12 / 60
פריצות וגניבות מידע
אוקטובר- נובמבר 4102
הביטחון
| 12
תורגם על־ידי יאיר רודיקוב*
פריצות ואירועי חירום אבטחתיים אחרים
עשויים להיות זרזים משמעותיים ביצירת
שינוי, כך אומר ג'ון הלמקה, מנהל מערכות
Beth Israel
- "
BIDMC
מידע (מנמ"ר) ב־"
- בבוסטון,
Deaconess Medical
Center
ארה"ב. הארגון נקט במספר צעדים על־מנת
לשפר את אבטחת המידע והפרטיות לאור
מספר אירועים.
שניים מהזרזים לשינוי היו גניבת מחשב נייד, שלא היה מוצפן
ושכלל מידע על אלפי מטופלים וההתרחשויות, שבאו בעקבות הפיגוע
הלמקה
במהלך תחרות המרתון בבוסטון בחודש אפריל 3102, כךהסביר
במהלך הרצאה שנשא ב־8 בספטמבר במסגרת כנס בנושא אבטחת
Healthcare
Information
and
- "
HIMSS
מידע ופרטיות של ארגון ה־"
.
Management
Systems
Society
למרות שמצלמות האבטחה סייעו לגורמי האכיפה בזיהוי של גנב
המחשב הנייד ובמעצרו, המחשב שנגנב ממשרדו של רופא, שקנה אותו
זמן קצר לפני־כן, לא אותר מעולם. התוצאה: חקירה יקרה מאד של צוותי
ג'ון הלמקה
פורנזיק ורגולטורים. המחשב הנייד כלל מידע על 009,3 חולים.
מסכם, שאחרי תשלום של 000,006 דולר בפעילויות שנמשכו שנתיים של
תובע כללי והמשרד לזכויות האזרח, אנו קרובים לחתימה על הסדר.
כתוצאה מהאירוע, המרכז הרפואי החמיר את מדיניות ההצפנה לכל
המכשירים בבעלות המרכז הרפואי, כמו גם לרכיבים בבעלות פרטית
). חברי הצוות במרכז
BYOD
המשמשים אותם במסגרת עבודתם (
הרפואי חייבים להצהיר כי רכיביהם האישיים מוצפנים לפני שמאושר
להם השימוש בהם במסגרת העבודה.
תוצאות פיגוע הפצצה
-
Bombing Aftermath
טיפל בשני תריסרי
BIDMC
לאחר הפיגוע במהלך ריצת המרתון,
נפגעים, אך גם במבצעי הפיגוע עצמו. כתוצאה מכך, המרכז הרפואי
נחשף לבחינה קפדנית של רגולטורים ממשלתיים וגורמי אכיפת חוק
על־מנת להגן על פרטיותם של המטופלים.
סרטים אדומים הוצמדו לתחנות העבודה של המשתמשים על־
מנת להזהיר את הצוות המטפל מפני פגיעה בפרטיות מטופלי ריצת
המרתון, שתוביל לפיטורם. המרכז הרפואי החמיר מאד את הגישה
לרשומות ותיעוד הגישה וחקר כל מי שנחשד בפגיעה בפרטיות. לאור
הגישה האגרסיבית, לא התבצעה בפועל גישה שאיננה הולמת.
הניסיון בטיפול באירוע החירום הניעה את הנהלת המרכז הרפואי
לשכור שירותי חברה חיצונית על־מנת לבצע סקר ולקבל תמונה
השוואתית בטיפול באבטחת מידע למול ארגונים במגזרי הבנקאות,
משרד ההגנה ומשווקים קמעונאיים בתחום המסחר המקוון.
תוצאות הסקר קבעו כי המרכז הרפואי דומה בחוסנו למרכזים
.
הלמקה
רפואיים אחרים בארה"ב. זו איננה מחמאה גדולה, כדברי
כתוצאה מהסקר, הארגון יישם מספר שינויים.
שינוי באופן שבו הארגון מנהל את הסיכון הפנימי. למרכז
הרפואי לא הייתה שיטת ניהול סיכונים פורמאלית. מצב זה היקשה
על השוואה שנה על שנה. במענה, הארגון אימץ את האמור בפרק:
:
NIST
, במסמך: 66־008
A
Framework
for
Managing
Risk
.
An
Introductory Resource guide
for
implementing HIPAA Security Rule
שינויים אחרים כוללים עדכון ניהול המשתמשים כך שיכלול
סקירה קבועה של תפקידי המשתמשים (בפועל) כדי לוודא התאמת
הרשאותיהם לגישה למידע וליישומים. התוכניות להגברת מחוייבות
ומודעות עובדים כוללות בחינה בפועל של העובדים באמצעות משלוח
יזום של דואר אלקטרוני (דוא"ל) "פישינג" מתחזה על־מנת לצפות, מי
מקליק ונופל במלכודת, כדי לספק לו הדרכה נוספת.
כתוצאה מגניבת המחשב הנייד שופרה האבטחה הפיסית באמצעות
הוספת שומרים בכל המתקנים בשעות שלאחר הפעילות.
במהלך השנתיים הקרובות, המרכז הרפואי יגדיל את מצבת כוח
האדם העוסקת באבטחת מידע ב־41 עובדים נוספים. המנמ"ר משמש
בתפקיד מנהל אבטחת המידע (בפועל) בשנה האחרונה לאחר שמנהל
), עזב לארגון אחר.
מרק אולסון
אבטחת המידע הקודם, (
זהירות בענן
-
Cloud Precautions
צעד נוסף בהגברת אבטחת המידע הנו שימוש סלקטיבי בשירותים
מבוססי ענן.
מכיוון שהספק איננו מוכן
Drop
Box
לדוגמה, נחסמת הגישה ל־
), שהינו דרישה
Business
associate
לחתום על הסכם שותף עסקי (
מנהל מערכות המידע במרכז
" בבוסטון (ארה"ב)
BIDMC
הרפואי "
סוקר לקחים בנושאי אבטחת מידע
*המתרגם הינו מתודולוג ומידען בתחום אבטחת מידע וניהול סיכונים מערכות מידע ומנהל תחום תקינה ומתודולוגיה ב"אבנת"
" והלקחים שהפיק מהם. האירוע המפורסם ביותר
BIDMC
אין זו הפעם הראשונה שמנמ"ר זה פורס בפני הציבור אירועים שקרו ב־"
הערת המתרגם:
היה בשנת 2002, עת קרסה מערכת התקשורת במרכז הרפואי והחזירה אותו בבת־אחת עשרות שנים לאחור.
http://geekdoctor.blogspot.co.il/2008/03/caregroup-network-outage.html אתהאירוע תיאר מספר שנים מאוחר יותר בקישור הבא:
The CareGroup Network Outage
http://www.healthcareinfosecurity.com/cio-halamka-on-security-lessons-learned-a-7292 המקור בקישור הבא: