יום שני, 11 ביולי 2016

קיר הבושה: מחצית ראשונה של שנת 2016 - מגמות בפגיעה במידע רפואי בארה"ב



שני דברים שאני, יאיר, לוקח מהמאמר הזה כלקחים נכון להיום:

1. לפחות בארה"ב, האקרים מסבים את תשומת ליבם מארגוני בריאות גדולים (שכנראה מוגנים יותר)למרפאות קטנות יותר. גם שם יש מידע ששווה לגנוב, וככל הנראה שם קל יותר לפרוץ. האם המצב בישראל דומה?
2. המעבר לשימוש בשירותי ספקים האוגרים אצלם את המידע הרפואי האישי (כדוגמת ספקי שירותי ענן למיניהם), עלול להוות סיכון, שכן פריצה לספק אחד משמעותה עלולה להיות פגיעה באלפי ארגונים המשתמשים בו כספק שלהם. 
 
המניין הפדרלי של פגיעה בנתונים רפואיים מראה שעד כה ב-2016 דווחו יותר תקיפות של האקרים מאשר בתקופה המקבילה אשתקד. למרות זאת, תקיפות אלו כך נראה לעת עתה, משפיעות על פחות קורבנות מאשר השפיעו מספר קטן בהרבה של מגה-תקיפות שארעו בתחילת שנת 2015.
תמונת מצב נכון ל-7 ביולי של "קיר הבושה" שבו משרד הבריאות האמריקני מציג באופן פומבי את כל הפגיעות שבהן נחשף מידע רפואי על 500 או יותר אנשים (באירוע בודד), מראה כי עד כה היו 43 דיווחי פריצה/אירועי IT המשפיעים על סך של כ-2.7 מיליון בני אדם ב-2016.
לשם השוואה, במהלך אותם החודשים בשנת 2015, תועדו 37 דיווחים על אירועי פריצה ב"קיר הבושה", אבל למרות המספר הנמוך יותר של פגיעות, מספר הקורבנות היה גדול בהרבה: 93.2 מיליון בני אדם. כמעט פי 35 ממספר האנשים שנפגעו ממספר פריצות האקרים גדול יותר בחציון הראשון של 2016.
מדוע ההבדל גדול כל כך? במהלך המחצית הראשונה של 2015, ספג מגזר הבריאות בארה"ב מספר פריצות בגין תקיפת האקרים גדולות, ביניהן שתי הגדולות ביותר עד היום: על חברת Anthem שפגעה ב-78.8 מליון, ועל Premera Blue Cross שפגעה ב-11 מליון אנשים.

שינוי מגמות?
השינוי באירועי תקיפת ההאקרים מגלה מגמה חדשה, כך לדברי מספר חוקרי אבטחה ופרטיות.
לדברי דן ברגר, מנכ"ל חברת הייעוץ לאבטחה Redspin, "מעניין ומדאיג הוא, כי אופי ההתקפות הללו השתנה", ומוסיף, "במקום ההתקפות בקנה מידה גדול (בחסות מדינה) על מבטחים כפי שראינו בשנת 2015, נראה כי אתרי טיפול ראשוניים ומרפאות מיוחדות – מרפאות כף רגל (podiatry), מכוני דימות, מכוני אונקולוגיה, מרפאות טיפול בכאב – הופכים  ליעדי המתקפות השנה. מה שאני מבין מזה שיותר שחקנים מקומיים וגונבי זהויות נוטים להיות מעורבים - וכי הביקוש בשוק השחור למידע רפואי אישי נשאר חזק".
לדברי עו"ד לפרטיות דוד הולצמן, סמנכ"ל ציות בחברת CynergisTek חברת ייעוץ אבטחה אחרת, "ישנם גם גורמים אחרים שתרמו לעלייה במספר תקריות שנגרמו ע"י האקרים. מקורות רבים בתעשייה רואים מגמות ברורות של עלייה במספר הדיווחים של התקפות זדוניות מוצלחות אשר מסתננות לתוך מערכות מידע שבהן נאגר מספר רב של רשומות רפואיות. האם המגמות הנוכחיות הנן התוצאה של מספר רב יותר של התקפות מוצלחות, או העלייה במספר הדיווחים הנה בשל ערנות מוגברת ועלייה ביכולת האתור של אירועי הפריצה?"
עד כה ב -2016, אירוע הפריצה הגדול ביותר למידע רפואי שמקורו בתקיפת האקר דווח בחודש מרס ע"י  21ST Century Oncology. האירוע הזה - שהוא גם הגדול ביותר של כל הפרות HIPAA שתועדו עד היום בשנת 2016 ב"קיר הבושה" השפיע על 2.2 מיליון יחידים.

