואני כפוף לביקורת מצד שני. זה גוזל המון כוח אדם, והנגזרת של כוח אדם זה כסף. זאת אומרת, אני רואה פה מקום לאיזשהו איחוד, זאת אומרת, אם אני עומד בתקנות משרד הבריאות, אם אני עומד בחוזר מנכ"ל של משרד הבריאות, אוטומטית זה אומר שאני עומד בהגנת הפרטיות, או להיפך. לא יכול להיות שאני צריך לתת דין וחשבון כל פעם לגוף אחר שבסופו של דבר זה מדינת ישראל. הרי כמו שאני מדווח מס הכנסה פעם אחת - - -

מי הגוף שיכול?

זה לא משנה. תקימו גוף חדש שיגיד, אוקיי, אני מרכז את שניהם, תעמוד מולי.

- - -

אני משלם פעמיים.

הרשות מאפשרת הקלה.

לא תמיד. גם בשביל לקבל את ההקלה, אני צריך לעבוד בשביל זה. אני צריך להגיש דוחות, אני צריך להציג הסברים.

לא תמיד הם מקבלים את זה. אבל לפעמים רוצים דברים אחרים. לא תמיד זו אותה ביקורת.

אתם צריכים להבין שכל זה זה כוח אדם, זה משרה מלאה, לפעמים זה שתי משרות מלאות, שאפשר לנתב לדברים אחרים.

כמובן, כל מה שאמרו כאן תקף, שצריך להוסיף עוד תקציבים. אבל מצד שני, זה לא מוריד מהאחריות שלנו. אני יכול להגיד על מכבי שאנחנו משקיעים המון באבטחת מידע. אבל לצערי, אנחנו משקיעים גם המון בעמידה ברגולציה, דברים שיכולנו להפנות לעשייה ממשית בשטח, שבעקיפין זה גם עומד ברגולציה.

תודה. לא התעמקנו היום בנושא קופת חולים. אבל נתת לנו טעימה גם בעניין הזה.

יורם ביטון, מהמוסד לביטוח לאומי, מה יש לכם להוסיף?

לא, אני לא רוצה לדבר בשם המוסד לביטוח לאומי. אני בא כרגע בראש של הסייבר.

מה התפקיד שלך?

התפקיד שלי הוא בתחום הסייבר, בתחום ה- SIEM-SOCשדיברו עליו לפני כן, גם Penetration Test, בדיקות חוסן, חדשנות. אבל שוב פעם, אני לא בשם ביטוח לאומי.

אתה כולך ביטוח לאומי. אתה בא לפה, רואים ביטוח לאומי.

כן, אני כמעט 40 שנה שם.

יש נושא שפחות מתייחסים אליו, וזה הנושא של המכשור הרפואי עצמו, המכשור הרפואי האלקטרוני, הדיגיטלי, שמתחבר לרשתות, ואיך שהוא ניתן להגיע אליו. אני אתן איזושהי דוגמה כדי להמחיש את זה.

בכנס RSA האחרון שהיה באפריל 2018, בסשן שקשור למערכת הבריאות, הדגימו שם רופאים והאקרים איך הם משתלטים על משאבה שהיתה מחוברת לאיזושהי אינפוזיה. אותם האקרים הגבירו את הקצב של המשאבה עצמה, כשבחלונית עצמה נראה הקצב שקבעה האחות.

חשוב לציין שזה קטע שחוזר על עצמו בכל כנס RSA, הם פשוט ממחזרים אותו ועושים אותו עוד פעם ועוד פעם ועוד פעם, את אותו טריק. וזה לא באמת כל כך פשוט לעשות את זה. הגנה על מכשור רפואי זה מאוד חשוב, אבל אתה חייב להיות ממוקד בנושא.

