אבטחת מידע בעולם העסקי החדש (2/4)

בחלק הראשון של הסקירה ראינו שמומחי אבטחה צופים שמתקפות ממוקדות על מערכי מחשוב של תשתיות לאומיות קריטיות יעלו מדרגה. שירותי בריאות הם אחד היעדים של מתקפות כאלו. בשירותי בריאות כללית זוכה נושא אבטחת המידע ליחס מכובד והולם. איציק כוכב, הממונה על הגנת מידע בכללית ומומחה באבטחת מידע לארגוני בריאות ובטחון, אומר שתחום אבטחת המידע השתנה בחמש השנים האחרונות. "אם לפני כן היה נושא אבטחת המידע מצוי במעמקי ה-IT, הרי שהיום הוא אחד מאבני היסוד בתהליך – ולא רק בתהליך המחשובי". כוכב, שעוסק באבטחת מידע מזה עשרות בשנים גם כמרצה בכיר באקדמיה, מוסיף וקובע: "ללא שילוב אבטחת מידע כחלק מאפיון של תהליך עוד לפני בניית מערכת המידע, ייכשל הפתרון מבחינת אבטחת מידע".

חשוב להבין שאבטחת מידע אינה רק תהליך מיחשובי ולכן כל זה נכון בהיבט המחשובי, בהיבט התפעולי ובהיבט השירותי. מדבריו עולה, כאמור, שאבטחת מידע נגעה בעבר רק במערכות מידע, אולם אנחנו בתקופה בה המידע מצוי ברבדים שונים של העשייה הארגונית ואפשר לומר שמערכות מידע ומידע מנהלים את חיינו: "ראוי לומר שאבטחת המידע נועדה לאבטח את המידע לכל אורך 'נתיב המידע'. האתגר המרכזי הוא למתן את הקונפליקט של אבטחת מידע המתנגשת עם הצורך בשרות לקוחות וזאת בעולם של הנגשת מידע בכל האמצעים".

כוכב טוען, שכדי להבין טוב יותר איך תבוצע אבטחת מידע ראויה ומושלמת ב-"נתיב המידע", ראוי להכיר כמה ערכי יסוד באבטחת מידע: "נתיב המידע" הוא דרכו של המידע מרגע שנוצר ועד הרגע שסיים את חייו. בנתיבו, המידע יכול  להימצא בידי משתמש, עובד, מערכת מידע, מסמך, ספק תמיכה חיצוני, ספק שירותי רפואה עצמאי, שיחה בין צוותים רפואיים, הלקוח ועוד. אבטחת מידע בנתיב המידע תתקיים רק אם יש תשתית מוכרת ומוסכמת של אבטחת מידע בעלת חמש שכבות יסוד:

1.    חוקים, תקנים, תקנות ורגולציה, תקני אבטחת מידע טכנולוגיים בינלאומיים
2.    מדיניות הגנת מידע ארגונית מטעם ההנהלה
3.    הוראות עבודה למיישם שהם למעשה הפרוש "הלכה למעשה" של המדיניות והן מיועדות לכל העוסקים ונגישים למידע
4.    הכשרה של כל שדרת האנשים הנחשפים למידע (אנשים טכניים, מנהלים צוותי רפואה, עובדים)
5.    בקרה, אכיפה, מודיעין ותהליך שיפור מתמיד

השכבה האחרונה רוקמת בחוט שני את כל השכבות הקודמות ומזינה אותן ללא הפסק. רק לאחר שהוקמו והוכרו שכבות יסוד אלה, על ידי ההנהלה, ניגשים לטפל באבטחת מידע תפעולי ב-"נתיב המידע". והוא מוסיף: "בוודאות אני יכול לומר כי אם אחת משכבות היסוד שציינתי אינה קיימת או מושלמת, הרי שיוצר "חור" אבטחת מידע והוא למעשה החוליה החלשה ממנה יגיע הפוגע".