 

חמשת הפריצות הגדולות ביותר בשנת 2016 שמקורן בתקיפות האקרים ואשר חשפו מידע רפואי אישי

הישות שנפגעה
# היחידים שמידע אודותם נחשף
21ST Century Oncology
2.2 מליון
Southeast Eye Institute, P.A dba eye Association of Pinellas *
87,314
Medical Colleagues of Texas
68,631
Alliance Health Networks, LLC
42,372
Stamford Podiatry Group, P.C *
 
* הפריצה כתוצאה מתקיפת סייבר על שותף עסקי Bizmatics. על נושא זה בהמשך הכתבה.

למה לצפות?
בהחלט ייתכן, כי עד לסוף השנה, יתווסף מספר גדול של אירועי תקיפה שמקורם בהאקרים ל"קיר הבושה".
לדוגמה, לא הוסיפו ל"קיר הבושה את תקיפות תוכנת הכופר שהתרחשו בתחילת השנה. אין ביטחון שאירועים אלו דווחו למשרד הבריאות האמריקני בגלל חוסר בהירות ששרר האם תקיפות אלו נכללות בדרישת הדיווח. בין אותם האירועים נתן להזכיר את התקיפה על המרכז הרפואי בהוליווד שדיווח ששילם כופר בסך 17,000 דולר כדי לשחרר את הרשומות הרפואיות שלו שהוצפנו באותה התקיפה.
בין אירועי התקיפה שמקורם בהאקרים שדווחו ע"י לפחות 17 ארגונים שונים, ישנה תקיפת סייבר אחת על ספק שרותי ענן לרשומות רפואיות המשותף שלהם, חברת Bizmatics. http://prognocis.com/
עד עתה, קרוב ל-264,000 יחידים הושפעו מתקיפת הסייבר על חברת Bizmatics. החברה מדווחת באתר האינטרט שלה כי בתוכנת הרשומות הרפואיות שלה PrognoCIS משתמשים מעל 15,000 עובדי מקצועות הרפואה, מספר מומחי אבטחה מעריכים כי יישויות נוספות עשויות לדווח על פגיעה ביחידים המקושרים ל- Bizmatics. Bizmatics היא  שותף עסקי כהגדרתו בחוק ה-HIPAA.
לדברי דן ברגר, "ללא ספק, ניהול סיכוני ספקים הנו אחד האתגרים הקשים שארגון החייב
ב-
HIPAA נדרש להתמודד אתו. שיתוף מידע הנה אבן הפינה של רביות מהיוזמות בתחום טיפול שמתמקד בחולה, כאשר הטכנולוגיה הנה המאפשרת. בה בעת, כל חולית חיבור בשרשרת הנה פוטנציאל לחולשה.
מבט רחב יותר מציעה רבקה הרולד, יועצת בתחומי פרטיות, אבטחת מידע וציות http://www.privacyguidance.com/index.html
לדבריה, "קיר הבושה" איננו מספק את התמונה המלאה של כל המגמות בהקשר למידע רפואי. כאשר לוקחים בחשבון את העולם הרחב יותר של תקיפות על מידע, מעבר למרחב הרפואי הרגיל, וגם את המיקומים הנוספים שבהם מידע רפואי אישי מצוי, כדוגמת, מכשור רפואי בבעלות אישית, אינטרנט של הדברים (IOT), גופי צד ג' ומעבר להם, אזי לדעתה קיימת פעילויות תקיפה רבה יותר מאשר בעבר. יחד עם ריבוי גישה בלתי מורשית, אובדן וגניבה של מכשירים יותר מבעבר, כאשר מתחשבים בעובדה שיש לנו יותר מידע מאשר אי פעם בעבר, יותר מחשוב ואמצעי זיכרון ומוטיבציה גדולה יותר לשימוש זדוני במידע אישי שערכו רק הולך וגדל בידי פושעים.

פריצות אחרות
החל מספטמבר 2009 (תחילת התיעוד ב"קיר הבושה") ונכון ל-7 ביולי 2016, תועדו בו 1,600 פגיעות במידע רפואי-אישי המשפיעות על כ-159 מליון יחידים, כולל 141 פגיעות המשפיעות על 4.48 מליון יחידים שתועדו עד כה ב-2016.

חמשת הפריצות הגדולות ביותר בשנת 2016 שבהן נחשף מידע רפואי אישי

הישות שנפגעה
סוג הפגיעה
# היחידים שמידע אודותם נחשף
21ST Century Oncology
האקינג/אירוע IT
2.2 מליון
Radiology Regional Center
אובדן נייר/צילומים
483,063
California Correctional Health Care Services
גניבת מחשב נייד
400,000
Premier Healthcare
גניבת מחשב נייד
205,748
Community Mercy Health Partners
השמדה לא נאותה של נייר/צילומים
113,528

 מלבד תקיפות שמקורן בהאקרים, פגיעות בהיקף גדול שנוספו ל"קיר הבושה" השנה כוללות מבחר אירועים מוכרים כגון, אובדן/גניבת מחשב נייד שתוכנו אינו מוצפן, ורשומות נייר או צילומים שאבדו, נגנבו או לא הושמדו באופן נאות. האירוע של אובדן 483,063 רשומות נייר וצילומי רנטגן המצויין בטבלה לעיל, הנו האירוע החמור ביותר עד היום בקטגוריה זו המתועד ב"קיר הבושה".

