בינואר השנה הבחין מנהלן בחברת ביטוחי הבריאות אנתם (Anthem) בשאלה מסובכת במידה בלתי רגילה שהופיעה ברשת המחשבים של החברה. תחילה היה לו רושם שאחד העובדים היה אחראי לשאלה הזו, אך בדיקה מהירה גילתה שהמקור הוא מישהו אחר.
כעבור כמה דקות, החברה הכריזה על מצב חירום. החוקרים מאמינים שההאקרים היו מסין, והם פעלו מבלי שנחשפו בתוך מערכת המחשבים של אנתם במשך חודשים. הם קיבלו גישה על ידי שכנוע עובדים לפתוח אי-מיילים שהוסוו כך שנראו כמו מיילים פנימיים.
תוך הסוואה כאילו הם פועלים בשם אותו מנהלן, ההאקרים סרקו את מסד הנתונים של החברה שכולל שמות, מספרי ביטוח לאומי ותאריכי לידה של 78 מיליון בני אדם שהיו מבוטחים במסלולים השונים של החברה משנת 2004.
הפריצה הזו למחשבי אנתם שיגרה גל של פאניקה אל תעשיית שירותי הבריאות בארה"ב. היא חשפה את המידע האישי הרגיש והחשוב ביותר של לקוחות, וגילתה עד כמה תעשיית הבריאות אינה ערוכה לאיומים של עברייני סייבר מתוחכמים - ושל מדינות אחרות.
בשנה שעברה פרצו האקרים ליותר מ-100 מיליון תיקים רפואיים, פי מאה בהשוואה לשנים קודמות. לפי נתוני משרד הבריאות והשירותים האנושיים האמריקאי, שמונה מתוך עשר הפריצות הגדולות של 2015 היו למחשבים של חברת שירותי בריאות זו או אחרת.
חברות הביטוח הרפואי יצאו מגדרן כדי לשכור חברות אבטחת סייבר שיסרקו את המערכות שלהן. פרימרה בלו קרוס, קייר פירסט בלו קרוס בלו שילד ואקסלוס הלת פלן הודיעו על פריצות שנגעו לכ-22 מיליון לקוחות ויותר ממארס השנה, כולל פריצות שהחלו כבר יותר משנה לפני כן. החוקרים מסרו ל"פייננשל טיימס" שהם מאמינים שחלק מההאקרים קשורים לסין או שפעלו מתחומה.
חברות ביטוחי הבריאות ניצבות גם מול כמה חקירות של רגולטורים ותובעים כלליים במדינות השונות בארה"ב, וחלק מהן עלול להיקנס על אי עמידה בחוקי הגנה על פרטיות. רשויות האכיפה הפדרליות חוקרות אגב כך מי ביצע את הפריצות.
"מבחינת חברות שירותי בריאות רבות, זו הייתה עדיפות נמוכה מכפי שהיא צריכה להיות. הן מתמקדות בדברים רבים אחרים, וכך נוצרת פגיעות שאני מניח שהאקרים רבים 'עלו' עליה", אמר דבין מקגרו, סמנכ"ל פרטיות מידע רפואי בלשכת זכויות האזרח במשרד הבריאות. "אנחנו רואים תחומים די עקביים של אי ציות לחוקים במגזר הזה".
משרד הבריאות חוקר את הפרות החוק, והוא סירב להגיב ספציפית בנושא זה. חברות שירותי הבריאות כפופות לחוקי הגנה על פרטיות במדינות רבות, כולל ארה"ב ובריטניה, אך הרגולטורים אומרים שאין אחידות במידת השמירה על אבטחה בסיסית של מערכות נתונים.
בבריטניה לא היו עד כה דיווחים על פריצות למערכת הביטוח הרפואי הממלכתי, NHS, אך החברה הזו נקנסה ב-1.3 מיליון ליש"ט על ידי משרד נציבות המידע הממשלתי, שמבצע ביקורות של שמירה על פרטיות מידע בסוכנויות הממשלה. הקנסות הוטלו בעיקר על רשלנות: מחשבי לפטופ שאבדו, ותיקים שהושארו בחנויות מכולת או בתחנות אוטובוס."
