דלגו לתוכן
ענפים19 בספטמבר 202510 דק׳ קריאה

אבטחת מידע לקליניקות ומרפאות פרטיות: מידע רפואי הוא לא עוד קובץ

רשומה רפואית שווה ברשת האפלה פי עשרה מכרטיס אשראי, וענף הבריאות הישראלי ספג 2,396 מתקפות בשבוע ב-2025. מה לומדים מהלל יפה, מעייני הישועה ומכון מור, לאיזו רמת אבטחה שייך מאגר המטופלים שלכם אחרי תיקון 13, מה עושים עם הוואטסאפ של הקליניקה — וצ׳קליסט של עשרה צעדים לשבוע הקרוב.

ר.ש
רותם שיינס · מנכ״ל ובעלים
מומחה אבטחת מידע ופרטיות · Cybertis · מעל 10 שנות ניסיון

יום ראשון, 07:55. המזכירה מדליקה את המחשב בקליניקה — ותוכנת ניהול התורים לא עולה. על המסך הודעה באנגלית: הקבצים הוצפנו. ביומן של היום 34 מטופלים, אין גישה לתיקים, לתוצאות בדיקות או למספרי טלפון, ובוואטסאפ של הקליניקה יושבות שנים של צילומי הפניות ותשובות מעבדה. זה התרחיש שרופאים, פסיכולוגים, רופאי שיניים ופיזיותרפיסטים מעדיפים לא לחשוב עליו — אבל התוקפים חושבים עליו הרבה, ומסיבה פשוטה: מידע רפואי הוא הסחורה היקרה ביותר בשוק המידע הגנוב, והרגולציה הישראלית מתייחסת אליו בהתאם.

למה דווקא רפואה? כי זה שווה כסף

לפי מדדי מחירים של מידע גנוב ברשת האפלה (DeepStrike, 2025), רשומה רפואית מלאה נמכרת בעד 500 דולר ויותר — לעומת 10–40 דולר לכרטיס אשראי גנוב. כרטיס אפשר לבטל; היסטוריה רפואית אי אפשר. ולפי דוח Cost of a Data Breach של IBM לשנת 2025, ענף הבריאות הוא הענף היקר ביותר לשיקום אחרי דליפה — 7.42 מיליון דולר לאירוע בממוצע — זו השנה ה-15 ברציפות שהוא מוביל את הטבלה.

וזה לא איום תיאורטי מעבר לים. לפי נתוני Check Point ל-2025, ארגון בריאות ישראלי ממוצע ספג 2,396 מתקפות בשבוע — וענף הבריאות נמנה בעקביות עם הענפים המותקפים ביותר במשק. שלושה מקרים ישראליים ממחישים מה קורה כשזה מצליח.

שלוש תקיפות שכל בעל קליניקה צריך להכיר

הלל יפה, אוקטובר 2021. מתקפת כופרה השביתה את המרכז הרפואי בחדרה. משרד הבריאות העריך את עלות השיקום בכ-36 מיליון שקל, ולפי הדיווחים בית החולים עבד שבועות על נייר, הפנה מטופלים למוסדות אחרים — וחלק ניכר מהגיבויים כלל לא ניתן היה לשחזור. אם בית חולים עם מערך IT שלם מתקשה לקום ממתקפה כזו, קליניקה עם מחשב אחד ומזכירה — על אחת כמה וכמה.

מעייני הישועה, אוגוסט 2023. קבוצת כופרה תקפה את בית החולים בבני ברק. ההנהלה סירבה לשלם — ובתגובה, לפי הדיווחים, פורסמו כ-1.4 טרה-בייט של מידע רפואי רגיש, כולל מידע פסיכיאטרי. זו הנקודה שחשוב להפנים: במידע רפואי, הנזק האמיתי הוא לא ההצפנה אלא החשיפה. גיבוי מציל את הפעילות — הוא לא מחזיר סוד רפואי שדלף.

