מידע רפואי חסוי של עשרות מטופלים במוסדות גריאטריים נחשף באתר משרד הבריאות
פרטי המטופלים הקשישים הופיעו במדריך שימוש והיכרות עם הפורטל ומערכת המיחשוב, שפורסם באתר המשרד - והבוקר (א') הורד ● בין היתר, ניתן היה למצוא בו שם מלא ומספר תעודת זהות של המטופל, סוג האשפוז שעבר, דיווח על מספר הימים שבהם הוא שהה במוסד הגריאטרי, פרטים על אופן האכלתו ואף את העלות הכספית לכל אשפוז ● ממשרד הבריאות נמסר, כי הנושא בבדיקה
עשרות נתונים אישיים-חסויים של מטופלים במוסדות גריאטריים הופיעו עד הבוקר (א') באתר משרד הבריאות. כך, ניתן היה למצוא בו את פרטיהם המלאים של המטופלים, לרבות שם מלא ומספר תעודת זהות, סוג האשפוז, דיווח על מספר הימים בהם שהה המטופל במוסד הגריאטרי, פרטים על אופן האכלתו ואף את העלות הכספית של כל אשפוז.
הפרטים פורסמו כקובץ PDF, שהועלה לעמוד באתר העוסק בגריאטריה, במסגרת מדריך המהווה חלק מיישום מערכת הסאפ (SAP) באתר.המדריך היה זמין לכל גולש, אולם בעקבות הדיווחים, הוא הורד מהאתר.
שי בליצבלאו, מנכ"ל מגלן טכנולוגיות הגנת המידע, אמר, כי "מלבד התחושה האישית הקשה המתעוררת מחשיפת פרטים כה אינטימיים של אנשים פרטיים, עצם פרסום המדריך בדרך זו חושף כשלים, בעיות וסיכוני אבטחת מידע בהם". לדבריו, מדובר במספר כשלים: אחד מהם הוא פוטנציאל לגניבת זהויות. "זו תופעה המתפשטת בישראל בעת האחרונה", אמר. "הבעיה אקוטית במיוחד כאשר מדובר בפרטיהם של קשישים, שלצערנו – לא צפויים להאריך ימים. זה מהווה הזדמנות לעוסקים בזיוף וגניבת זהויות".
בליצבלאו אמר, כי היבט נוסף הוא "חוסר בבקרה על המידע המפורסם, או מידע הנעשה בו שימוש לצרכי הדרכה חיצונית או פנימית". לדבריו, "לא ברור אם בכלל קיים על זה מנגנון פיקוח, או שיש נוהל פנימי כלשהו בנושא. במוסדות הממשלה, וכן בגופים מסחריים רבים, מקובל אמנם ליצור חוברת הדרכה, אך תמיד המידע והדוגמאות כוללים דוגמאות המכונות 'ישראל ישראלי'".
"חשיפת המידע הרפואי החסוי בפני אנשי חברת המחשבים, תים מקבוצת מלם-תים, המבצעת את הפרויקט בפועל, אינה הכרחית לטובת ביצועו", הוסיף. "נדיר, אם בכלל, שלחברת מיחשוב יש צורך מהותי בגישה למידע רפואי חסוי ופרטי לצורך הקמת מערכת. מקובל שטעינת נתוני האמת מתבצעת על ידי עובדי המשרד הרלוונטי".
בליצבלאו הוסיף, כי "המידע הנחשף כולל גם מידע טכני פנימי, המאפשר תכנון התקפה ופריצה לאתר משרד הבריאות. זה מידע שבפועל מעלה את סיכויי הצלחת התוקף. הוא כולל בעיקר חשיפת כתובות מחשב פנימיות (Internal IP) ושמות מחשבים ברשת הפנימית".
מדוברות משרד הבריאות נמסר בתגובה, כי "מיד עם גילוי העניין, הורד הקובץ מאתר המשרד". לדבריהם, "הנושא נמצא בבדיקה".
הייתי שמח לשמוע את התשובה מזמירה...היית כל כך פעילה עד עכשיו...
הנושא עבר לבדיקת וחקירת מבקר המדינה.