NHS מחזיק במידע פרטי רגיש בדרגה הגבוהה ביותר, אבל במקום לתת דוגמה של איך לשמור על המידע הזה, הוא דווקא בעל הביצוע הגרוע ביותר בתחום זה. זו סיבה רצינית לדאגה", אמר נציב המידע כריסטופר גרהם השנה. משרד הנציב קיבל השנה סמכות חדשה לבצע ביקורות כפויות במערכת NHS. "הגנה על בטיחות נתונים בכל גופי הממשלה, ובייחוד במערכת הבריאות, היא עדיפות עליונה", מסר דובר של NHS.
כמו בבריטניה, גם בשירותי הבריאות בארה"ב רוב הפרות הפרטיות הן תוצאה של לפטופים שהלכו לאיבוד או גישה מוגזמת של עובדי חברות למחשבים שלהן. אבל כאשר יותר מידע נשמר בצורה אלקטרונית - רעיון שהרשויות בארה"ב מקדמות כדי שהרפואה תהיה ניידת ונגישה - עולה מספר "דליפות" הסייבר.
בכמה בתי חולים, הרופאים שהם לעתים קרובות חלק מההנהלות מתנגדים נמרצות לאמצעים אלקטרוניים, שלדעתם עלולים להאט את הטיפול הרפואי או לגרום להתערבויות מיותרות בו. מקגרו ממשרד הבריאות האמריקאי אומר שזהו תירוץ שכיח, אבל לדבריו מדאיגה הרבה יותר העובדה שחברות רבות אינן מצפינות את הנתונים שלהן.
הבעיה הוחרפה על ידי מאות מיזוגים של בתי חולים בשנים האחרונות, שגורמים לעתים קרובות להתנהלות מקבילה של מערכות IT שונות בחברה אחת של בתי חולים. אבטחת סייבר לא נחשבת לעדיפות במצבים כאלו.
"זהו מגזר מפוצל מאוד, ואין בו הרבה שחקנים גדולים שמניעים אותו כמו שרואים בשירותים פיננסיים או באבטחת סייבר", אמר בריאן פאלמה, סגן נשיא בכיר בסיסקו. "זה לא קורה במגזר שירותי הבריאות".
עם שולי הרווח במגזר שנמצאים תחת לחץ, רק כ-3% מתקציבי טכנולוגיית המידע מופנים לאבטחת סייבר, אומרים מומחים. יותר מדי היבטים של טיפול רפואי בפציינט מופיעים ברשת יחידה של בית חולים. פירוש הדבר הוא שהאקרים עלולים אפילו להפריע לציוד מציל חיים כמו מכונת הנשמה, שמנוהל באותה רשת מחשבים של בית החולים.
איום חדש
השנה השתנה האיום עם הופעתם של האקרים שקשורים לסין, לפי החוקרים.
"אנחנו יודעים על קבוצות של איומים רבים שפועלות מסין ועוסקות בהתקפות על תעשיית שירותי הבריאות", אמר צ'רלס קרמקאל, חוקר בחברת אבטחת הסייבר Mandiant, שנשכרה על ידי אנתם, פרימרה וחברות נוספות.
"אנחנו אמנם יודעים מנקודת מבט ארגונית מי ההאקרים הללו, אבל אנחנו לא יודעים מי הטיל עליהם את המשימה לעשות זאת. השאלה הגדולה היא - האם הם האקרים להשכרה, והאם הם התבקשו לעשות את זה על ידי ממשלת סין", אומר קרמקאל.
ממשלת סין מכחישה שהיא מעורבת בפריצות הסייבר. חוקרים אמריקאים מאמינים שהאקרים בסין העלו על הכוונת חברות ביטוחי בריאות בארה"ב כמו אנתם כדי ללמוד איך הוקמו מסדי נתונים וכיסוי רפואי, מסרו מקורות יודעי דבר. לרשומות יש ערך גם למטרות ביון. טיפול באתגרי בריאות הוא בעדיפות גבוהה של ממשלת סין, שניצבת מול אוכלוסייה מזדקנת וגם מתעשרת, שדורשת שירותים רפואיים טובים יותר.
"סין מעוניינת מאוד בכל מה שיעזור לה עם הבעיות הרפואיות שלה ועם השינויים באוכלוסייה", אמר דמיטרי אלפרוביץ', ממייסדי חברת הייעוץ CrowdStrike, שביקש שלא לדבר ספציפית על הפריצה למחשבי אנתם. "לדוגמה, סוכרת היא בעיה גדולה מאוד בסין, ולכן הן העלו על הכוונת חברות שעוסקות בתחום הזה".