אנחנו קיימנו דיונים - - - דברים שבאינטרנט, היו על זה כתבות, שה-iRobot בבית יכול לתת לך מידע, הוא יודע אם יש לך שטיחים, אם יש לך כלב, ואם יש לך מישהו אחר, הוא יודע על תקלות, הוא יודע על כל מה שיש לך ועוד דברים כאלה, אז קל וחומר בדברים רפואיים. אני מניח שהוא יכול לשאוב מידע והוא יודע מידע, והוא יכול לתת מידע ולאסוף מידע. בשונה אולי מחברות שמפעילות את ה-iRobot, יש להן אולי עניין, אני לא יודע אם החברות האלה, שמשווקות או מייצרות את אותם מכשירים רפואיים, אם הם מתעסקים עם זה. אני לא יודע אם יש להם עניין.

אנחנו יודעים שאותן חברות שמספקות את צורכי הבית, יש להן גם עניין לקבל את המידע, הם מוכרים אותו, מתעסקים איתו. אצלכם אולי המוטיבציה לעשות את זה, אני לא בטוח שזה נמצא שם אצל אותן חברות. אבל זה קיים, יכול להיות בגלל שהן רוצות לתת שירות, הן רוצות לדעת כשזה מתקלקל, הן רוצות לתת לך שירות של מעקב ואז הוא רוצה לדעת עוד דברים. התשובה למה ה-iRobot צריך לדעת זה מכל מיני סיבות, גם אם זה מתקלקל, להודיע לך, הם בסינכרון עם מערכות, יש להם מספיק סיבות למה רוצים את כל המידע. אני לא יודע איך אתם הגדרתם את אותם מכשירים רפואיים שאתה אומר שהם יודעים, ומי שאוגר אותם, מי שעושה בזה שימוש.

היום יש יותר ויותר מודעות לעניין הזה של לאבטח את המכשירים האלה. שוב פעם, אלה מכשירים שחיים תלויים בהם, ויש מודעות הולכת וגוברת אצל היצרנים לגבי הנושא של אבטחת מידע. אבל אם ניקח מצד שני את התקציב שכולם מדברים עליו, שהוא מאוד מאוד בעייתי, אז אני מניח שאם כן יגיע איזשהו תקציב לאיזשהו גוף שמטפל בבריאות, אז קודם כל הוא ילך לרכוש ציוד חדש ולהשלים את מה שחסר, ובטח הוא לא יפנה אותו ויטפל בכל הדברים שכן דורשים את הטיפול.

הציוד החדש יותר גם יהיה יותר מאובטח.

החדש יהיה יותר מאובטח, אבל עדיין גם בישן - - -

איזו עוד בעיה יש? מערכות הפעלה כמו ווינדוס מקבלות עדכונים פעם בחודש. ציוד מהסוג הזה לא מתעדכן, ואלה דברים שצריך לתת עליהם את הדעת. אולי שווה סשן מיוחד רק לנושא הזה.

תודה על הדברים. יש לך עוד כמה דקות אתנו? משום מה הגיע לאוזניי שבבית חולים איכילוב, שם משדרגים, שמים דגש על כל נושא הסייבר. נמצא כאן איציק חן?

נמצא.

אתה יכול להגיד לנו מה זה נקרא שמדברים על זה, שמרכלים עליכם שאיכילוב לקחו את כל נושא הסייבר לרמה גבוהה מאוד? במה זה בא לידי ביטוי? זה נכון, השמועה, או לא?

אני לא יכול להגיד שזה לא נכון.

אין הנחתום מעיד על עיסתו.

אני לא יודע בדיוק מה מקור השמועות, אבל אנחנו כמובן עושים עם משרד הבריאות וגם עם חברות - - -

זה פרויקט של המנכ"ל שלכם?

אני אגיד מה זה יותר. באיכילוב, יש פה את איציק, ואיציק דוחף מאוד מאוד חזק קדימה את נושא אבטחת מידע וסייבר. אני חייב להגיד, בארגונים שיש בהם מנמ"ר ומנהל אבטחת מידע חזקים, הם מצליחים להביא תקציבים ולקדם. ובמקומות שאין, זה לא קורה. אז זה לזכותו של איציק.

