עולם הבריאות: אתגרים וסיכונים של BYOD

טרנד ה-BYOD (ר"ת Bring Your Own Device) לא פוסח גם על מגזר הבריאות. טלפונים חכמים, מחשבי לוח ומערכות PC חכמות מצויים בשימוש בבתי חולים, מרפאות ומוסדות בריאות רבים. בדומה למגזרים עסקיים ותעשייה, גם כאן השימוש בטלפונים הוא כפול: למטרות עבודה, יישומים וקבלת מידע שוטף מחד, ושימושים פרטיים מאידך. אולם בניגוד למגזרים אחרים, השימוש בתחום הבריאות לצרכי עבודה הוא מורכב למדי.

זאת, מאחר שמדובר במידע רגיש, שהקריטיות בשמירה על הפרטיות שלו היא ברמה הכי גבוהה שיכולה להיות. המציאות הזו מדירה שינה מעיניהם של מנהלי הטכנולוגיות במגזר הבריאות בארצות הברית, ואפשר להניח שגם בישראל ובמקומות אחרים. מאחר שכל תחום ה-BYOD עדיין בחיתוליו, יש בו הרבה תחומים "אפורים", שייתכן שהיעדרם לא חשוב כל כך במקומות עבודה רגילים – אבל במגזר הבריאות הוא יכול להיות מסוכן. כמו במקומות אחרים, ההפרדה בין האזורים הפרטיים בטלפון החכם של הרופא לבין האזור הפרטי שלו ושל משפחתו, היא מאוד גבולית עד כדי בלתי אפשרית.

נושאים אלו ואחרים עמדו בעיקרי הדברים של קבוצת דיון קטנה, שמנתה מספר מנהלי מערכות מידע של מגזר הבריאות בארה"ב. את הדיון הנחו אנליסטים של ארגון מערכות המידע בבריאות האמריקני, HIMSS. המנמ"רים הציפו בפגישה את הבעיות המטרידות אותם, על אבטחת מידע, אחסון ומהות הרכיבים הניידים בתוך בית החולים.

המסר הכללי שיצא משם הוא שהמנמ"רים במגזר הבריאות האמריקני – המבוזר מאוד וברובו גם מופרט – הולכים ומאבדים שליטה על כל נושא המובייל הארגוני, לצד העובדה שכמו במקומות אחרים, ה-BYOD וה-MDM לא מופעלים בצורה מלאה. השליטה על השימושים הפרטיים של עובדי מערכת הבריאות היא קשה מאוד, בעיקר בהתייחס לעובדה שבחלק ה-"עסקי" יש מידע רפואי שעלול להיות רגיש. "אינך יכול לנעול לגמרי את הדואר של העובד ולעקוב אחריו", אמר אחד המנמ"רים בפגישה. מעבר לזה השיטות המתוחכמות כיום להעברת מידע מייתרות כל ניסיון לנטרל מידע לא חיוני בנייד של העובד, או לתחום אותו רק לקמפוס בית החולים. המנמ"רים אמרו בציניות חלקית שהם מאוד מתרגשים מההבטחות של הספקים לתת להם פתרונות מלאים לאתגר זה, אולם בפועל כולם יודעים שזה לא קורה.

מחקר שערך ארגון מערכות המידע האמריקני בשנה שעברה הראה, כי הפתרון המועדף על ידי מנמ"רים במגזר הבריאות למניעת זליגת מידע לא רצוי הוא שימוש בכלים של השמדת המידע באופן גורף ברגע שמזהים פרצה או חדירה למערכות. מצד שני, הנהלות מוסדות רפואיים, כמו גם המנמ"רים, מחזיקים בגישה לפיה הרכיב הנייד הוא בסך הכל ממשק גישה למידע ואין שום סיבה שעל אותו רכיב יהיה מידע רפואי רגיש. זה כמובן מוריד מהיתרון המרכזי של הטלפון החכם. אולם בסופו של דבר, הסיכוי שרופא או אחות בית חולים יזדקקו לראות תוצאות בדיקות מעבדה של חולה בעת שהותם מחוץ לבית החולים הוא קלוש – ולא שווה את הסיכונים הדרושים בהעלאת מידע רגיש לרכיבים החכמים.

גם השימוש ההולך וגובר ברשת אלחוטית לא מקל על חייהם של המנמ"רים. הוא מקשה על המעקב ואכיפת מדיניות האבטחה המתבקשת. בתוך המוסדות הרפואיים, מיישמים המנמ"רים כלים שמייצרים "סביבה סטרילית" בכל מה שקשור למחשב לוח – סביבה שמנתקת אותם מהרשת האלחוטית ברגע שהם סיימו לעבוד עליה, ומחברת אותם מחדש כאשר הם זקוקים לה. כמו כן משתמשים בשולחנות עבודה וירטואליים ופתרונות מקבילים לו. אתגרים נוספים הם בתחום האחסון: אחסון מידע הוא אתגר בפני עצמו במערכת הבריאות בגלל היקפי המידע והגדלים שלו, בעיקר מידע ויזואלי וגרפי כבד. אחד הפתרונות שהועלו בקבוצת המיקוד הוא שימוש בענן פרטי, שמקל מאוד את העומס ומאבטח את האחסון. עם זאת, הרגולטור האמריקני מחייב כל ארגון שעובר לענן לחתום על הסכם התקשרות ברור ושקוף (BAA) עם ספק הענן, ומוסדות בריאות שלא עושים כך לא יכולים להתחבר לענן על פי חוקי הרגולציה. המציאות היא שספקי ענן רבים לא חתמו על ההסכם הזה מלבד חברות כמו מיקרוסופט (Microsoft) וארגונים רבים עצמאיים לא מבינים מדוע הם חייבים לחתום על הסכמים כאלו רק עם מגזר הבריאות.

השורה התחתונה: תופעת ה-BYOD יצרה ללא ספק מהפכה של ממש בדרך בה אנשים עובדים ומתקשרים עם הארגון שלהם, אולם במגזר הבריאות היא מייצרת אתגרים הרבה יותר מורכבים, שכרוכים לעתים גם במקרים מצערים של אובדן חיי אדם, חלילה. בתחום זה אנו צפויים לשמוע בקרוב על חידושים ופתרונות מעשיים, שישפיעו מן הסתם גם על מגזר הבריאות הישראלי.