מכון מור, נובמבר 2021. קבוצת Black Shadow הדליפה, לפי הדיווחים, רשומות רפואיות של כ-290 אלף מטופלים של המכון — בפריצה אחת לגוף שמרכז את המידע. המאגר שלכם הוא בדיוק ריכוז כזה בקטן — וגם הספקים שלכם הם יעד.

מפת האיום והרגולציה על קליניקה פרטית: נתוני מתקפות ושווי מידע רפואי מול שלוש שכבות רגולציה
מקורות: Check Point 2025, IBM Cost of a Data Breach 2025, DeepStrike 2025, דיווחי תקשורת על האירועים בישראל

שכבות הרגולציה: מה באמת חל על קליניקה פרטית

על מאגר מטופלים של קליניקה חלות במקביל שלוש שכבות דין — וכל אחת מהן מטילה חובות נפרדות. מי שמכיר רק את ״חוק הגנת הפרטיות״ מפספס את התמונה.

שכבה 1: חוק זכויות החולה — חובת הסודיות המקצועית

חוק זכויות החולה, התשנ״ו-1996, קובע בסעיף 19 חובה חדה: מטפל או עובד מוסד רפואי ישמרו בסוד כל מידע הנוגע למטופל שהגיע אליהם תוך כדי מילוי תפקידם. סעיף 19(ב) מוסיף את מה שרבים לא מכירים — המטפל, ובמוסד רפואי מנהל המוסד, חייבים לנקוט אמצעים כדי להבטיח שהעובדים הכפופים להם ישמרו על הסודיות. כלומר: אבטחת מידע היא לא ״שדרוג״ — היא חלק מחובת הסודיות עצמה. החוק גם מחייב ניהול רשומה רפואית (סעיף 17) ומגדיר בסעיף 20 רשימה סגורה של מצבים שבהם מותר למסור מידע רפואי לגורם אחר — הסכמת המטופל, חובה שבדין, או העברה למטפל אחר לצורך הטיפול.

שכבה 2: חוק הגנת הפרטיות ותיקון 13 — הרגישות המיוחדת

מאז 14.8.2025, עם כניסת תיקון 13 לחוק הגנת הפרטיות לתוקף, מידע רפואי, גנטי ומידע על מצב נפשי מסווגים כמידע בעל רגישות מיוחדת — והסיווג הזה מכפיל את תעריפי העיצומים הכספיים. עיבוד מידע שלא כדין נקנס ב-8 ש״ח לכל נושא מידע במאגר רגיש (לעומת 4 ש״ח במידע רגיל), עם רצפה של 200 אלף ש״ח; בדוגמה שהרשות להגנת הפרטיות עצמה מביאה במדריך המקצועי לתיקון, עיבוד ללא הרשאה במאגר רגיש של 200 אלף איש מגיע ל-1.6 מיליון ש״ח. גם הפרות של תקנות אבטחת מידע מדורגות: 20–80 אלף ש״ח למאגר ברמת אבטחה בינונית, ו-80–320 אלף ש״ח למאגר ברמה גבוהה.

שכבה 3: תקנות אבטחת מידע — החובות התפעוליות

תקנות הגנת הפרטיות (אבטחת מידע), התשע״ז-2017, מתרגמות את החובה לעשייה: מסמך הגדרות מאגר, ניהול הרשאות, אבטחה פיזית, גיבויים, תיעוד אירועים ועוד — לפי רמת האבטחה של המאגר. וכאן השאלה שכל קליניקה חייבת לענות עליה.

לאיזו רמת אבטחה שייך מאגר המטופלים שלכם?

מידע רפואי ומידע על מצב נפשי מופיעים במפורש בתוספת הראשונה לתקנות — כלומר, נקודת המוצא של מאגר מטופלים היא רמת אבטחה בינונית. משם הלוגיקה נקבעת בעיקר לפי שאלה אחת: כמה בעלי הרשאה יש למאגר?

