הכתובת על הקיר: הכשלים באבטחת סייבר בבתי החולים | דו"ח המבקר

על פי דו"ח מבקר המדינה שפורסם היום (שלישי), אשר נגע במערכת הבריאות בישראל ובתוכה סל התרופות, עולה כי בתרופות והטכנולוגיות אונקולוגיות היקרות ביותר לא בוצעה ביקורת על השימוש והתועלת בהם וכי ישנו חוסר בשקיפות בתהליך הרחבת סל התרופות.

בחלק הגנת הסייבר על מכשירים רפואיים נקבע כי ישנם פערים באבטחת המידע במוסדות הרפואיים, ומחלק הרפואה בשירות בתי הסוהר, עולה כי כמעט רבע ממשרות הרופאים בארגון לא היו מאוישות וכי אין וכי בשב"ס אין מחלקות אשפוז פסיכיאטריות ייעודיות לנשים ובני נוער.

בחלק סל התרופות עוד עלה כי במרבית השנים שיעור התוספת השנתית לסל שירותי הבריאות לצורכי עדכון טכנולוגי מכלל עלות הסל היה קטן מכפי שהמליצו הוועדות שעסקו בכך: ב- 21 (כ-90%) מ-24 השנים שבתקופה 1998 ועד 2021, שיעור התוספת, היה קטן מ-1.5%, הרף התחתון עליו המליצו הוועדות שעסקו בכך; בארבע (כ-15%) מ-24 השנים הללו הוא אף היה קטן מ-0.8%, השיעור שוועדת גרמן הגדירה כשיעור ההכרחי לשמירה על איכות שירותי הרפואה הניתנים במסגרת הסל.

בנוסף לכך, נטען כי ישנו חוסר שקיפות בתהליך לאישור הרחבת סל שירותי הבריאות , שכן ועדת המשנה לסל התרופות,  כל חבריה הם נציגי ממשלה ונציגי קופות החולים ולא משתתף בה נציג ציבור, גם עיתונאים אינם מורשים לנכוח בדיוניה אף שהם נוכחים בדיוני ועדת הסל, בנוסף הפרוטוקולים של הוועדה אינם מתפרסמים לציבור.

כמו כן סיקר הדו"ח את ועדת הסל וטען כי הפרוטוקולים של דיוניה מתפרסמים בעיכוב, שמשכו בשנים 2020-2018 היה 109 עד 160 ימי עבודה, דבר הגורם לפגיעה בשקיפות ועלול להקשות על מגישי ההצעות שנדחו להגיש בקשות חוזרות מעודכנות, בהקדם האפשרי והרלוונטי.

עוד טען הדו"ח כי אף שעלות התוספת ששימשה למימון עשר התרופות והטכנולוגיות שסך ההוצאה עבורן הוא הגבוה ביותר בשנים 2021-2016 גבוהה יחסית לעלות הכוללת (הן מהוות 62% מעלות התוספת כולה המסתכמת בכ-1.7 מיליארד שקלים מתוך כ-2.7 מיליארד שקלים), ואף ששיעור התוספת עבור תרופות אונקולוגיות היה 37% מהתוספת לשנים אלו, משרד הבריאות לא ביצע בקרה פרטנית על השימושים בהן ועל התועלות שבהן, כדי להפיק לקחים לגבי החלטות עתידיות להוספת תרופות וטכנולוגיות יקרות במיוחד.

בחלק על הגנת הסייבר בתחום הרפואה, עלה מדו"ח המבקר כי משרד הבריאות לא השלים את גיבוש הנחיותיו בתחום הגנת הסייבר הכוללות עקרונות יסוד לניהול הגנת סייבר וכלים להתמודד עם אירוע סייבר, והן לא הופצו. עוד עולה כי ה-SOC (מרכז לניטור, לשליטה ולבקרה על אירועי סייבר) של משרד הבריאות מאויש חלקית - בשעות מסוימות בימי חול ועלו פערים מסוימים בפעילותו. לחטיבת המרכזים הרפואיים במשרד הבריאות אין תמונת מצב מיטבית בדבר איכות אבטחת המידע בכל אחד מהמרכזים הרפואיים שבאחריותה.

ב-19 מוסדות רפואיים מ-25 המוסדות הרפואיים שענו על שאלון אבטחת המידע, מנכ"ל המוסד לא עמד בראש ועדת ההיגוי לתחום הגנת המידע, שמונה מ-25 המוסדות הרפואיים לא מינו ממונה הגנה על הפרטיות. הממצאים שלהלן עלו משאלון אבטחת מידע שנשלח לכל המוסדות הרפואיים ובמסגרתו הכללית ענתה בשם כל שמונת המרכזים הרפואיים שלה ומרפאות הקהילה ולכן נספרה כמוסד רפואי אחד.

