פרצת DXS בינלאומית: לקחים שנלמדו בתחום הבריאות

הפרת DXS בינלאומית: לקחים שנלמדו בתחום הבריאות

מאת קייט או'פלאהרטי • 19 פבואר 2026

ככל שאירועים בעלי סיכון גבוה במגזר הבריאות גוברים, ארגונים חייבים ללמוד לנהל את אבטחת המידע, הגנת הנתונים וסיכוני הבינה המלאכותית כאתגר ממשל מחובר. כיצד ניתן לעשות זאת?

מאת קייט או'פלאהרטי

ב-14 בדצמבר 2025, DXS International - המספקת מידע רפואי ותמיכה בקבלת החלטות קליניות עבור כ-10% מכלל הפניות ל-NHS באנגליה - סבלה מפריצת נתונים שפגעה בשרתי המשרד שלה.

במסמך הגשה עם בורסת לונדון, טענה DXS International כי הפריצה "בולמה באופן מיידי" במאמץ משותף של צוותי אבטחת ה-IT הפנימיים שלה בשיתוף פעולה הדוק עם NHS אנגליה. אך זמן קצר לאחר מכן, קבוצת הכופר DevMan נתבע לגנוב 300 ג'יגה-בייט של נתונים, כולל תקציבים פנימיים וקבצים פיננסיים.

בעוד שלאירוע עצמו הייתה השפעה מינימלית ושירותי הרפואה בחזית החברה נותרו פעילים, זוהי דוגמה מצוינת לאופן שבו סיכון של צד שלישי יכול להתפשט לאורך שרשרת האספקה.

עם גל של אירועים כמו זה, ארגוני שירותי בריאות חייבים ללמוד לנהל את אבטחת המידע, הגנת הנתונים וסיכוני הבינה המלאכותית כאתגר ממשל מקושר. כיצד ניתן לעשות זאת?

בעיה גדולה

מכיוון ששירותי DXS International נותרו פעילים, קל לפטור את הפריצה כלא אירועים מיוחדים. עם זאת, בעוד ששירותי הרפואה בחזית נותרו פעילים, בעיות אחרות עלולות להופיע בהמשך הדרך, אומר סקיפ סורלס, מנהל טכנולוגיות ראשי מערכות מידע בשטח בקלארוטי. "כאשר פוגעים בעמוד השדרה המנהלי של אספקת שירותי בריאות, יוצרים סיכונים ארוכי זנב כגון גניבת זהות, קמפיינים של פישינג ושחיקה באמון המטופלים."

סורלס מציין כי "מבצעי" לא אומר "בטוח": "התוקפים מכוונים במכוון למערכות ניהוליות רכות יותר משום שהם יודעים שלספקים אלה חסרה לעתים קרובות אותה קפדנות אבטחה כמו התשתית הקלינית שהם תומכים בה."

קווין קארן, חבר בכיר ב-IEEE ופרופסור לאבטחת סייבר באוניברסיטת אלסטר, מסכים עם הערכה זו. "ניתן להשתמש לרעה בנתונים גנובים, דבר שיפגע בפרטיות המטופלים במשך שנים."

הוא מתאר כיצד השלכות כספיות, כולל עלויות חקירה, שכר טרחת עורכי דין וקנסות אפשריים, עלולות להכביד על משאבים שכבר נמצאים תחת לחץ בשירותי בריאות הציבור. "יתר על כן, הדבר מדגיש בעיות מערכתיות בתשתית הבריאות הדיגיטלית, מה שמוביל לבדיקה רחבה יותר של האופן שבו טכנולוגיות מקושרות מטפלות במידע רגיש."

סיכוני צד שלישי

שירותי הבריאות בבריטניה חיזקו את מאמצי הסייבר ברציפות מאז התקפת Ransomware של WannaCry פגע ב-NHS בשנת 2017. רגולטורים שמים דגש גובר על שרשראות אספקה, ובהכרה כי פגיעויות אצל ספקי שירותים מנוהלים או ספקים קריטיים יכולות להיות בעלות השלכות נרחבות, אומרת קתרינה זומר, ראש קבוצת ענייני ממשלה בקבוצת NCC.