  • מאגר המנוהל בידי יחיד — מטפל עצמאי שרק הוא, ולכל היותר שני בעלי הרשאה נוספים, ניגשים למאגר: חלות חובות מצומצמות. רלוונטי לפסיכולוג או פיזיותרפיסט שעובד לבד, בלי מזכירה ובלי הנהלת חשבונות עם גישה.
  • עד 10 בעלי הרשאה — התקנות מקלות: המאגר יורד לרמה הבסיסית, גם אם יש בו מידע רפואי. אבל שימו לב איך סופרים (בהמשך).
  • יותר מ-10 בעלי הרשאהרמת אבטחה בינונית: נוהל אבטחה, ניהול הרשאות מתועד, זיהוי ואימות, גיבויים, ביקורת תקופתית — וחובת דיווח מיידי לרשות על אירוע אבטחה חמור.
  • מידע על 100 אלף איש ומעלה, או יותר מ-100 בעלי הרשאהרמת אבטחה גבוהה: רלוונטי לרשתות מרפאות ומכונים גדולים, וגורר בין היתר סקרי סיכונים ומבדקי חדירות תקופתיים.
הטעות הנפוצה: לספור רק את הרופאים

״בעל הרשאה״ הוא כל מי שיכול לגשת למידע — לא רק המטפלים. בקליניקה טיפוסית שאנחנו פוגשים בשטח, הספירה האמיתית כוללת: שלושה מטפלים, שתי מזכירות, מנהלת חשבונות חיצונית, איש ה-IT שמתחזק את המחשבים, ונציגי התמיכה של תוכנת התורים. ככה מגיעים מהר מאוד מ״אנחנו קטנים״ ל-10+ בעלי הרשאה — ולרמת אבטחה בינונית על כל המשתמע. איך בדיוק עובד הסיווג — פירטנו במדריך המלא על רמות האבטחה בתקנות.

והאם קליניקה חייבת ממונה הגנת פרטיות (DPO)?

תיקון 13 קובע חובת מינוי ממונה הגנת פרטיות, ובתי חולים וקופות חולים נמנים במפורש בחוק עם החייבים. קליניקה פרטית לא מוזכרת בשמה — אבל החובה חלה גם על כל גורם שעיסוקו המרכזי כולל עיבוד מידע בעל רגישות מיוחדת בהיקף משמעותי. מרפאת שיניים בודדת כנראה לא שם; רשת מרפאות עם עשרות אלפי מטופלים בהחלט עשויה להיות. ההיקף המדויק נבחן פרטנית, אבל העיקרון פשוט: גם כשאין חובת מינוי, מישהו בקליניקה צריך להחזיק את הנושא — ולארגונים שאין להם משרה כזו קיים מודל של ממונה חיצוני במיקור חוץ.

התוכנית המעשית: חמש חזיתות

1. תוכנת התורים והספקים בענן

רוב הקליניקות מנהלות היום את המידע אצל ספקים: תוכנת ניהול מטופלים בענן, אחסון, סליקה, דיוור. מבחינת החוק — המאגר עדיין שלכם, והאחריות איתו. במבצע האכיפה של הרשות להגנת הפרטיות בדצמבר 2025 נבדקו, בין היתר, בדיוק פערים כאלה — כולל היעדר הסכמי עיבוד מידע מול ספקים. מה לדרוש מכל ספק שנוגע במידע מטופלים: הסכם עיבוד מידע (מה מותר לו לעשות, איפה המידע נשמר, מה קורה כשעוזבים), הצפנה, אימות רב-שלבי לחשבון הניהול, גיבויים מוסדרים והתחייבות לדווח לכם על אירוע אבטחה.