מה נגמר בסוף ? אחראי אבטחת המידע קיבל על הראש ? מה נעשה למנוע הישנות של מקרים כאלו ? זמירה - היית כל כך פעילה עד עכשיו אז אוליי תעדכני אותנו.
לאבירם לצערי יש תגובות של מתחזים בשקר וכזב בשמי, ולשמחתי יש תגובות של אמת שלי. לפיכך, אין לך רשות או סמכות כלשהי לקבוע מהי הרמה שלי. זכותי לכתוב את דעתי האמיתית, לעומת השקרים של מי שנהנה להשמיץ ולהמציא עלילות שקר.
תגובה לאבירם מי שהתחזה בשמי ובשם מרים במס' תגובות כאן, הצליח לצערי הרב לעבוד עליך ועל אחרים.
כשאתה קורא את תגובתם של זמירה ומרים יוסופון שכנראה עובדות באגף הזה, הכול ברור - פשוט תת רמה של התנסחות, של טיעונים, של ליקוקים לבוס. לא יאמן שאלו מנהלים ביחידת מחשב ממשלתית. בושה.
תגובה למשה כעובדת אגף המחשוב זכותי להעיד שאיתן מלמד המנמ"ר המוצלח והטוב והמקצועי ביותר שהיה באגף המחשוב בכל שנות קיומו. ימים יגידו בעזרת השם שאני אכן מבינה עניין.
למבינת העניין, איני מצדד באדם זה או אחר כלל כל תגובתי הנה עפ"י העובדות המצויינות בגוף הכתבה. במקרה זה מדובר בדף שפורסם ובו נתונים של מאושפזים,כאשר אחריות הבדיקה היא בראש וראשונה של מנהל/ת הפרויקט. אחראי אבטחת מידע אינו אמור לעבור על כל דף שעולה (ולמיטב ידיעתי יש רבים) ולבחון האם יש או אין שם נתונים חסויים. אחריותו היא בפרסום נהלים שאינם מאפשרים לשלוף מידע מבסיס הנתונים וכד' וזה באמת לא קרה,לפחות לא במקרה זה. מנהל האגף,בהיותו אחראי מינהלית ומקצועית על פעילות מנהלי הפרויקטים שלו,כשל כאן ברמת הניהול,בכך שלא הטמיע הנושא אצלם ועל כן יש לו אחריות לכל מה שקורה באגפו כפי שכתבתי. זה שכאן לא יודעים לקחת אחריות או בורחים ממנה אינה משנה את המצב. ולגבי התפקוד של מנהל האגף,כפי שכבר אמרתי,חלוקת סופרלטיבים כאלו ואחרים,אינה משנה את העובדה שיכול להיות שהנו הטוב ביותר שהיה עד היום אך גם יכול להיות אחרת ואת זה ימים יגידו.
תגובה למשה מאחר ואחראי אבטחת מידע חבר שלך, אתה מצדד בו. כל בר דעת מבין שלאחראי אבטחת מידע יש סמכות ואחריות למקרים כאלו בדיוק.
אכן זה אני וגם אם האמת לא נר לרגלי וגם אם יש מאחורי פרשייה אפילה ועוד אחת פלילית בשערי צדק ורומן או שתיים וזיוף שעות עבודה ונסיעות זה אני... כך נולדתי וכך אסיים בבית הסוהר
אחראי אבטחת מידע אינו צד במקרה זה. האחראי הראשי כאן הנו מנהל/ת הפרוייקט שנתנ/ה את אישורה להצגת החומר ללא בדיקה מוקדמת. יחד עם זאת,מנהל האגף,כנושא באחריות לכל מה שקורה באגפו,אחראי,לפחות מינהלית,גם על הכשל הזה. איני בטוח שליחידה זו לא היה מנהל טוב ממנו או לא יהיה כזה,את זה ימים יגידו. מה שבטוח שכאן: א. היה כשל ב. יש אחראים לכשל,שלצערי אינם נושאים באחריות למעשיהם.
תגובה ליאיר אין ביחידה שום שחיתות ולא אוירה עכורה, יש אחראי אבטחת מידע שניתנה לו סמכות ואחריות לתפקידו. לעולם לא יהיה ליחידה מנהל טוב כמו הקיים. תפסיק לפגוע במזיד באנשים טובים וישרים. "החושד בכשרים לוקה בגופו".