פרופ' רוני גמזו, מנכ"ל בית החולים, היה בעבר מנכ"ל משרד הבריאות, והחליט לשים את איכילוב כמודל עולמי לנושא של אבטחת מידע וסייבר. בשנה הבאה, החל ממחר, אנחנו מתחילים פרויקט חדש שמשרד הבריאות, איכילוב, מערך הסייבר, רשות החדשנות, שנקרא: בית חולים מוגן חכם, שהמטרה שלו לבנות מודל עולמי בנושא של הגנה על ארגון בריאות, מה נדרש, ממש תפיסת עולם. וכמובן להביא משאבים נכונים וטכנולוגיות לבית החולים הזה. ואנחנו מקווים שבסוף השנה הבאה זה יהיה מודל שמכל העולם יבואו ויראו את הפרויקט הזה, ואיך זה צריך להיעשות ולעשות אותו נכון. בגלל זה איכילוב נחשב למשהו מתקדם, אבל גם בזכות העשייה של איציק ו - - -

ומה העלויות?

כרגע המשרד הוא שממן את הפרויקט הזה. אנחנו מקווים להשקיע שם לא מעט כסף ביחד עם שותפים אחרים.

זאת אומרת, אני מבין שלא רק מנמ"ר רציני, גם מנכ"ל טוב יכול להביא עוד כספים ממשרד הבריאות.

בוא נגיד שאיכילוב לא צריכים כל כך את הכספים שלנו.

אני רוצה להדגיש שגם אנחנו כאיכילוב, שהוא יחסית בית חולים מתקדם ועם יותר תקציבים, עדיין נתקלים בעיקר בשנה הקרובה, בגלל הקיצוץ התקציבי, יש לנו לא מעט פערים. אם אני אתייחס למה שאילן אמר מקודם, אז הוא מייצג את הסקאלה המאוד-קיצונית, של באים 15 אנשים ומפרקים את בית החולים. אנחנו אף פעם לא נהיה מוגנים ברמה הזאת. צריך גם לזכור שבית חולים הוא מקום פתוח ונגיש לציבור, ואנשים מסתובבים. זה משהו ייחודי. אין את זה כמעט בארגונים אחרים. אז אנחנו עוסקים במזעור. ומה שמשרד הבריאות עושה אתנו ובכלל – מנסים להתקדם כמה שיותר, אבל אנחנו לא נהיה ברמה הזאת.

הזכרת בהתחלה את בית החולים בבריטניה, זה יכול לקרות גם פה. זה שזה לא קרה עד עכשיו, לא הייתי מייחס את זה כל כך ליכולות, אולי ליותר מזל ובחירה - - -

שם זה היה אירוע כופר. הם יודעים שבבתי החולים פה אין ממי לקחת.

זו גם אופציה.

הם לא מתעסקים עם עניים.

אבל זה יכול לקרות. יש מערכות מידע בכל בית חולים, כמה מערכות מידע קריטיות, ואם הן ייפגעו, אז התמונה היא - - -

אין ספק. אנחנו חוששים מסייבר לא בגלל כופר. אנחנו יודעים למה מדינת ישראל חשופה. אין כמעט משהו שזז במדינה שלא חשוף. גם עמותות שמתעסקות עם אוכל לנצרכים, גם שם נכנסים אלינו. אין מקום שלא מחפשים אותנו. אנחנו כל הזמן נמצאים באירועים של מתקפות. אין בהשוואה למדינה אחרת בסדרי גודל.

משרד הביטחון רוצה להגיד לנו משהו? יש מה להוסיף?

אני ד"ר לנה קורן, ראש ענף רפואה. אני רק אגיד שאמר פה עמיתי שאם אפשר היה לסגור את מערכת הבריאות מאחורי מסך ברזל, אז הוא היה מרוצה. אז אנחנו מאחורי מסך ברזל. יש לנו רשת אינטרנטית סגורה לחלוטין, עם הזדהות מאוד חזקה. עדיין אנחנו פועלים על פי הנחיות וחוזרי מנכ"ל של משרד הבריאות.

רועי רייכר, בבקשה. רייכר זה תרגום לעשיר, אתה יודע?

רייכר, עשיר? לא.

כן. זה ביידיש.

אז זהו, אמרו לי שבגרמנית זה עשיר, אבל ברומנית זה מעשן. ואני רומני.

אבל אחרי שנמצאים באוצר, זה נדבק אליך גם. יש איסור לעשן גם.

