כשמדברים על שילוט דיגיטלי בבתי חולים רוב האנשים חושבים על מסכי איתור, הודעות למבקרים או לוחות מחוונים לצוותים. ההתייחסות דומה לכלי תקשורת אולי אף שכבת נוחות, משהו שנחמד שיש. אבל המסגור הזה כבר אינו משקף את המציאות.
בעשור האחרון, השילוט הדיגיטלי במערכות הבריאות עבר שינוי שקט; ממערכת תצוגה מבודדת לרכיב מחובר בלב התשתית הארגונית. וכשזה קורה השאלה החשובה כבר לא מה מופיע על המסך אלא למה הוא מחובר ומה קורה כשהחיבור הזה נפגע.
קרוב לנתוני מטופלים יותר ממה שנדמה
גם כשמסכי בית החולים לא מציגים שמות, מספרי תעודת זהות או תוצאות בדיקות, הם נשענים יותר ויותר על מערכות שכן מכילות מידע רגיש. זמני המתנה נמשכים מרשומות רפואיות אלקטרוניות, עדכוני זרימת מטופלים מבוססים על מערכות תזמון ולוחות תפעוליים חושפים קיבולת מחלקות, זמינות חדרים וכוח אדם. ברגע ששילוט דיגיטלי שואב מידע ממערכות פעילות הוא הופך לחלק מאותו גבול אמון.
בשלב הזה, השאלה אינה אם השילוט "מציג" מידע רגיש, השאלה היא האם ניתן להשתמש בו כנקודת גישה אליו וההבחנה הזו קריטית.
מדוע שילוט דיגיטלי נופל בין הכיסאות של אבטחת המידע
אחת הסיבות המרכזיות לכך ששילוט דיגיטלי חומק ממידול איומים היא פשוטה: בעלות.
בבתי חולים רבים, השילוט נרכש ומנוהל על ידי צוותי תקשורת, שיווק או אחזקה ולא בהכרח על ידי יחידת ה- IT או אבטחת המידע. הוא נתפס כמערכת היקפית ולא קלינית ולכן לעיתים הוא אף לא מופיע במפת המערכות של הארגון.
כתוצאה מכך מכשירים נפרשים במהירות בכדי לענות על צורך תפעולי, סקירות אבטחה מתמקדות במערכות ליבה ועדכונים, ניהול הרשאות וסיסמאות נתפסים כתחזוקה, לא כבקרות אבטחה. אבל מודלי איומים מודרניים אינם עוסקים בכוונה אלא בקישוריות. ברגע שמערכת מחוברת לרשת פנימית, מקבלת עדכונים מרחוק או צורכת נתונים חיים, היא יורשת פרופיל סיכון גם אם לא תוכננה לכך.
שילוט דיגיטלי חצה בשקט את הגבול מטכנולוגיית תצוגה לתשתית ומידול איומים שמתעלם ממנו פשוט אינו שלם.
כיצד נראה אירוע סייבר "קטן" שהופך למשבר תפעולי
בתעשיות אחרות, מסך שנפרץ הוא בעיקר מבוכה. בבית חולים זה יכול להפוך לשיבוש תפעולי של ממש. דמיינו תרחיש לא קיצוני במיוחד: בית חולים מפעיל מאות מסכים באמצעות נגני מדף. תוכנת השילוט פועלת עם הרשאות רשת רחבות כדי למשוך עדכונים ממערכות פנימיות. חלק מהעדכונים ידניים ובחלק מהמכשירים נשארו אישורי ברירת מחדל.
התוקף לא צריך לגעת במערכת הרשומות הרפואיות. מספיק לו נגן שילוט אחד חשוף. משם ניתן לנוע לרוחב הרשת ולפתוח גישה למערכות שמעולם לא תוכננו להיות נגישות.
מדוע כמעט לא שומעים על "אירועי שילוט"
באופן מעניין, אירועים כאלה לעיתים רחוקות מדווחים. הם נבלעים תחת כותרות כלליות של "השבתת IT" או "אירוע אבטחה", גם כשמערכות היקפיות מילאו תפקיד משמעותי. הסיבה לכך פשוטה: שילוט עדיין לא נתפס כתשתית קריטית למרות שהוא כבר מתפקד ככזו.
מה עם הרגולציות? ובכן, הן קיימות אבל הן אינן צריכות להזכיר "שילוט דיגיטלי" בכדי להפוך אותו לרלוונטי. הן מגדירות תוצאות כמו סודיות, שלמות, זמינות ו"אחריותיות" במערכות מחוברות.
לסיכום, שילוט דיגיטלי (ולא רק) בבתי חולים כבר מזמן לא "רק מסך", נקודת חיבור, נקודת תפעול ולעיתים גם נקודת חולשה. הארגונים שימשיכו להתייחס אליו כאל אביזר תקשורת יגלו מאוחר מדי שהוא מתנהג כמו תשתית. אלה שיכניסו אותו מוקדם למודלי האיומים, לארכיטקטורה ולשיח בין IT, אבטחה ותפעול, יקטינו סיכון בלי לפגוע בחדשנות מכיוון שבעולם הבריאות המחובר, גם המסך שבמסדרון הוא חלק מהמערכת.
