הגנה על מידע רפואי
במהלך השנים האחרונות בוצעה עבודה ממוקדת ואינטסיבית מאד בקרב כלל ארגוני הבריאות לצורך העמדה לתקן ISO27799 שכללה הגדרת נהלים ומדיניות, מיפוי מידע רפואי, מוצרים ופתרונות טכנולוגים וכדומה, הכל לצורך קבלת ההסמכה המיוחלת.
חוזר המנהל הכללי של משרד הבריאות מעדכן מדי תקופה את הדגשים הנוספים שעל הארגונים הרפואיים לעמוד בהם. למעשה המשמעות של תקן זה על המוסדות הרפואיים והעדכונים לחוזר הוא שמדי שנה על המוסדות הרפואיים להדק שליטתם באופן הולך וגובר במידע הרפואי הזורם בתווך.
כידוע, חלק בלתי נפרד משגרת ההתנהלות העסקית והתפעולית בארגוני הרפואה מתבססת על קשרי עבודה יומיומיים בהם הארגון מתקשר עם גורמי חוץ כגון לקוחות, ספקים, רגולטורים, שותפים ועובדים חיצוניים. קשרים אלה מבוססים בעיקר על התשתית הטכנולוגית של הארגון ועל שיתוף ידע ונכסי מידע שחלקם קריטיים לארגון ועל חלקם חלות הוראות רגולטוריות כאלה ואחרות.
אם כן, הגנה על כלל נכסי המידע של הארגון הקשורים במידע רפואי ואופן הציות לרגולציה והמוניטין שבנתה, ברמה הגבוהה ביותר אינה ראלית ואינה אפשרית אלא אם כן נדאג להתאימה למידת הרגישות והסיכון הנובעים בעבודה מול כל אחד ואחד מאותם גורמים. בכלל זה, אובדן חלק מנכסי המידע על ידי ספק חוץ הוא מטריד לכל הפחות ופגיעה בנכסי מידע אחרים יכולה לפגוע בהתנהלות הארגון בצורה אנושה, שלא לאמר אף מסכנת חיים.
אך מה הם אותם נכסי המידע?
נכסי המידע הינם הנכסים והתהליכים הרפואיים אשר במידה ויגנבו, ידלפו או יעשה בהם שימוש לא אחראי על ידי אותם גורמי חוץ, ייצרו נזקים משמעותיים לארגון.
לאור זאת, על הארגון למפות, להחליט ולדעת מי הם אותם ספקי חוץ שהינם בעבודה שוטפת מולו, שיש לגביהם הוראות רגולטוריות ספציפיות שעל הארגון לקיימן ואילו בקרות הגנה יש ליישם בתהליך מולם על מנת לצמצם את הסיכון שבזליגת המידע.
לכן, אם עד עתה חל התקן על המוסדות הרפואיים בלבד:
- מוסדות הרפואה במדינת ישראל יוסמכו לתקן אבטחת מידע למערכות בריאות, ת"י 27799.
- תהליכי אבטחת המידע יוטמעו בכלל המערכות הרלבנטיות של הארגון ובכלל זה: מערכות המידע, המכשור הרפואי, מערכות הלוגיסטיקה התומכות בתהליכי העבודה של המרכז הרפואי, מערכות כוח האדם ועוד.
- החל מיום 1/1/2014 עמידה בתקן זה מהווה תנאי לקבלת רישיון למוסד רפואי ולחידוש הרישיון, ועמידה בתנאי התקן תיבדק במסגרת הבקרות שעורך משרד הבריאות.
הרי שמעתה ואילך, בעקבות החוזר חוזר המנהל הכללי מתאריך 15.02.15 יורחב התקן ויכול כחובה גם על ספקי החוץ של המוסדות הרפואיים וזאת החל מתאריך 01.01.16:
- באחריות מנהל המוסד רפואי לוודא עמידתו של כל ספק חיצוני המחזיק בידיו מידע רפואי או מידע על תשתיות מערכת הבריאות (פרטי רופאים וכיו"ב( בסטנדרטים להגנת מידע ממוחשב.
- מסירת גישה למידע אישי ורגיש לספקים חיצוניים תיעשה רק כשיש הכרח בדבר לשם ביצוע השירות, ובמידה המינימאלית האפשרית. החלטה על התקשרויות חיצוניות תיעשה בין היתר תוך שימת לב להיבטים של הגנת המידע האישי והרפואי.
- עד ליום 31.12.2015 יש לתת עדיפות לספקים העומדים בתקן בינלאומי לאבטחת מידעISO27001 או בתקן לאבטחת מידע במוסדות בריאות. ISO 27799
- החל מה- 1.1.2016 יש לבצע התקשרויות רק עם ספקים העומדים בתקנים הנ"ל.