קודם כל אני מתנצל מראש שיכולתי להגיע רק לרגעים האחרונים בדיון המפרה הזה. למדתי גם בדקות האחרונות - - -

אתה רפרנט בריאות במשרד האוצר?

נכון.

כמה זמן אתה בתפקיד?

שנה.

מי היה לפניך?

לפניי היה אלעד מסאסא.

אני אדבר בשני משפטים על תקציב הבריאות בכלל ועל התקציבים שמופנים בתוך המרחב הזה לעולם המחשוב והסייבר בפרט. גם בתוך עולם המחשוב, לפחות בפרויקטים שמשרד הבריאות מציג לנו, התעדוף שלהם הרבה פעמים שם את הסייבר וההגנה במקום מאוד משמעותי, אבל לא פחות ממנו שם הנגשה של שירותים ומדידה בכל מיני השוואות כאלה ואחרות שמאוד חשוב למשרד הבריאות לעשות בתוך פרויקטים של מחשוב, פרויקטים שמושקעים בהם עשרות ואף מאות מיליוני שקלים.

כידוע לכם, אני מניח שדברים כבר נאמרו, אבל בארבע השנים האחרונות תקציב הבריאות גדל בממוצע של 7% בכל שנה. לשם השוואה זה כמעט פי 2.5 מהגידול בתקציב המדינה. בשלוש השנים האחרונות יש גידול של שמונה מיליארד שקלים. ואין ספק שהממשלה, בטח האחרונה, ואני מניח שגם לפניה וגם הבאות, רואות בתחום הבריאות בכלל ובעולם המחשוב והקדמה הטכנולוגית שלו בפרט מוקד שיש לשים עליו את הדעת ולהשקיע בו את המשאבים הדרושים.

כפי שאמרתי קודם, בתוך המרחב הזה יש מחלקות במשרד הבריאות שמולן אנחנו עובדים, בין היתר בדיוני תקציב, והמנגנון הוא כזה שהם מציגים את כל הצרכים של המשרד. יש את המקורות שכולנו מבינים שכל שנה הם משתנים, אבל בסוף הם תמיד יהיו קטנים מהצרכים. זה בהגדרה. ואז על בסיס תעדוף – ולפעמים התעדוף הזה בא לידי ביטוי בפרויקט שהוא מחשובי אך לא סייבר, אם זה בתוך ישראל דיגיטלית ואם לא, ולפעמים זה מגיע בכל מיני הגנות למיניהן. את המינימום, ואני מניח שודבר עליו פה, אני לא הייתי במהלך הדיון, אבל אם יש איזשהו מינימום שחוזר המנכ"ל מחייב, יש מקומות שלא יכולים לעמוד בהם, זה דברים שאנחנו נשמח להכיר ולדעת עליהם.

זו השאלה ששאלנו. מה ההבדל בין הרחבת סל הבריאות, יש לזה שיפוי ותקציב, לחוזר מנכ"ל שמחייב, שזה לא תרופה, אבל זה מערכת הגנה, ואין לזה - - - של תקציב. מה ההבדל?

ברמת העיקרון חוזרי מנכ"ל אמורים לבוא יחד עם גיבוי תקציבי, לפחות ברמת המערכת. יכול להיות שיש זליגות פה ושם. אני אומר עוד פעם, לא זכיתי להיות בדיון ולשמוע על זליגה ספציפית, והראתה לי מנהלת הוועדה בקצרה, ואני אתעמק בזה לאחר מכן. אם אתם רוצים, אני אכתוב לכם תגובה. אבל ברמת העיקרון, לשאלתך הקונקרטית, גידול שנדרש עקב חוזר כזה או אחר לעמוד בדרישות מינימליות, אמור להיות רק לאחר שיש הסכמה וגיבוי בין הממשלה לבין השטח. במקרים שבהם זה לא קורה, בשביל זה יש את הדיונים האלה - - -

