אבטחת מידע בעולם העסקי החדש (3/4)

בחלק הקודם של הסקירה ראינו שבאבטחת מידע מומלץ שלא להתפשר ולדאוג לאבטח את המידע לכל אורך "נתיבי המידע".

בשירותי בריאות כללית לוקחים את נושא אבטחת מידע ברצינות. לראיה, מספר איציק כוכב – הממונה על הגנת מידע בכללית ומומחה באבטחת מידע לארגוני בריאות ובטחון: "אנחנו בשירותי בריאות כללית החלטנו לטפל בנושא התשתיות. ב-2008 התחלנו לבצע הכנות לתקן ISO 27001 והסמכנו 32 מוסדות בתו התקן – 14 בתי חולים, 8 מחוזות הכוללים 1,300 מרפאות קהילה, 5 חברות בת, מעבדה מרכזית ומטה הנהלת הכללית. במקביל, יזמנו מהלך מול ארגון ISO כדי להכין יחד תקן ייחודי לארגוני בריאות, ואכן בית החולים כרמל קיבל את תו התקן בספטמבר האחרון והיה הראשון בעולם שהוסמך לתקן ISO 27799 לארגוני בריאות. אחריו נסמיך את כל בתי החלים שלנו ומרפאות הקהילה, מעבדה מרכזית, מנהל אספקת התרופות, מטה הנהלת הכללית וחברות בת ובכך נהיה באפריל 2012 ארגון הבריאות היחיד בעולם שהסמיך את כל מוסדותיו לתקן החדש"

"ההכנות לקבלת התקן, מוסיף כוכב, "גרמו לכל גופי הארגון להירתם יחד, כדי להכין את הנדרש מהם על פי דרישות התקן (משאבי אנוש, לוגיסטיקה, פיתוח משאבי אנוש, סיעוד, רפואה, אדמיניסטרציה, מחשוב, ביטחון). המהלך גרם להגברת המודעות והחשיבות לנושא וקידם בסדרי גודל את אבטחת המידע הרפואי הפרטי של האדם. כך קרה שהחליט מנכ"ל משרד הבריאות לחייב את כל מוסדות הבריאות בישראל להכין עצמם ולקבל את תו התקן עד סוף 2016. עצם קיום התקן וההחלטה בארגון שאנחנו נעמוד בו היא מסר לכלל העובדים כיצד הנהלת הכללית והנהלות המוסדות רואות את חשיבות שמירת המידע הפרטי הרפואי של האדם. בנוסף אנחנו בעיצומו של הפעלת NAC (ר"ת Network Access Control) לשם פיקוח ובקרה של רשת התקשורת. התהליך שיושלם יהיה הגדול בישראל והוא יפקח על כ-50,000 נקודות תקשורת לפחות. לצד כל אלה הפעלנו ב-2010 מודול SOC לבקרה על מערכות קליניות תהליך זה יביא יותר ביטחון לחשאיות המידע הרפואי של האדם".

מוסד רפואי מוסמך לתקן הבינלאומי לאבטחת מידע 27001 ISO, הנחשב לתקן המוביל בעולם בתחום זה, רק לאחר שעבר בהצלחה מבדק שערך מכון התקנים הישראלי ובו בחנו את רמת אבטחת המידע במוסד הרפואי בהיבטים שונים כמו:

–    מדיניות אבטחת מידע והוראות עבודה ליישום
–    שמירה על מידע רפואי רגיש של מטופלים ומאושפזים
–    ניהול רשומות רפואיות בסודיות
–    שמירה על סודיות רפואית במחלקות
–    שמירה על נתוני בדיקות מעבדה
–    שמירה על מסמכי העובדים ונתוניהם
–    הקפדה של הצוות הרפואי והסיעודי על סיווג נכון וטיפול מיטבי במידע אישי חסוי
–    פעילות של מחלקת הביטחון לאבטחת מידע ברחבי המוסד הרפואי
–    פעילות מאובטחת של מערכות מידע רפואיות
–    הכשרת אבטחת מידע לכל העוסקים במידע לאורך נתיבו של המידע בארגון