בס"ד תגובה ליאיר שמך לא יאיר אלא יחשיך. תריח את עצמך ותראה מי המסריח. תפסיק עם הוצאות דיבה בשקרים שלך. ליחידה הזאת מעולם לא היה מנהל יותר טוב מהקיים ולעולם ועד לא יהיה טוב יותר מהקיים. אין שום שחיתות ולא אוירה עכורה, כתוב בכתבה על כשל אבטחת מידע ויש תפקיד, סמכות ואחריות לאחראי אבטחת מידע במשרד.
משהו פה מאוד מסריח....איך יכולות להיות כאלו טענות על שחיתות, על כשל אבטחה, על אווירה עכורה ומנהל היחידה נשאר במקומו ? מוזר מאוד וחשוד אף יותר.
תגובה לאלעד עד מתי תמציא עלילות שקר ? מבקר המדינה בדק , וכל הזמן ממשיך לבדוק הכל ומעולם לא קיים במציאות אפילו לא טיפה מעלילות השקר שלך. רק השם יתברך בשמיים יודע את כל האמת, מצער ביותר שבני אדם ממציאים עלילות ושקרים.
איתן מלמד מנמ"ר משרד הבריאות עסוק עד מעל הראש במכירת שירותים אישיים לבתי"ח. הוא מפעיל עסק בלמעלה מ-20 בתי"ח, נכנס דרך נעלי משרד הבריאות ועושה כסף רב. פלא בעיני שמבקר המדינה אינו מבחין בכך.
לא תרבותי, לא אנושי ולא הגון להתחזות בשמי. זמירה לא טיפשה כפי שמציגים אותה המתחזים בשמה בשתי תגובות . יש אחראי אבטחת מידע ואחראי מערכת, תפנו אליהם שייקחו אחריות על הטיפול בנושא, ותפסיקו להאשים אנשים אחרים.
אריק אדון ניהול מערכות מידע - תראה מה כתוב...אמרתי לך שלא קיבלנו את החוברת.....למה להגיד שזה טעון בדיקה. אנחנו יודעים שמידע של אבות חסוי וגם מידע של חסויים חסוי.
חשיפת נתוני אמת בחוברת הדרכה היא טעות מצערת של המבצע והליך בקרה בעייתי של הממונים- שטעון בדיקה. אשר להעברת מידע לבתי אבות, קופות החולים חייבות להעביר מידע רפואי (החסוי במיוחד בחוק), בצורה מסודרת ומאובטחת לרופאי בתי האבות, המספקים טיפול רפואי לדייריהם. כל קופות החולים מעבירות נתונים רפואיים לכל רופא שעובד איתם - אבל לא לבתי אבות! זוהי שערוריה כי רק טובת הלקוחות צריכה להיות לנגד עיניהם.
תגידו במערכת רכש יש רק ספק אחד ? רביב רז ? נראה ממש לא טוב כאשר את כל המערכות של פיתוח הוא מבצע. למה מדלגים על יוסיפון מרים, היא ראש צוות פיתוח לא ? איך יכול לקבל פרויקטים לפיתוח שהוא יועץ של איתן מלמד ומיעץ לו בנושאי מחשוב האגף ? איתן מנהל מתפרה ולא יחידת מחשב.
איתן מלמד זה בוס שעובדה שהוא מסתדר איתי וגם עם יוסופין מרים. אני מדפיסה, עושה תה, שמה קיטלוגים ועונה לשיחות ולוקחת הודעות ואני מאשרת שגם איתן לא קיבל את המדריך למשתמש לעבור עליו. אני לא מבינה למה דילגו עליו ועל מרים הרי כולם יודעים שצריך להעביר להם כל דבר שקורה באגף. יש ימים שיש 2-3 שיחות ועוד איזה 10 הודעות אז יש זמן לעבור על מדריך משתמש - חבל שככה מתנהגים ולא מעבירים לנו...נורא חבל.