סיכונים של צד שלישי וסיכוני שרשרת אספקה מייצגים "אחד מאתגרי האבטחה הדוחקים ביותר בתחום הבריאות", שכן המגזר מסתמך יותר ויותר על ספקים חיצוניים עבור שירותים חיוניים, אומר קארן.

"מתקפות בשרשרת האספקה של תוכנה הן מסוכנות ביותר ונפוצות יותר ויותר משום שהן מנצלות את האופי המקושר של פיתוח תוכנה מודרני", אומר קארן. IO"התקפות אלו מכוונות לפגיעויות בתלות, בתהליכי בנייה או ברכיבי צד שלישי, ולעתים קרובות מאפשרות לתוקפים לפגוע בחברות מרובות דרך נקודת כשל אחת."

מעבר להשפעה המיידית, בעיות יכולות להיגרם על ידי ארגונים קטנים יותר עם "נוכחות מערכתית גדולה, אך בגרות אבטחתית מוגבלת", אומרת טרייסי האנן-ג'ונס, מנהלת ייעוץ אבטחת מידע ו-GRC ו-DPO קבוצתי ב-UBDS Digital.

מה שמחמיר את המצב, מגזר הבריאות עומד בפני אתגר נראות, על פי סורלס של קלרוטי. "רוב ארגוני הבריאות מתקשים להבין באמת את מצב האבטחה של ספקי הצד השלישי והרביעי שלהם. אי אפשר להוציא שירות למיקור חוץ ולחשוב שהוצאת את הסיכון למיקור חוץ."

ציפיות רגולטוריות

בנוסף לאבטחת שרשרת האספקה, הרגולציה מחייבת יותר ויותר שירותים קריטיים כמו שירותי בריאות לנקוט צעדים נוספים כדי לחזק את החוסן. כאשר מתרחשות פרצות, מצופה מהעובדים הפועלים במגזר להגן על הנתונים ולהיצמד לדרישות דיווח מחמירות.

הפרת DXS International מספקת תובנות לגבי הציפיות הרגולטוריות המסדירות נתוני שירותי בריאות בבריטניה ובאיחוד האירופי, במיוחד במסגרת ומרגולצית הנתונים הכללית (GDPR) וחוקי הגנת המידע המתואמים בבריטניה. "מסגרות אלו מחייבות ארגונים המעבדים נתונים אישיים, כולל מידע בריאותי, להבטיח אמצעי הגנה חזקים ולהגיב בשקיפות לאירועים", אומר קוראן מאוניברסיטת אלסטר.

במקרה זה, "ההודעה המהירה" של DXS למשרד נציב המידע (ICO) ולאכיפת החוק תואמת את סעיף 33 בתקנת ה-GDPR, המחייב דיווח על הפרות תוך 72 שעות אם קיים סיכון לזכויותיהם וחירויותיהם של אנשים, אומר קארן.

באופן דומה, דרישות בריטניה במסגרת חוק הגנת נתונים משנת 2018 "מדגישים אחריותיות, ומחייבים גופים לתעד ולצמצם סיכונים הקשורים לטיפול בנתונים", אומר קארן. "ההערכה המתמשכת של ה-ICO את האירוע משקפת כיצד הרגולטורים בוחנים לא רק את ההפרה עצמה, אלא גם את התאמת אמצעי התגובה, כולל פרוטוקולי בלימה וחקירה", הוא אומר. IO.

רגולטורים דורשים יותר ויותר ראיות לניהול סיכונים פרואקטיבי משום שגישות ריאקטיביות הוכחו כלא מספיקות כנגד איומים מתפתחים - כפי שמעיד המספר הגובר של אירועי סייבר בתחום הבריאות, לדברי קארן.

סיכונים קשורים זה בזה

זה מגיע בתקופה שבה סיכוני סייבר, פרטיות ובינה מלאכותית הופכים לבלתי נפרדים בסביבות שירותי בריאות עקב מערכות מחוברות, שיתוף נתונים ואוטומציה. בינתיים, כלים המונעים על ידי בינה מלאכותית מעצבים מחדש פרופילי סיכונים.

תקרית DXS International מדגימה את ההתכנסות הזו, שבה פריצה של ספק עלולה "לחשוף רשתות משולבות המטפלות בנתוני מטופלים, ולשלב איומי אבטחת סייבר עם חששות לפרטיות", אומר קארן.

