דמיינו שמישהו יושב לכם במשרד, מסתכל לכם מעבר לכתף על המסמכים הכי סודיים של הלקוחות שלכם, ואתם לא שמים לב. במשך שנה.
זה בדיוק מה שקרה עכשיו לאחת מחברות ה-IT הרפואי הגדולות בעולם, TriZetto. החברה דיווחה על אירוע סייבר חמור ודלף מידע שמשפיע על כ-3.4 מיליון מטופלים.
הנתון המטריד ביותר בסיפור הזה? התוקף שהה ברשת החברה במשך כמעט שנה שלמה (מנובמבר 2024 עד אוקטובר 2025) מבלי שהתגלה. שנה שלמה שבה הוא למד את המערכת, אסף הרשאות, ושאב מידע רגיש באין מפריע.
אם אתם עורכי דין, רואי חשבון, יועצי מס, פסיכולוגים או מנהלי קליניקות – אתם בטח קוראים את זה וחושבים: “אני לא תאגיד רפואי ענק, למה שהאקרים יבזבזו עליי שנה?”
התשובה היא שהם לא יבזבזו עליכם שנה. ייקח להם בדיוק 5 דקות לפרוץ אליכם, כי אתם המטרה הקלה.
⚠️ מה שאתם חייבים לדעת על תיקון 13 לחוק הגנת הפרטיות
הסכנה האמיתית לעסק שלכם היא כבר מזמן לא רק “פדיחה” מול הלקוחות. הסכנה היא חוקית ופיננסית, והיא קשורה ישירות לשינויים הדרמטיים בחקיקה הישראלית – בדגש על תיקון 13 לחוק הגנת הפרטיות (שנכנס לתוקף ומעניק סמכויות אכיפה חסרות תקדים) ותקנה 13 לתקנות אבטחת מידע (שמדברת על חובת הדיווח).
אם האקר פורץ למחשב במשרד שלכם וגונב תעודות זהות, נתונים פיננסיים, מסמכים משפטיים או סיכומי טיפול רפואי, חוקי המשחק החדשים אומרים דבר פשוט:
- חובת דיווח מיידית (תקנה 13): אתם מחויבים לדווח לרשות להגנת הפרטיות על כל אירוע אבטחה חמור באופן מיידי. אי דיווח הוא עבירה פלילית.
- קנסות ענק ללא משפט (תיקון 13): הרשות להגנת הפרטיות קיבלה “שיניים” חדות מאי פעם. היא רשאית להטיל עליכם – כבעלי העסק – עיצומים כספיים אישיים של מאות אלפי שקלים אם יתגלה שלא יישמתם אמצעי אבטחה סבירים כדי להגן על המידע של הלקוחות שלכם.
בעיני החוק, האחריות על שמירת הסודיות של הלקוח שלכם לא מסתיימת בחיסיון עורך-דין-לקוח או בחיסיון רפואי. היא חלה גם על המחשב הנייד שלכם ועל הרשת במשרד.
🛡️ אז מה עושים מחר בבוקר?
הלקח מאירוע TriZetto הוא שאנטי-וירוס ישן לא עושה את העבודה. אתם חייבים מערכות מודרניות שלוקחות אחריות:
- ניטור אקטיבי (EDR): במקום לחכות שהאקר יצפין לכם את המידע, התקינו מערכת EDR שיודעת לזהות התנהגות חריגה (Threat Hunting) ולעצור את התוקף באותו רגע.
- הצפנת כוננים: ודאו שהדיסק הקשיח שלכם (בנייד ובמשרד) מוצפן לחלוטין (BitLocker / FileVault).
- גיבוי מנותק: החזיקו לפחות גיבוי אחד שהוא Offline לחלוטין, שלא מחובר לרשת, כדי שתוכלו להתאושש ממתקפת כופר.
מקורות
אל תשחקו רולטה רוסית עם הרישיון המקצועי שלכם ועם הפרטיות של האנשים שסומכים עליכם. קחו אחריות על המידע.
BleepingComputer (אחד ממקורות הסייבר המוכרים ביותר): כתבה המפרטת על דלף המידע של 3.4 מיליון מטופלים ועל העובדה שהתוקפים שהו ברשת מנובמבר 2024 ועד לגילוי באוקטובר 2025. 🔗 Cognizant TriZetto breach exposes health data of 3.4 million patients
CUInfoSecurity / BankInfoSecurity: דיווח מעמיק על כך שהחברה (שמספקת שירותי ניהול IT וחיובים לגופי בריאות) מתחילה ליידע את הנפגעים על החדירה שהתגלתה כמעט שנה לאחר תחילתה. 🔗 Trizetto Notifying 3.4M of 2024 Hack Detected in 2025
The HIPAA Journal (מקור סמכותי מאוד לעולמות הרפואה והפרטיות): אישור רשמי של הוספת האירוע לפורטל של משרד הבריאות האמריקאי (HHS), כאחד מאירועי הסייבר הגדולים של השנה במגזר הרפואי. 🔗 Trizetto Data Breach: PHI of 3.4 Million Individuals Exposed (גלול מעט מטה בתוך העמוד לדיווח על TriZetto).
PR Newswire (היבט משפטי – מעולה לחידוד המסר בפוסט שלך): הודעה לתקשורת על משרדי עורכי דין בארה”ב שכבר החלו בחקירות לקראת תביעות ייצוגיות נגד החברה בגין המחדל. 🔗 Edelson Lechtzin LLP is Investigating Claims on Behalf of Persons Affected by the TriZetto Data Breach
כתיבת תגובה
יש להתחבר למערכת כדי לכתוב תגובה.