מעבר לרמת אבטחת המידע בשירותי בריאות כללית, סבור כוכב שבאופן כללי הגנת המידע הרפואי בישראל טובה יותר מאשר בארגוני בריאות בארה"ב ואירופה מ-2 סיבות עיקריות: המנהלים בארגוני הבריאות מבינים את המשמעות של המידע הפרטי של האדם ומקצים תקציבים בהתאם, זאת על אף שאין רגולציה להגנת מידע במערך הבריאות בישראל וכן מרבית העוסקים בהגנה וביטחון מידע בישראל הגיעו מהצבא או מארגוני ביטחון אחרים, והם בעלי מודעות ורגישות. בעוד שבמדינות אחרות האנשים הללו מגיעים בדרך כלל מהאקדמיה ונחשפו פחות לאיומים על המידע מכיוון התוקף והמגן. כוכב מסיים ואומר: "אני סבור ש-'אבטחת מידע זו תרבות', שכן תרבות מחברת בין בני אדם בדרך הראויה לשמירה על ביטחונם".

גם פלאפון, כחברה עסקית גדולה, מבינה שאבטחת מידע עושה טוב לעסקים שלה. פלאפון שכ-50% מכלל מכשירי הסמארטפונים שלה הם מבוססי אנדרואיד (Android), נכנסת לתחום אבטחת המידע במכשירים אלו. לאחרונה היא השיקה סל פתרונות כולל לאבטחת סמארטפונים מפני וירוסים ומפני חדירה למידע רגיש. על פי ההערכות, בישראל נגנבים מדי שנה כ-50 אלף מכשירי סלולר. בעת גניבת מכשיר, הגנב עלול להיחשף למידע רגיש של הלקוח שנמצא על גבי המכשיר, כמו תמונות, אי-מיילים, הודעות SMS ואפליקציות. פעמים רבות המידע אף עלול לדלוף לרשת, וממידע פרטי ואישי הופך לנחלת הכלל. האפליקציה מבית קספרסקי (Kaspersky), הכתובה בעברית, מהווה מוצר אבטחה אישי ומאפשרת הגנה מווירוסים, גלישה מאובטחת, הצפנת קבצים וכן איתור וחסימה של מכשיר גנוב. בהמשך יוצעו גם פתרונות רשתיים לכלל המכשירים. הגידול בביקושים לסמארטפונים שהם מחשבים לכל דבר, הן מבחינת החומרה והן מבחינת התוכנה שעליהם, לצד מערכות פתוחות כמו אנדרואיד, החושפות את הלקוחות בפני תוכנות זדוניות ווירוסים, חייבו את החברה לאמץ גישת אבטחה פרואקטיבית. לכן כבר היום הם השיקו תוכנות הגנה בסמארטפונים, שיסייעו ללקוחות לשמור על המידע הרגיש שברשותם.

פתרון אבטחה נוסף שפלאפון משיקה בכל מערכות ההפעלה לסמארטפונים בארגונים הוא Data Safe, המבוסס על תוכנת DME של חברת Excitor אשר כבר קיים במחשבים אישיים ובמחשבים ניידים. ה-DME היא אפליקציית Mobile Device Management שמאפשרת ניהול מרכזי על ידי שרת של כל המכשירים בארגון בהיבט של אבטחת המידע. פתרון זה תומך בכל מערכות ההפעלה ובכל סוגי המכשירים. הפתרון, המותקן על שרת האקסצ'יינג' (Exchange) הארגוני, מצפין את המידע בין המכשיר לארגון, מאפשר הקשחות סיסמה, מחיקה, נעילה ואיתור מרחוק. ה-DME מאפשר גם הפרדה בין המידע העסקי לפרטי שעל המכשיר.

בחלק הרביעי של הסקירה נראה שבמפעל הפיס שמתעסק בהגרלות ובהימורים ("משחקים באחריות"), לא מהמרים בשום אופן בנושא אבטחת מידע, ומדיניות אבטחת המידע שלהם היא מחמירה מאוד, מבוססת על תקינה ורגולציה ויישומה מורכב מאבטחת מידע פנים ארגונית, אבטחת מידע היקפית, מערכות ניהול ובקרה ותהליכי אבטחת מידע שוטפים.