שיתוף נתונים בין מערכות אקולוגיות - בין ספקים, ספקים ואפילו ישויות חוצות גבולות - שוחק עוד יותר את הגבולות המסורתיים, הוא מציין. "תחת מסגרות כמו של שירות הבריאות הלאומי" רשת הבריאות והרווחה, מידע זורם באופן דינמי. הקישוריות הזו עלולה להוביל לאירוע סייבר שידרדרה להפרות פרטיות, כגון חשיפה לא מכוון של רשומות רפואיות רגישות.

לאור הסיכון הזה, טיפול בסיכוני סייבר, פרטיות ובינה מלאכותית בממגורות בתוך סביבות שירותי בריאות "יוצר נקודות עיוורות משמעותיות", אומר קארן.

במקום זאת, חברות צריכות לנקוט בגישה משותפת לניהול סיכונים. זה דורש שימוש במסגרות משולבות המאגדות אבטחת מידע, הגנת נתונים וניהול בינה מלאכותית כדי לתמוך בחוסן, אמון ותאימות לטווח ארוך.

לדוגמה, ארגונים צריכים להתייחס לסוכני בינה מלאכותית ובני אדם כ"כוח עבודה משולב שמקיים אינטראקציה עם תוכנה ותשתית", אומר ג'וואד מאליק, יועץ CISO ראשי ב-KnowBe4. "לשם כך אנו זקוקים לאחריותיות ברורה, הבטחת ספקים ופיקוח שמאחד נתונים, בני אדם ובינה מלאכותית כדי לתמוך באמון ובחוסן."

מסגרות כמו זו של המרכז הלאומי לאבטחת סייבר מסגרת הערכת סייבר, ISO 27001 ו-NIST מסגרת אבטחת סייבר "לספק "כלים מעשיים לשילוב בקרות, מדיניות ומדדי סיכון", אומר זומר מקבוצת NCC. "זה עוזר לארגונים לבנות אמון, להפגין עמידה בתקנות ולנהל סיכוני סייבר בצורה קוהרנטית וניתנת להגנה."

קורן מאוניברסיטת אלסטר ממליץ להקים "צוותים חוצי-פונקציות" המורכבים ממומחים מתחומי אבטחת סייבר, פרטיות ובינה מלאכותית, כדי לשתף פעולה בהערכת סיכונים, ולהבטיח כי האיומים יוערכו דרך "עדשה רב-גונית".

עמיד, אמין ומוכן לעתיד

ארגוני שירותי בריאות והספקים עליהם הם מסתמכים חייבים לעבוד כדי לבנות שיטות ניהול סיכונים עמידות, אמינות ומוכנות יותר לעתיד.

"כדי לנצח, ארגונים צריכים לנוע לעבר גישה מאוחדת לסיכונים", אומר איוון מילנקוביץ', סגן נשיא טכנולוגיית סיכונים EMEA ב-Qualys. "במקום להמציא את הגלגל מחדש, הצוותים הטובים ביותר משלבים סטנדרטים בינלאומיים מבוססים לאבטחה, פרטיות וחזית ניהול הבינה המלאכותית המתפתחת לתוך מנוע אחד."

מרכזי בכך הוא הטמעת ניהול סיכונים בתרבות הארגונית באמצעות מדיניות מאוחדת המחייבת "ביקורות סדירות ומשולבות", מייעץ קוראן מאוניברסיטת אלסטר.

בינתיים, יישמו מודל של אחריות משותפת עם הספקים שלכם, אומר סורלס מקלארוטי. "אל תתייחסו לחוזי ספקים כאל 'קבעו ושכחו'. דרשו שקיפות מתמשכת, ראיות לבדיקות אבטחה והוכחה שהם עומדים בסטנדרטים הבסיסיים."

קייט או'פלאהרטי

קייט היא עיתונאית בתחום אבטחת הסייבר והפרטיות עם ניסיון של למעלה מעשור בסיקור נושאים החשובים למשתמשים, עסקים וממשלות. בנוסף ל-ISMS.online, ניתן למצוא את עבודתה בפורבס, וויירד, הגרדיאן, האובזרבר, הטיימס והאקונומיסט.