סין הבטיחה לספק כיסוי רפואי אוניברסלי לכל אזרחיה עד שנת 2020. כעת, ההוצאה על בריאות לנפש מפגרת עדיין בהרבה אחרי זו של מדינות מפותחות, ומערכת הבריאות היא מוכת שחיתות ותשלומי שוחד.
תעשיית הבריאות היא גם יעד אטרקטיבי לעבריינים שמוכרים נתונים רפואיים פרטיים בשוק השחור. לרשומות רפואיות יש ערך גדול יותר מאשר למספרי כרטיסי אשראי, מפני שלוקח יותר זמן לגלות את דליפתן, ולכן לנתונים יש "חיי מדף" ארוכים יותר. נתונים כמו מספרי ביטוח לאומי (סושיאל סקיוריטי) יכולים לשמש במגוון של הונאות, מבקשות החזרי מס מפוברקות עד הונאות ביטוח והונאות של מדיקייר (הביטוח הרפואי לגמלאים של הממשל והמדינות בארה"ב).
מספר של כרטיס אשראי יכול לעלות דולר אחד בשוק השחור, אבל תיק רפואי שלם של מישהו יכול להגיע למחירים של 200 עד 2,000 דולר", אמר קארל לאונרד, אנליסט בחברת האבטחה רייתאון וובסנס. השוק מוצף בפרטים של כרטיסי אשראי גנובים, ולכן "לתיקים רפואיים יש כעת מחירים מיוחדים".
החוקרים אינם מאמינים שמידע מהפריצה למערכת של חברת אנתם נמכר בשוק השחור, אבל האקרים אחרים שיגרו לקורבנות של ההתקפה על אנתם אי-מיילים מזויפים שנראים כאילו הם נשלחו מהחברה או שהם מציעים הגנה על כרטיסי האשראי שלהם. האי-מיילים הללו מיועדים לגנוב נתונים שיכולים להימכר לעבריינים, להערכת החוקרים.
אנתם מתכננת להשקיע 130 מיליון דולר בשנתיים הקרובות כי להגן על הרשת שלה מפני פריצות. החברה הבטיחה לרגולטורים שהיא מחזקת את המערכת שלה, ומאמצת נהלים כמו שינוי הסיסמאות של מנהלי הרשת מדי עשר שעות ושכירת 55 מומחי אבטחת סייבר.
"היגיינת סייבר" גרועה
הטקטיקות של ההאקרים משתנות, אבל ברבות מהפריצות בתחום שירותי הבריאות הם משתמשים בשמות דומיין שנראים דומים לאתרים של החברות, שהוקמו כמובן לפני שההאקרים אותרו.
האתרים המזויפים משמיטים אות אחת משם האתר המקורי של החברה, או משתמשים בספרה 1 במקום האות האנגלית אל (l) הדומה מאוד, לפי מחקר שערכו חברות אבטחת הסייבר ThreatConnect ו-Symantec.
לצורך הפריצה לאנתם, שהייתה ידועה יותר בשמה הקודם, וולפוינט, הוקם הדומיין www.we11point. מול חברת פרימרה היה דומיין prennera.com, EmpireB1ue.com לאמפייר בלו ו-caref1rst.com לחברת קייר פירסט. כל הדומיינים הללו פעלו מסין.
כשהמנהלן של אנתם זיהה את הפריצה ב-27 בינואר, ההאקרים היו בעיצומה של שליפת תיק גדול של נתוני פציינטים. ההערכה היא שהם שהו במערכת כמה חודשים בלי להתגלות, על ידי הצגת שאלות רבות למסד הנתונים כדי להבין אותו, לפני שהם החלו לשלוף ממנו תיקים.
ההאקרים השתמשו בדפוס חוזר של שליפת נתונים ושינוי קל של ניסוח השאלות כדי להימנע מחשיפה. אחר כך הם שלפו את הנתונים והעבירו אותם לאתר שיתוף מוצפן, שמזכיר מסגרת שאפשר להעלים בלחיצה על X בפינה שלה. הם בחרו אתר שיתופי דומה לזה שבו אנתם משתמשת, כדי להקשות על ההתחקות אחריהם.
אנתם הואשמה בכך שהיא לא דאגה ל"היגיינת הסייבר" הנכונה, כלומר להגנות שממזערות את הסיכון של פריצה או מגבילות את המידע שניתן למשוך כאשר המערכת נפרצת.