יש חוזר מנכ"ל ויש חוזר מנכ"ל. אני מניח שחוזר מנכ"ל שמחייב בסייבר, נותנים לזה תעדוף ועדיפות. חוזר מנכ"ל יכול להיות בשירות הציבור ועוד דברים כאלה, אבל בנושא סייבר אף אחד לא יכול לקחת את האחריות, אף אחד לא רוצה לקחת אחריות, המנהל וכל הרמות, בדברים האלה של אבטחת מידע. תיכף בתי החולים יגידו, הלנו אתה או לצרינו? האם האוצר צריך בתקציבים שיש גם לראות אם אתם עושים את הדברים האלה? אנחנו חיפשנו מי הגורם המפקח. למשרד הבריאות יש גורם מפקח, וזה נכון בעניין הזה. אבל הוא גם יודע שהוא נטול תקציבים והמערכות שלו הן יותר לקדם את המערכת. החלק של הפיקוח שלו הוא פחות במערכת, הוא יותר רוצה לראות שאת התוכניות עושים, אבל כשזה מגיע לנושא תקציב, הוא גם עומד ככה. ראובן העריך את מה שחסר בחצי מיליארד שקל כדי ליישר קו למערכות הבריאות.

התהליך העקרוני שמתרחש והמנגנון הסדור שבו מתנהל תקציב המדינה, בין היתר כמובן, משרד הבריאות מוכל בתוכו. המנגנון, ואנחנו עומדים בטווח של חודשים מדיוני התקציב הבאים. בדיוני התקציב התהליך שמתרחש הוא מסגרת דיונים שבה יש העדפה ותעדוף של שימושי משרד הבריאות, אם זה פרויקט למניעת זיהומים, אם זה פרויקט לשיפור המיונים בבתי החולים ואם זה סייבר שבהרבה מקרים הוא לא פחות חשוב, בטח לאחר הדברים ששמעתי כאן ואתם שמעתם עוד לפניי.

בתוך המסגרת הזאת, המשאבים לא תמיד צבועים לשימוש מסוים. לצורך העניין, משרד האוצר הוא לא הגוף שיאמר למשרד הבריאות, את הכסף הזה אתה חייב לשים פה ופה ופה. בדרך כלל הדיון הוא דיון שבו המשרד אומר מה הוא הכי צריך, מה הכי חשוב לו, משרד האוצר אומר מה יש לו לתת, ובתוך זה מייצרים יחסי העדפה. על גבי הדבר הזה יש הרבה גופים במערכת הממשלתית שאחראים על תחום המחשוב ומערך הסייבר בפרט, ובהרבה מקרים תקציבים מועברים מהתקציב של אותו הגוף אל תקציב המשרד הרלוונטי, אם זה חינוך, ואם זה בריאות ואם זה רווחה. שני הצירים האלה אמורים לייצר תמונה משלימה.

במקרים שבהם זה לא קורה, ואם תיארתם פה לפני שהגעתי מקרה בבית חולים מסוים שבו זה לא קרה, אלה המקרים שצריך להעלות לסדר היום ולראות איך אנחנו פותרים את הבעיה.

אני אתייחס למה שאתה אומר בדברי הסיכום. תודה על הדברים. בעיקרון אתה מסכים אתנו, תיכף אני אתייחס לזה. יש מישהו שרוצה להוסיף?

אני ישראל פיינברג, מנמ"ר בית חולים וולפסון.

דיברו פה על מכשירים, דיברו על תוכניות, אנחנו משתפים פעולה עם כולם. נושא שהוא לא מכשירים הוא SCADA, בעצם תשתיות המבנה של בית החולים, שזה הגזים והסולר והחשמל ומיזוג וקירור וכל מה שמתחזק את המבנה ואת מערכות המחשוב. העלויות שלהם הן מאות אלפי שקלים, ולהחליף מערכות כאלה זה פרויקטים ענקיים, כי בעצם המחשב שולט על כל מיני מנועים קטנים שפותחים וסוגרים ברזים. לפחות אצלנו זה מערכות מבוססות XP, ולהחליף אותן זה מאות אלפי שקלים. ואני מניח שברוב בתי החולים זה המצב, והנושא עולה למודעות רק השנה בשיתוף עם ראובן והצוות שלו. אני כמעט בטח שאף אחד לא מתקצב את זה.