2. הוואטסאפ של הקליניקה — הבעיה שכולם מכירים ואף אחד לא פותר

תשובת מעבדה שנשלחת לוואטסאפ הפרטי של הרופא. צילום עור לפני-אחרי אצל הקוסמטיקאית. סיכום פגישה בצ׳ט. זה נוח — וזה גם ערוץ שבו מידע רפואי חי על מכשיר פרטי, מגובה לחשבון ענן פרטי, וחשוף לשליחה בטעות לאיש קשר לא נכון. הרשות להגנת הפרטיות פרסמה במרץ 2025 הנחיה ייעודית בנושא העברה דיגיטלית של מידע רפואי — הנושא על הרדאר הרגולטורי. מה עושים בפועל: קו עסקי ייעודי לקליניקה (לא הנייד הפרטי של המטפל), העברת תוצאות ומסמכים דרך הפורטל המאובטח של תוכנת הניהול או בקישור מוגן בסיסמה, צמצום למינימום — לתאם תור בוואטסאפ זה בסדר, לשלוח תיק רפואי זה לא — והסכמת המטופל מראש לערוץ התקשורת.

3. הרשאות צוות: הלקח מביטוח לאומי

באוגוסט 2025 קנסה הרשות להגנת הפרטיות את המוסד לביטוח לאומי ב-75 אלף ש״ח, אחרי שעובד ניצל את הרשאות המערכת שלו לצרכים אישיים — 15 מקרים של גישה למידע ללא סמכות. הלקח לקליניקה: הסכנה היא לא רק האקר מבחוץ, אלא גם סקרנות מבפנים. לכל עובד — חשבון אישי משלו (לא ״סיסמת המרפאה״ על פתק), הרשאות לפי תפקיד בלבד, יומן גישות מופעל בתוכנה — וביטול הרשאות באותו יום שעובד עוזב.

4. גיבויים: מה שהציל — ומה שלא הציל — את הלל יפה

בהלל יפה, לפי הדיווחים, חלק ניכר מהגיבוי לא ניתן היה לשחזור — וזה ההבדל בין השבתה של יום להשבתה של חודשים. הכלל לקליניקה זהה לכל עסק: גיבוי 3-2-1 — שלושה עותקים, שני סוגי מדיה, אחד מחוץ לקליניקה ומנותק מהרשת — ובדיקת שחזור בפועל אחת לרבעון. אם המידע אצל ספק ענן, לוודא בכתב מה מדיניות הגיבוי שלו ומה אתם מקבלים כשתרצו לעזוב.

5. כשזה קורה: תגובה ודיווח

מאגר ברמת אבטחה בינונית או גבוהה חייב לדווח לרשות להגנת הפרטיות על אירוע אבטחה חמור באופן מיידי — הדיווח נעשה בטופס מקוון של משרד המשפטים, ותחת תיקון 13 אי-דיווח יושב במדרגת העיצומים הגבוהה ביותר של הפרות תקנות האבטחה (עד 80 אלף ש״ח במאגר בינוני ועד 320 אלף ש״ח במאגר ברמה גבוהה). במקביל מדווחים למערך הסייבר הלאומי במוקד 119 ומפעילים את תוכנית התגובה — מי מנתק מה, מי מודיע למטופלים, מי מדבר עם הספק. איך נראות 24 השעות הראשונות צעד-צעד — כתבנו במדריך הכופרה לעסק קטן.

הנכס שאין לו גיבוי: אמון המטופלים

מטופל שמוסר לכם מידע על גופו ונפשו נותן בכם אמון שאין לו מקבילה בענפים אחרים — ואמון כזה לא חוזר אחרי דליפה. אחרי פרסום המידע הפסיכיאטרי ממעייני הישועה, השאלה שנשאלה בציבור לא הייתה ״איזו קבוצת תקיפה זו הייתה״ אלא ״איך נתתם לזה לקרות״. בשוק שבו למטופל יש קליניקה מתחרה במרחק שתי דקות נסיעה, אבטחת מידע היא לא סעיף הוצאה — היא תנאי להמשך הפעילות.