תביעה ייצוגית שמסתמכת על דו"ח של Mandiant הוגשה על ידי עשרות מבוטחים אמריקאים של אנתם, בטענה שהחברה הזו לא יישמה הליך בדיקת זהות כפול, לא חייבה את המשתמשים להחליף את הסיסמאות שלהם ואפשרה לעובדים לקבל גישה למידע פרטי שהיה מעבר להגדרת תפקידם.
אנתם גם התעלמה לכאורה מאיתותי אזהרה - כולל אחד שנמשך חודש, לפי התביעה - ולא יישמה מערכות שמנטרות שימוש בנתונים או שליפה שלהם. לחברה יש כעת מערכת זיהוי כפולה למנהלנים הבכירים ביותר של המערכת שלה.
בביקורת מספטמבר 2013 של אנתם, הרגולטור הכללי במשרד ניהול כוח האדם בממשל האמריקאי קבע שלחברה זו יש פגמי אבטחה שיכולים לספק "כניסה לווירוס זדוני ופעילות של האקרים".
אנתם מתייצבת בפני קנסות ואכיפה של אמצעי תיקון למצב הבטיחות שלה. עד כה הפריצה אל המערכת שלה כבר עלתה לה 230 מיליון דולר בעלויות משפטיות ושכר יועצי אבטחה. תומאס זילינסקי, היועץ המשפטי של אנתם, מסר לרגולטורים של ביטוח רפואי באוגוסט שביטוח הסייבר שלה התייקר מאז הפריצה. כעת מחויבת החברה ב-25 מיליון דולר על כל פריצה למחשביה, והיא קנתה פוליסה שמבטיחה כיסוי של עוד 100 מיליון דולר.
"הפריצה לאנתם העלתה את המודעות", אמר פאלמה. "תעשיית שירותי הבריאות אומרת, 'כעת זה אמיתי'. זהו כבר תקדים. הם התעכבו, אבל לכל הפחות הם כבר הגיעו למסיבה".
גם הרגולטורים חושבים מחדש
הפריצה למערכת המחשבים של חברת אנתם, שפגעה בכמעט 80 מיליון לקוחות שלה, הייתה צלצול השכמה לרגולטורים בארה"ב
חברות ביטוחי הבריאות כבר היו צריכות לעמוד בתקני הסייבר והן כפופות לחוקי הדיווח הרפואי הפדרליים כאשר יש פריצה למערכות שלהן, אבל החולשות שנחשפו בפריצה לאנתם גרמו לרגולטורים לשאול את עצמם אם תקני האבטחה הקיימים מספיקים להגנה מפני ההאקרים של ימינו.
ההתאחדות הארצית של ההאקרים על הביטוח בארה"ב, NAIC, מעדכנת את תקני הסייבר שהחברות צריכות לעמוד בהם, והיא ניסחה הצהרת זכויות מבוטח במצבי פריצה באוקטובר.
"זה משתנה ומתפתח ללא הפוגה, ואתה יכול להיות עם מערכות האבטחה הטובות ביותר בעולם ועדיין להיות קורבן להתקפה. לכן אנחנו צריכים גישה קצת מאוזנת", אמרה נציבת הביטוח של מדינת קונטיקט, קתרין ווייד.
חודשיים לפני שהפריצה לאנתם נחשפה, NAIC יצרה כוח משימה לאבטחת סייבר בנובמבר 2014. ההתאחדות הזו גם נפגשה עם נציגי אנתם, פרימרה וקייר פירסט כדי לקבל עדכונים על הפריצות אליהן ועל אמצעי תיקון המצב.
במדינת אינדיאנה, שממנה אנתם פועלת, התובע הכללי גרג זלר אמר שהוא תומך בחקיקה שתחייב חברות שאוספות נתונים לעמוד בתקני אחסון בטוח יותר, כולל מחיקה של קבצים שאינם נחוצים עוד למטרות עסקים.
התובע הכללי של ניו יורק, אריק שניידרמן, מתכנן בשנה הבאה לדחוף הצעת חוק שתרחיב את הגדרת "מידע פרטי" שחברות יצטרכו לדווח לפיה במקרה של פריצה למחשבים שלהן. ההגדרה תכלול גם מיד רפואי וביומטרי, ופרטים על ביטוחים רפואיים.
פריצות במספרים