כוכב, ממקימי הפורום הלאומי לאבטחת מידע וככזה שמעורב בכל עת בנושא אבטחת המידע במערכות בריאות מתייחס למגזר הרפואי ואומר: "בעולם הרפואה הנושא, בהקשרו, מרכזי שכן הארגון מעוניין להביא למטופל מידע מיידי. המידע תמיד מידע רגיש, עליו חלים חובות מכורח חוק הגנת הפרטיות. יתרה מכך קבע המחוקק כי אחריות אבטחת המידע עד למטופל היא באחריות הגורם הרפואי המייצר את המידע כלומר אני אחראי על אבטחת המידע לכל דרכו באינטרנט, בפייסבוק, בסמארטפון, בסמס, במרפאה ובמחלקה בבית החולים – אתגר מורכב".

לדבריו, "התרחבות שירותי המידע בתצורות השונות, מעמידה את העוסקים באבטחת מידע בפני אתגר טכנולוגי לא קל. אם בעבר לא היו מערכות הארגון מחוברות לרשת האינטרנט וההתממשקות למערכות נוספות בארגון הייתה שולית, הרי שהיום רוב המערכות והציוד הרפואי נתמך בגישה מרחוק על ידי ספקי הציוד הרפואי, חברת המספקות מערכות תומכות בחדרי ניתוח, חדרי לידה, חדרי טיפול נמרץ, חברות תרופות, מכוני מחקר, ספקי שרותי רפואה אחרים מנהלים את פעילותם על גבי רשת האינטרנט. לשלב את השירותים הללו לתוך הרשת הארגונית הוא איום קריטי על מערכות רפואיות תפעוליות ואפילו מצילות חיים".

לגבי טכנולוגיית הענן, כוכב לא משוכנע שהוכחה כבר אבטחת מידע טובה וחזקה כדי שהם ירגישו בטוחים להעביר אליו מידע רפואי פרטי של בני אדם. הוא מוטרד ביותר מהעובדה שיש גישה למידע רפואי על גבי האינטרנט: "אין לי ספק שבשלב מסויים ימצא את עצמו המידע פומבי ולאדם הנאיבי שעשה פעולה נאיבית באינטרנט תגרם אי נעימות. כדי לחדד את הבעיה, ראוי לדעת שארגוני הבריאות מפעילים כלי אבטחת מידע ותהליכים הגורמים למידע להיות מאובטח לכל אורך נתיבו עד לעיני הלקוח. אולם מהרגע שהלקוח קיבל את המידע המאובטח, הוא אינו יודע איך להמשיך ולאבטח אותו ואו אז הוא זולג לאינטרנט והופך להיות פומבי. זה קורה כתוצאה מנאיביות המשתמש, משיתוף בפייסבוק, אתרים חברתיים, פורומים, אתרי שיתוף קבצים, סוסים טרויאנים הגונבים מידע ממחשבו של הלקוח וכדומה".

מעל כל אלה מרחף האיום המשמעותי ביותר והוא האקרים ובעלי עניין שונים ומשונים שמהתלים בנו מעל גבי הסייבר באמצעים מתוחכמים, ומאיימים על שלוות חיינו ופרטיות המידע שלנו. "אני מאמין שהגענו לעת שבה יש לבצע פעולות אבטחת מידע מיידיות בכמה מישורים. האחד, הכשרה וחינוך לאבטחת מידע לבני הנוער, בתיכון, באקדמיה כדי שיצמח כאן דור של אנשים שבעיסוקם ידעו כל אחד בתחומו היכן נדרשת פעולת אבטחת מידע ולשלבה במועד הנכון. השני, שילוב כלי אבטחת מידע בתשתיות, בסיסי נתונים, בתקשורת. השלישי, הקמת רשת תקשורת מנותקת לחלוטין מהאינטרנט בעבור מערכות רפואיות. ולבסוף לבצע פיקוח ובקרה על המשתמש במערכות ואיש ה-IT. החשוב מכל הוא לבנות תהליך שיגרום למנהלים ומקבלי החלטות להבין שאבטחת מידע היא חלק בתהליכי קבלת ההחלטות".

בחלק השלישי נמשיך לסקור את ההתייחסות היסודית והרצינית לנושא אבטחת מידע בשירותי בריאות כללית.