35 |
הביטחון
מאי-יולי 4102
כושל, מונעות ומתמקדות בציות לדרישות במקום להתמקד במה
שמשתמשים באמת צריכים לדעת על־מנת לשרת את ההגנה על נכסי
המידע של הארגון.
מתמצת את המצב באופן הבא: "ארגוני בריאות אינם
אוונס
מיישמים את העקרונות הבסיסיים של אבטחה. מבוצעים בהם מאמצי
אבטחה חלקיים ללא ראיה ארגונית כוללת ומשולבת, ללא ממשל
תאגידי או הלימה לשאר הפונקציות ותהליכי ניהול הסיכון הארגוניים
האחרים. ארגונים רבים חסרים תהליך הערכת סיכונים מתמשך
ונכשלים באיתור איומים, סיכונים ופגיעויות או ביישום שיטתי של
בקרות. הם לא קבעו בעלות וחבות לאבטחה ולציות לדרישות. כתוצאה
מכך, הם לא מצייתים לרגולציות אבטחה נאותות, תקנים ודרישות".
סקר אבטחת המידע בבריאות לשנת 4102 מראה, שרק כמחצית
מארגוני הבריאות בארה"ב כתבו אסטרטגיית אבטחה.
גם מתלונן, שרבים הארגונים המיישמים "רשתות שטוחות",
אוונס
ארכיטקטורות אד־הוק וטכנולוגיות, שאינן מגובות במשאבים, תמיכה
וניהול מספקים. הם אינם מיישמים מדיניות ונוהלים מתאימים או
אוכפים את מה שיישמו. תפעול של ושימוש בעקרונות יסוד אבטחתיים
יכול לדבריו להציע שיפור משמעותי בניהול סיכוני המידע.
לקחים
לקחים מרכזיים שנתן להפיק מאירועים אלה:
כל אחת מהפריצות הללו לא הייתה מחויבת המציאות ואת כולן
היה ניתן למנוע, אם היו מתקיימים נוהלים בסיסיים של אבטחת מידע.
המשמעות היא, שלא מדובר במתקפות מתוחכמות כלל וכלל, אלא
בטעויות, שנבעו משיפוט לקוי ואי־יישום אבטחה פשוטה.
סטייה קלה ופשוטה מנוהלי אבטחה טובים עלולה להיות בעלת
משמעויות גדולות לארגון. רבים מהם (אך לא כולם) היו יכולים לקבל
מענה באמצעות הצפנה.
למרות שרק כ־%02 מכלל הפריצות משוייכות לאירועים אצל
), המספר קופץ דרמטית ל־%05,
Business associates
שותפים עסקיים (
כאשר מצמצמים את ההתייחסות רק לפריצות העיקריות, דהיינו, אלו
שבהן הפגיעה הינה במספר הגדול ביותר של מטופלים. אלו עדיין מספר
שניים בחיוב הכספי ב"קיר הבושה". (הפרשנות שלי למשפט זה הינה,
שהשותפים העסקיים עד לאחרונה לא שילמו קנסות כספיים כבדים
ועל־כן הם "מספר שניים" בחשבון הקנסות שעליהם לשלם).
, שנכנס לתוקף בשנה
HIPAA
Omnibus
Rule
תחת החוק החדש
ועל־כן
HIPAA
שעברה (3102), שותף עסקי אחראי לציות מלא ל־
במקרה של הפרה הינו בר־תביעה באופן ישיר ויהיה נתון לפעולות
אכיפה של הגורם המוסמך בארה"ב. אלו עשויים לכלול קנסות עד
.
HIPAA
להפרה בודדת של
USD
לגובה של 5.1 מיליון
לסיכום ולהתייחסות הנוגעת למנהלי אבטחת מידע, מחוקקים
(זה לא חדש, כתבתי את זה לסיכום מאמר לפני
ורגולטורים בישראל
2/1 שנה אך לצערי דבר לא השתנה מאז):
חקיקה או רגולציה נאותות הינן הבסיס ההכרחי להגנה על הפרטיות
וליצירת מסגרת ליישום אבטחת מידע.
פרסום מידע על אירועי אבטחת מידע ופגיעה בפרטיות על־ידי
גורם ממשלתי מוסמך הינו כלי חשוב באכיפת הדרישות הכלולות
בחקיקה ורגולציה וגם בהספקת אפשרות להפקת לקחים לכלל המיגזר
כדי להימנע מטעויות שנעשו על־ידי אחרים.
במיגזר הבריאות בישראל, משרד הבריאות מחייב את יישומו של
תקן אבטחת מידע בבריאות, תקן 99772. במסגרת תקן זה קיימת
(בחלקה כיוון
Breach
Notification
Law
דרישה המקבילה בחלקה ל־
שהדיווח הינו לקורבן הפגיעה אבל לא לרגולטור, ללא פרסום פומבי
או צעדי ענישה). אך גם דרישה מצומצמת זו איננה מעשית, כל עוד לא
קיימת במדינת ישראל תשתית חקיקתית מחייבת לעניין זה.
בשלב זה אני ממליץ למנהלי אבטחת המידע להתייחס לדו"חות
מבקר המדינה בישראל בנושאי אבטחת מידע כמקבילה לדו"חות
. ניתן למצות מהם את הבעיות שהתגלו ולהפנות
OCR
האכיפה של ה־
שאלה לעצמך בסגנון הבא:
לו הארגון שאני משמש בו מנהל אבטחת המידע היה הארגון
המבוקר, מה היה נכתב עלי בדו"ח?
התשובה הינה בסיס טוב וריאלי לתוכנית עבודה על־מנת שכאשר
תתבצע "ביקורת אמת", התוצאה תהיה טובה יותר.
הטלת קנסות גבוהים בצמוד לחובת ביצוע פעילות מתקנת
מהווים בדרך כלל אמצעי יעיל, למרות שאירוע בודד עלול לקלקל את
.
מדינת ישראל מפגרת מאד בנושא זה
הסטטיסטיקה.