הכיוון ברור, רמת המודעות של הארגונים הרפואיים לאבטחת המידע אצל מאות ואלפי ספקי החוץ העובדים איתם הינה בסיסית במקרה הטוב ועל פי רוב נמוכה ביותר. התרשמתי מכך באופן ישיר בניסיוני המקצועי ובהסמכת כמה גופים רפואיים גדולים לתקן וככל הנראה זו גם התרשמותו של הממונה מטעם משרד הבריאות. אי לכך החוזר מבקש לטפל בצורה מסודרת בנושא מיפוי ספקי החוץ המקבלים ואו מוציאים מידע רפואי רגיש הנמצא באחריות הארגון.
מה זה אומר בפועל?
שלב הראשון, יש למפות את ספקי החוץ בארגון כך שיכלול התייחסות ראשונית לנושאים הבאים לפחות:
- קטגוריית ספק
- שם ספק
- תיאור פעילות הספק
- יחידה ארגונית רלוונטית
- בעל המידע בארגון
- הגדרת האיומים הנובעים מחשיפת המידע לספק
- הערכת הסיכונים הנובעים מאותם האיומים
- מתן רמת סיווג נדרשת לאותו ספק
- בניית תכנית ליישום בקרות אבטחת מידע נדרשות מכל ספק משנה בהתאם לרמות סיווג הרגישות.
- האם הספק עומד בתקן בינלאומי לאבטחת מידע ISO 27001 או ISO 27799
על בסיס מיפוי זה נוכל להעריך את אופן ההתקשרות עם הספק ומידת רמת ההגנה שיש ליישם בעבודה מולו. כמו כן, רמת ההגנה שיש לדרוש מאותו ספק לתחזק גם במערכותיו הוא On Premsis.
שלב שני, החל מה- 1.1.2016 יש לבצע התקשרויות רק עם ספקים העומדים בתקנים הנ"ל. כך שלמעשה המיפוי יעזור לארגונים הרפואיים להבין מי הם אותם גורמי חוץ המחזיקים מידע רפואי או מידע על תשתיות מערכות הבריאות ולנהל אותם באופן חד וברור.
חברת InfoGuard פועלת לפי מתודולוגיית עבודה שעל פיה מוכשרים ופועלים כלל היועצים בנושא מיפוי והגנה על נכסי מידע בארגונים. הפרויקטים מבוצעים בהתבסס על מתודולוגיית העבודה ייחודית ועלGood Practices מקובלים בעולם בתחום הגנת המידע.
אנו מאמינים כי שימוש במתודולוגיה שנבחנה ויושמה בהצלחה בפרויקטים ובסוגים שונים של חברות, הינה נדבך חשוב בהצלחת הפרויקט וביישומו ביעילות ובאפקטיביות. למותר לציין כי המתודולוגיה נבנתה ומתעדכנת באופן שוטף על בסיס פרויקטים שונים שנעשו על ידי כלל מומחי הגנת המידע של הרשת הגלובלית ולאור התנסותם באתגרים השונים שעולם הגנת המידע מכיל ואופן ההתמודדות עימם.
בכלל זה, ניסיוננו לביצוע שלבי המיפוי על בסיס דרישת החוזר, מטרותיו והכרותינו את הצעדים הנדרשים מאפשרת דרך פשוטה יחסית אך עם תוצאות מדויקות:
- בחינת מסמכים ורשימות ספקים קיימות ומיפוי גורמי מפתח בארגון המנהלים אותם.
- פגישות עם גורמי מפתח ביחידות עסקיות שונות לקבלת המידע הרלוונטי על הספקים ואפיונם.
- פגישות עם גורמי מפתח בחטיבת מערכות מידע, ללימוד מעמיק יותר של ההיבטים הטכנולוגיים הקשורים בקבלה ושליחה של מידע לספקים השונים.
- עיצוב טיוטת מטריצה בנושא אשר תכלול התייחסות לספקי החוץ בכפוף לכל הסעיפים שצוינו לעיל.
- שילוב של טכנולוגייה פורצת דרך למיפוי סיווג ותיוג המידע הרגיש כך שגם אם מידע זה יזלוג החוצה מהארגון בזדון או בשגגה ואו אם המידע יגיע לאותו ספק חוץ מאושר, עדיין לא ניתן יהיה לפענח את החומר ואו לעשות בו שימוש שאינו אושר בהתאם להנחיות הארגון.
מיפוי גורמי החוץ והגנה אמיתית על המידע הרפואי היא תעודת הביטוח הטובה ביותר לכל ממונה אבטחת מידע המודע לכמות הגורמים הנמצאים בקשר עם ארגונו והאיומים והסכנות המגיעים עימם.