אני אחדד את מה שהוא אומר, שתקיפה של מערך SCADA כזה, אתה פשוט נשאר בלי חולים.

אין מבנה, אין חמצן.

זאת אומרת, זה עוד אחת מההתמודדויות. לא נראה שבית חולים הוא מקום שיש בו דברים מסוכנים.

חושבים שהחמצן זורם לבד.

רואים יותר חלוקים בלבן, ולא יודעים שמאחורי זה, החצר האחורית היא מאוד מסוכנת וצריכה הרבה השקעה.

אני עורך דין אלעד גודינגר, אני ראש תחום מדיניות ציבורית בהסתדרות הרפואית.

דיברנו קודם על האירוע שקרה בבריטניה, שהיה ממניע פלילי, והיו לנו פה מקרים ברשויות מקומיות שהותקפו על רקע פלילי, אין שום ספק שנגיע ליום שתהיה פה התקפה, בין אם ממניע פלילי ובין אם ממניע לאומני.

אל תפתח פה. חס וחלילה.

חס וחלילה.

זה רק כדי לעורר.

כן, רק להדגיש את החשיבות של התשתית הקריטית, זה הבדל עצום במובן של תקציבים ושל ידע. אני לא רואה מה יותר קריטי במערכת בריאות בנושא הזה. וחבל שנגיע לוועדת חקירה אחרי זה ונצטער על כך. תודה.

אנחנו צמצמנו בדברי הסיכום. תודה, קודם כל, על ההשתתפות. אני גם הופתעתי לטובה וגם אנחנו מרגישים שאנחנו צריכים לחדד ולהציף את הנושא הזה. אם חשבנו שאחרי חוזר מנכ"ל נמצא פערים מאוד גדולים, אז קודם כל בתי החולים ומערכת הבריאות באופן כללי לא מלינים על חוזר מנכ"ל שזה פחות מדי או יותר מדי, אלא מסכימים איתו. בתי החולים בעצמם מודעים ויודעים את גודל האחריות שיש להם, מכירים את מה שיש להם, ויודעים שבעניין הזה צריך לעשות מאמצים. ויש גם מודעות, יש להם את הכלים לעשות את זה, ושם המשחק הוא תקציב. ככל שיהיה יותר תקציב, ידעו לעשות את זה.

אנחנו יודעים גם את הבעייתיות. זאת אומרת, אם אנחנו יודעים מצד אחד את החשיבות והצורך, יש גם את הבעייתיות והמורכבות שיש לבתי החולים שהם לא יכולים להיות משהו סגור, כספות סגורות. לקחנו את משרד התחבורה, מה יש לו שם? בעיני רוחי, נניח המאגר של תעודות הנכה שהם מנפיקים. זה לא מאגר שהוא שימושי כל יום. בבתי חולים המידע הזה הפרטי והחיצוני מול מערכות חיצוניות, מול השימושים הפנימיים, הוא דינמי מאוד, דחוף מאוד, אי אפשר לעשות להם חסמים ועיכובים. מכל הבחינות אין להשוות בזה. הסתכלתי על משרדים גדולים – משרד השיכון, מה יש במשרד השיכון? יש מאגרים של תעודות זכאות, יש עוד כמה דברים, זה לא משהו שצריך לסגור אותו, הכניסות יכולות להיות מבוקרות, משהו אחר לגמרי.

לכן שאנחנו מדברים על סייבר וכל המערכות האלה, הם צריכים לקבל מבט אחר. ואנחנו גם דורשים מהם, והם נמצאים שם בקדמה של הטכנולוגיה וההתקדמות במידע המהיר, הרחבת המידע, אפשרות השימוש של חולים, של רופאים, של מחלקות שונות. זה נמצא במקם אחר. המדינה גם שמה את זה בדגש מבחינת הביג דאטה שאנחנו יודעים שאנחנו רוצים לתת לזה להתפתח ולהמשיך להיות באופן הזה.