צ׳קליסט לקליניקה: מה עושים כבר השבוע

  1. מפו את המידע. איפה יושב מידע מטופלים בפועל: תוכנת ניהול, מייל, וואטסאפ, סורק, מגירות. אי אפשר להגן על מה שלא מיפיתם.
  2. ספרו בעלי הרשאה. כולל מזכירות, הנהלת חשבונות, IT וספקי תוכנה — וקבעו לאיזו רמת אבטחה המאגר שייך.
  3. הפעילו אימות רב-שלבי (MFA) על תוכנת הניהול, המייל והגיבוי בענן — היום, לפני הכול.
  4. חשבון אישי לכל עובד והרשאות לפי תפקיד; בטלו כל סיסמה משותפת.
  5. בדקו את הסכמי הספקים. יש הסכם עיבוד מידע מול תוכנת התורים? מה הספק מתחייב לגבי אבטחה, גיבוי ודיווח על אירוע?
  6. סגרו את חזית הוואטסאפ. קו עסקי ייעודי, כללים ברורים מה מותר לשלוח, והעברת מסמכים רפואיים בערוץ מאובטח בלבד.
  7. ודאו גיבוי 3-2-1 ובצעו שחזור ניסיון אחד — לא להסתפק ב״יש גיבוי״.
  8. כתבו נוהל אירוע של עמוד אחד: את מי מנתקים, למי מתקשרים (IT, מוקד 119, הרשות להגנת הפרטיות), מי מודיע למטופלים.
  9. הדריכו את הצוות — חצי שעה על פישינג, סודיות וטלפונים ״מהקופה״/״מהמעבדה״ שמבקשים פרטי מטופלים.
  10. קבעו אחראי. בין אם חובת DPO חלה עליכם ובין אם לא — לנושא חייבת להיות כתובת אחת.
צ׳קליסט אבטחת מידע לקליניקה פרטית: עשרה צעדים מעשיים לשבוע הקרוב
צ׳קליסט Cybertis לקליניקות ומרפאות — מבוסס על תקנות אבטחת מידע ותיקון 13
לא בטוחים איפה אתם עומדים?

רוב הקליניקות שאנחנו פוגשים מגלות בבדיקה הראשונה 3–4 פערים שאפשר לסגור בתוך חודש. סקר הסיכונים האונליין שלנו ייתן לכם תמונת מצב ראשונית בחמש דקות — בלי עלות ובלי התחייבות.

השורה התחתונה

קליניקה פרטית מחזיקה את סוג המידע הרגיש ביותר שקיים, מול תוקפים שיודעים בדיוק כמה הוא שווה — ומול רגולציה שמאז תיקון 13 מתייחסת אליו בהתאם: חובת סודיות מחוק זכויות החולה, רמות אבטחה מהתקנות, ועיצומים כפולים על מידע בעל רגישות מיוחדת. החדשות הטובות: הפער בין קליניקה חשופה לקליניקה מוגנת סביר הוא לא תקציב של בית חולים — הוא עשרת הצעדים שבצ׳קליסט למעלה, מיושמים ברצינות.

Cybertis מלווה קליניקות, מרפאות ומכונים בהתאמה לתיקון 13 ולתקנות אבטחת מידע — ממיפוי המאגרים וסיווג רמת האבטחה, דרך הסכמי ספקים ונוהלי עבודה, ועד שירות ממונה הגנת פרטיות במיקור חוץ. הפגישה הראשונה עלינו.

לשירות היערכות לתיקון 13

*האמור במאמר זה הוא מידע כללי בלבד ואינו מהווה ייעוץ משפטי או מקצועי מחייב. סיווג רמת האבטחה, תחולת חובת מינוי ממונה והחובות הענפיות תלויים בנסיבות הקונקרטיות של כל קליניקה ומחייבים בחינה פרטנית.*

תכנון מראש, לא תגובה בדיעבד

בואו נדבר על חוסן הסייבר של הארגון שלכם.

שיחת היכרות של 30 דקות עם בכיר/ה מהצוות שלנו. ללא מצגות מכירה וללא לחץ — רק תמונת מצב אמיתית של היכן אתם נמצאים ולאן כדאי להמשיך.

תגובה ראשוניתתוך 4 שעות
פגישת היכרותללא עלות וללא התחייבות
אופן ההתקשרותפרויקט נקודתי או התקשרות שוטפת
כתובת לאירוע פעילsoc@cybertis.co.il