למרים יוסיפון. כאחד שהיה במשרד בתקופתו של ד"ר גולדשטיין וגם נמצא שם עתה אני יכול לאמר כי,אמנם ד"ר גולדשטיין תכנת במג'יק שנים רבות,אך ללא קשר הוא זה שכתב את ה-RFP. בכל עותק של האפיון הנ"ל נכתב שחור על גבי לבן שבכל שאלה יש לפנות אליו,והוא זה שאפיין. אגב,ניתן לשאול את אנשי גריאטריה. מה שאת עשית,זה שגנבת את האפיון שלו ודאגת,ברשעותך,יחד עם מלמד לנפנף אותו מהשטח,כיון שהעביר ביקורת על המערכת ה"מהוללת" שעשית,כאמור תוך בזבוז הון עתק וכמובן שהערכת לא עונה על רוב הצרכים,פרט אולי לצד הכספי וגם שם אין הדברים מושלמים,ע"ע דוח מבקר המדינה על "הצלחותיך" במערכת זו. ואם את לא מסוגלת לעבור על מדריך למשתמש טרם פרסומו החוצה,אז אסור לתת לך לשמש כמנהלת תחום פיתוח כיון שאף דבר פעוט שכזה אינך מסוגלת לעשות.
זה לא נכון מה שאתם כותבים. זה בעיה שצלמו מסכים אמיתיים למדריך המשתמש ולא הספקתי לעבור על המדריך למשתמש לפני שעלה לאתר כי אני עסוקה בדברים נוספים. ד"ר גולדשטיין לא כתב את האפיון. הוא מתכנת במג'יק כבר הרבה שנים ואחראי על תוכנות מג'יק במשרד אצלנו.
האם מנהלת הפרויקט- מרים יוסיפון וליאור אילן מנהל אבטחת מידע ישלמו על זה. יעמדו לדין? יפוטרו או ינסו לכסתח כרגיל.
אין, ולא קיים מידע, שלא ניתן לפריצה - מוקדם או מאוחר, איכשהו, הכל אפשר לפרוץ, טכנולוגית או אנושית כלכלית (מי אמר שוחד??...). המאגר הביומטרי יביא עלינו אסון!!!!!!!!!
שטרית - בקרוב אצלך במאגר הביומטרי! בושה...
אני אח שעובד בבית חולים ציבורי במרכז הארץ אבל גם בבית אבות סיעודי עם תוכנה של חברת אבות וגיליתי שמחתימים את הזקנים כדי להשתמש בקוד הכניסה של המאושפז לאתר קופת חולים ולמשוך משם את תוצאות הבדיקות במעבדה. אם מתחברים אפשר לראות גם נתונים כספים (!) ואישים על המטופל וזה לא "ויתור על סודיות רפואית" . זה נראה לכם בסדר!? לי לא! הודעתי למנהלים אבל לא עשו עם זה כלום כי לא בא להם להוציא עוד כסף על תוכנה חוקית. פשוט מזלזלים בזקנים וופוגעים בפרטיות שלהם. מי יתעורר? כשמישהו ייקח את כל הכסף של הזקן? כשמהמשפחה תתבע את כולם? למה משרד הבריאות או המשפטים לא סוגר את הפירצה הזאת?
כל מילה של שי בליצבלאו נכונה....אולי הגיע הזמן שמישהו שם ישים יד על הדופק....
על מי שכותב חוברות הדרכה לשים לב למידע שהוא חושף. מי עושה צילומי מסך עם מידע אמיתי ?????
אין בכך כל חדש. מערכת אג"ם היתה מאז ומתמיד מערכת דפוקה,וכבר כתב עליה מבקר המדינה מה שכתב. לו היו מיישמים את ה-RFP שכתב ד"ר גולדשטיין ,הוגה המערכת,ולא משתמשים בכלים דפוקים ומבזבזים הון עתק על מערכת דפוקה,שכלל משתמשיה סבורים שאינה ידידותית, התוצאה היתה שונה. אך כשפונים לכיוונים שגויים הרי התוצאות כתובות על הקיר: בזבוזי עתק,תקלות אינספור וכמובן חוסר ידידותיות מובנה. כדאי לעשות בקרה מעמיקה שוב על כל מה שקרה וקורה בפרויקט זה ולהסיק מסקנות כנגד האחראים שם,היינו המנמ"ר ומנהל/ת הפרוייקט.