אני רואה תועלת במשרד, גם - - - לשר האוצר וגם לשר הבריאות, אנחנו מבקשים להעלות את הנושא הזה לקידמה. כמו המלחמה בזיהומים בבתי החולים, הסייבר במערכת הבריאות ובתחום בתי החולים צריך להיות בקדמה. ואני גם שם דגש בסוגריים, ודאי בתי החולים הפרטיים, שהם גם מוכנים לזה, הם עוד יותר צריכים להיות מכיוון שבאמת אין להם שום אפשרות של תקציבים, ואפשר מפעם לפעם לתת לחיצה עליך ולקבל תקציב ודברים כאלה.

משרד הבריאות, אני מעריך את העבודה שלכם, אני רואה גם את ההערכה שיש, אני רואה את הקשר הטוב שאתם בניתם בתוך המערכות האלה, ואני מבין שיש לכם הסכמה על נושא התקציב. אנחנו נהיה שותפים גם בהמשך, בלקדם את זה, בצורך להציף את הנושא הזה, להעלות את זה על סדר היום, לתת תעדופים, וממילא יש הרבה דברים שהם חשובים, אבל כשאתה מעלה כמה נושאים זה גם יביא לתוספת תקציב. אני מודה לך על שיתוף הפעולה וההסכמה.

אני רוצה לומר על שתי החלטות ממשלה שקיימות. האחת, על הגופים הממשלתיים להקצות 8%, או לפחות 6% מתקציב הטכנולוגיות של הארגונים, באבטחת מידע וסייבר. לצערנו בהרבה ארגונים זה לא קורה וצריך להקפיד על זה ולדרוש שארגונים יעשו. במשרד זה נעשה, המשרד משקיע אפילו יותר, אבל זה דבר שחייב להיות בכל הארגונים. והוועדה הזאת צריכה להרים את הכפפה ולדרוש שההחלטה הזאת תחול גם על גופים פרטיים וציבוריים.

ראובן, אני לא יודע כמה שנים אתה במשרד הבריאות, אבל כל החלטת ממשלה שאין מאחוריה תקציב ואין שיפויים מאחורי זה, זה נכון, הוא מחייב, אבל - - -

אבל צריך לדאוג שזה יקרה. אני דואג בתוך המשרד שזה קורה אצלנו, ואני נלחם על זה. כולנו צריכים להילחם.

זה נכון. זה יעד שצריך לעמוד בו, וזה נתן לך כיוון ומטרה.

נכון. אני חושב שאת ההחלטה הזאת צריך לשנות גם אצל גופים ציבוריים ופרטיים, ולא רק על הממשלתיים, כי זה יכול לסייע גם לגופים פרטיים.

אנחנו נקיים על זה דיון, על כל הגופים הפרטיים שמסתובבים סביב מערכת הבריאות, גם על המידע, גם על השירות ועל המחויבות שלהם. אני לא רוצה להתעסק בזה במסגרת בתי החולים. גם אם אתה לא שומע אותי, אני אומר את זה בסך הכול לפרוטוקול. מערכת הבריאות היא מערכת גדולה שיש לה עוד נספחים, ויש עוד מכונים ודברים פרטיים, ממשקים שיש. זה שווה דיון על מה המחויבות שלהם, איפה הם נמצאים בתוך המערכת, קניית השירותים מבחוץ. אני חושב שגם קופות החולים נותנים היום היקפים ענקיים, וזה שווה דיון בנפרד גם מהיבט הסייבר אבל גם מעוד היבטים, ואנחנו נעשה את זה.

אני רוצה להגיד עוד דבר אחד על החלטת ממשלה נוספת שהיא על הפעילות המגזרית, פעילות שהוטלה על משרדי הממשלה אבל בחיים לא תוקצבה. זאת אומר, הממשלה דורשת ממשרדי הממשלה להיות אחראים, נגיד אצלנו במשרד הבריאות, נושא של אבטחת מידע וסייבר, אבל בחיים לא נתנה לנו כסף לנושא הזה. זאת אומרת, כל הפעילות הזאת נעשית מהתקציב הקיים של ה-IT, של המשרדים וkt כל המשרדים משקיעים בזה וזה חבל.

אצלנו אומרים שאין חתונה בלי כתובה.

פה אין כתובה.

רבותיי, יום טוב. תודה רבה לכם.


הישיבה ננעלה בשעה 12:40.