מתוך 17 המוסדות, לשניים אין תוכנית להתאוששות מאסון (למשל מתקפת סייבר על תשתיות מערכות המידע של המוסד הרפואי) או תוכניות להמשכיות עסקית (יכולתו של ארגון להמשיך בפעילותו הרגילה), לשישה אין אתר חלופי זמין לטובת המשך פעילות מערכות המידע במקרה של אסון, 13 לא שילבו בתוכניות שלהם להתאוששות מאסון או בתוכנית להמשכיות עסקיות את אופן הטיפול וההתאוששות של מערך המכשור הרפואי.

כמו כן, במועד ביצוע הביקורת לכל המרכזים הרפואיים הממשלתיים לא היה ביטוח סייבר. בשאר המוסדות הרפואיים, לחלקם היה ביטוח סייבר ולחלקם לא. חמישה מוסדות רפואיים לא כללו בתוכנית העבודה שלהם לשנים 2020 ו-2021 התייחסות לשיפור ההגנה על מכשור רפואי ואבטחת המידע הנאגר בו; שמונה מ-17 מהמוסדות הרפואיים לא ביצעו ביקורת פנים בתחום אבטחת מידע.

עוד דן הדו"ח ברפואה בשירות בתי הסוהר, שם נמצא כי אין במרכזים לבריאות הנפש של שב"ס מחלקות ייעודיות לנשים ולבני נוער הזקוקים לאשפוז פסיכיאטרי.

עוד עלה מהחלק על שב"ס, כי בשנת 2020 היו כ-300 אסירים קשישים בני יותר מ-65 בבתי הכלא של שב"ס. בביקורת הקודמת עלה כי שב"ס לא בנה תוכנית מערכתית המותאמת לשינוי שחל בהרכב אוכלוסיית האסירים, בגיל האסירים ובמצבם הרפואי.

בביקורת המעקב עלה כי צוות שבחן בשנת 2020 את המענה לאוכלוסיית הקשישים בבתי הכלא של שב"ס לא סיים את עבודתו: לא הוכן תחשיב של עלות החזקת אסיר קשיש לעומת אסיר רגיל, לא הופץ נוהל להחזקת קשישים, לא הוכנה תוכנית שיקום ייחודית המותאמת לקשישים, ועבודת המטה בעניין זה הופסקה בלי שנבחרה חלופה מועדפת. הליקוי בנושא זה תוקן במידה מועטה.

כמו כן, בביקורת הקודמת עלה כי חובשי העתודה לא שובצו באופן סדיר בכל חודש למשמרות במרפאות, לצורך שמירה על כשירותם המקצועית ובהתאם לנוהל שב"ס. בביקורת המעקב עלה כי בשנים 2020-2018 שב"ס לא שיבץ בממוצע 62 חובשי עתודה (מ-111 בממוצע) למשמרות במרפאות מתקני הכליאה כדי לשמור על כשירותם המקצועית.

נוסף על כך, במתקני הכליאה, למעט במתקן כליאה אחד, לא היו תשעה חובשי עתודה, כנדרש בנוהל שב"ס. הליקוי בנושא זה תוקן במידה מועטה. בביקורת הקודמת נמצא כי שבע משרות של רופאים בשב"ס לא היו מאוישות. בביקורת המעקב עלה כי 17.25 משרות רופאים (כ-23% ממספר המשרות הנדרש) לא אוישו, וכי הפער בין התקן ובין המצבה העמיק, לעומת הפער שנמצא בביקורת הקודמת. הליקוי בנושא זה לא תוקן.

ממשרד הבריאות נמסר: "משרד הבריאות מכבד את עבודת מבקר המדינה. המשרד קיבל את הדוח וילמד אותו. לצערנו דוח המבקר אינו משקף את העבודה הרבה והתהליך שמבוצע לאורך שנים רבות, ומקובל על הגורמים במערכת הבריאות ומחוצה לה".

על סל התרופות אמרו במשרד המבריאות כי "לאורך כל השנים מועצת הבריאות והנהלות משרדי הבריאות והאוצר שיבחו את עבודת הועדה ואת תוצאותיה ולראיה סל שירותי הבריאות של מדינת ישראל הינו מהרחבים והמתקדמים בעולם, תוך שהציבור בישראל זוכה לקבל תרופות וטכנולוגיות חדשניות ביותר עבור מגוון רחב של מחלות".

"אנו חלוקים באופן יסודי על קביעת המבקר על שקיפות התהליך", טענו במשרד הבריאות, "תהליך זה זוכה לשבחים לגבי שקיפותו בארץ ובעולם. המשרד מקפיד על שקיפות התהליך והעברת המידע לציבור בדרכים שונות, לרבות נוכחות עיתונאים בדיוני הועדה הציבורית ודיווחים מתוך דיוני הועדה בזמן אמת".