אבטחת מידע
מאי-יולי 4102
הביטחון
| 34
תמצית מאמר מתורגם על־ידי יאיר רודיאקוב*
הרישום הפדרלי של אירועי פריצה עיקריים למאגרים רפואיים
בארה"ב עבר את רף 000,1 האירועים הרשומים. הרישום כולל רק את
אלה המשפיעים על לפחות 005 או יותר אנשים. הרישום הנו חובה
האמריקני ומבוצע החל מספטמבר 9002.
HITECH
על־פי חוק ה־
רקע
בארה"ב קיימים שני חוקים חשובים העוסקים בהגנת פרטיות
ואבטחת מידע למיגזר הבריאות:
(
Health
Insurance
Portability
and Accountability Act
( -
HIPAA
הכולל שני "תת־חוקים", האחד לנושא הגנת הפרטיות והשני לנושא
אבטחת המידע.
(
Health
Information Technology
for Economic and
( -
HITECH
אשר נחקק כחלק מחוק רפורמת הבריאות של
Clinical
Health
act
.
HIPAA
ושמשדרג נושאים ב־
אובמה
הנשיא
HIPAA
). ה־
HIPAA
במהלך שנת 3102 נוסף חוק שלישי (תוספת ל־
Business
, אשר בין היתר מחייב "שותף עסקי" - ("
OMNIBUS
") של מי שמחזיק רשומה רפואית פרטנית (לדוגמה, ספק
Associate
.
HIPAA
שירותי גיבוי או ספק שירותי ענן) לציית למלוא דרישות
Breach
אבל לענייננו המרכיב החשוב ביותר הנו חוק ה־
( מאוגוסט
HITECH
(שנחקק במסגרת ה־
Notification
Final
Rule
לדווח למשרד הבריאות
HIPAA
9002, אשר מחייב ישויות לעמוד ב־
האמריקני על אירוע אשר פגע בפרטיות או באבטחה ושבמהלכו
התאפשרה גישה בלתי־מורשית למידע הרפואי המוגן באופן שהשימוש
או החשיפה מהווים סיכון משמעותי בתחום הכלכלי, התדמיתי או
) לאדם שנפגע. גולת הכותרת הינה, שכאשר מדובר
HARM
נזק אחר (
בלמעלה מ־005 יחידים באירוע בודד, האירוע לא רק מדווח למשרד
הבריאות אלא גם הופך לפומבי באתר האינטרנט של משרד הבריאות,
.
)1(
)"
Wall of
Shame
"קיר הבושה" - ("
ללא קשר לכמות הנפגעים הפוטנציאליים בכל אירוע, החקיקה
מאפשרת הטלת קנסות כבדים (עד מיליוני דולרים) באירוע בודד.
כעת נפנה לתרגום המאמר שבסופו שלוש מסקנות והמלצות למנהלי
אבטחת מידע ולמחוקקים ורגולטורים בישראל.
עשרת האירועים החמורים ביותר משפיעים על כ־4.81 מיליון
אנשים, יותר מחצי מסך של 5.13 מיליון אנשים העלולים להיות
קורבנות של 010,1 אירועי פריצה עיקריים המדווחים מאז שהוחלה
החובה החוקית בספטמבר 9002.
כל עשרת האירועים החמורים ביותר (על־פי מספר הנפגעים
בפריצה), המתועדים באתר האינטרנט של משרד הבריאות האמריקני
("קיר הבושה"), קשורים לאובדן או לגניבה של רכיבי מחשוב או רכיבי
זיכרון לא־מוצפנים. ככלל, גניבה או אובדן של רכיבים לא־מוצפנים
קשורים לכחצי מכלל אירועי הפריצה העיקריים הרשומים ברשימה
הפדרלית של "קיר הבושה".
עשרת אירועי הפריצה החמורים בבריאות
", "עשרת האירועים
טום וולש
מחברת הייעוץ "
בריאן אוונס
לדברי
העיקריים מצביעים על חשיבותה של ההצפנה להגנה על מידע המצוי
בתנועה או במנוחה. מאחר ופתרון ההצפנה מסופק כיום כמענה ללא
") או כתוסף מוצר צד ג' בעלות נמוכה
out
of
the
box
עלות מעשית ("
יחסית, אזי נתן לצמצם באופן משמעותי את הסבירות של פגיעה.
האבטחה, שהצפנה מיושמת באופן הנכון, הינה צעד בסיסי שחייב
בביצוע מצד כל הארגונים.
אבל אי־קיומה של הצפנה איננה מצביעה על תקלה נקודתית בהגנה
על המידע הרפואי האישי המדאיגה את מומחי האבטחה. למעשה,
לדבריהם, היעדר־הצפנה הינו סימן לכשלי אבטחה מהותיים יותר.
"ראשית, אי־בצוע הצפנה איננו טעות אבטחה, זוהי החלטה ניהולית
, מנכ"ל חברת האבטחה
מק מקמילן
גרועה", אומר מומחה האבטחה
"סינרגיקטק".
בעשרת האירועים החמורים, כמו גם בהרבה אירועים אחרים,
"ההצפנה לא נכשלה, היא מעולם לא יושמה". כך לדבריו, "טעויות
אחרות כוללות אי־ידיעה היכן מצוי המידע, היכן הסיכון ועקב כך, אי־
קביעת בקרות נאותות לטיפול בסיכון".
, נוגעים גם לכשלון
מקמילן
תחומים בעיתיים נוספים, לדברי
בבחינת נוהלי האבטחה של שותפים עסקיים (מה שאצלנו ייקרא
"מבדק ספקים") וחוסר בניטור גישת משתמשים למידע רפואי רגיש
כמו גם בקרות לא־מספקות לזיהוי משתמשים ומערכות. ואחרון,
אך לא אחרון בסדר החשיבות, תוכניות הדרכה המתוכננות באופן
"פריצות במגזר הבריאות בארה"ב
עברו את000,1 האירועים"
Wall of SHAME
-
(1) קישור ל"קיר הבושה
ישור למאמר המקורי:
*המתרגם הינו מתודולוג ומידען בתחום אבטחת מידע וניהול סיכונים מערכות מידע ומנהל תחום תקינה ומתודולוגיה ב”אבנת”
מומחים מספקים תובנות לגבי לקחים