פגיעות בשותפים עסקיים
כ-20% מכל הדיווחים המתועדים ב"קיר הבושה" מתעדים מעורבות של שותף עסקי כהגדרתו ב-HIPAA. מומחים צופים עלייה באחוז זה, כיוון שעדכון לחוק ה-HIPAA משנת 2013, הפך את השותפים העסקיים אחראים ישירות לציות ל-HIPAA.
לדבריה של הרולד, "ככל שהמודעות לאיומים לאבטחת המידע ולפרטיות עולה, כך גם המודעות לסיכונים בתוך סוגי הארגונים השונים. מבחינה היסטורית ראיתי שותפים עסקיים שחוו פריצה אליהם ולא הבינו שאלו פריצות, ועל כן לא דיווחו עליהן, למרות שהומלץ להם לדווח. אני גם רואה יותר ישויות מכוסות המעבירות חלק גדול יותר מפעילותן כולל אלו המערבות רשומות רפואיות עם מידע אישי, למיקור חוץ.
לאור כל זאת, אני מאמינה ששותפים עסקיים, כולל קבלני המשנה שלהם מהווים איום גדול יותר ליישויות המכוסות (בחוק ה-HIPAA) מאשר אי פעם בעבר".

יום ראשון, 10 בינואר 2016

לקחים מהפריצות הגדולות בתחום הבריאות בשנת 2015 והערות המתרגם


כותרת חלופית: אלו אמצעי מניעה על ארגוני הבריאות לקדם בשנת 2016?
קישור למאמר המקורי:

עד כמה הייתה השפעת פעילותם של האקרים משמעותית במגזר הבריאות בשנת 2015?

בתשע מתוך עשרת האירועים הגדולים בשנת 2015 ברשימת ה-Wall of Shame"" של משרד הבריאות האמריקני המתעדת חשיפה של מידע אישי/אישי רפואי שהתרחשה במוסדות הבריאות בארה"ב ובגורמים עסקיים הנלווים להם, מעורבת תקיפת האקרים.
מדובר בשינוי ענק לעומת השנים שעברו שבהן תקיפות האקרים היו יחסית נדירות.

התקיפה הגדולה ביותר בשנת 2015, תקיפת סייבר על מבטח הבריאות Anthem Inc.  פגעה בכ-79 מיליון איש, ובכך הפכה להיות הפריצה החמורה ביותר הרשומה ב-"Wall of Shame", שתחילת הרישום בו בספטמבר 2009. ששת תקיפות ההאקרים הגדולות גרמו לדלף מידע של מעל 90 מיליון אנשים.

תקיפות ההאקרים מונות רק 11% מכלל האירועים הרשומים ב-Wall of Shame"", אך במסגרתן נחשפו רשומות של 75% מכלל הקורבנות. בשנת 2015 נוספו 56 תקיפות האקרים לרשימה, תקיפות שבהן נחשף מידע על 112 מיליון אנשים.

תמונת מצב נכון ל-31.12.2015 מציגה סה"כ 1,425 אירועים בהם הושפעו מעל 154 מיליון אנשים. מספר זה גדול פי שלושה ויותר, ממספר הקורבנות עד לפני שנה. זו התוצאה המבהילה של תקיפות האקרים מסיביות.

לקחים להפקה
אם כך, מהם הלקחים העיקריים מהמגפה של המגה-תקיפות בשנת 2015?
על ארגוני הבריאות להתבגר בהתייחסותם לנושא ההגנה בעידן הסייבר. ארגוני בריאות קטנים רבים רק מסמנים "וי" ברשימת תיוג לציות לחוק ה-HIPAA. יחד עם זאת מעניין לציין שהתקיפות הגדולות התרחשו דווקא בארגוני גדולים בהם מצופה שרמת הבשלות של יישום הגנת הסייבר תהיה גבוהה. הצלחת תקיפות האקרים בארגונים כאלה מצביעה על הצורך בניהול סיכונים מתמשך. סיכוני "הסייבר" אינם לגמרי חדשים, אך ההזדמנויות שהם מאפשרים להאקרים משתנה וסיכונים חדשים נוספים. הגנת סייבר שמבוצעת עקב חובת ציות רגולטורית, או כצורך עסקי אסור שתהיה מקובעת, היא חייבת להיסקר ולהשתפר באופן מתמשך.

הצורך במבדקי חדירה – Penetration Testing
תקיפות הסייבר בשנה החולפת מצביעים על צורך דחוף לשפר את מערכת מבדקי החדירה ולבצעם בתדירות קבועה.
נדרש  שישויות במגזר הבריאות כולל עסקים נלווים (Business Associates, ישות שהוגדרה בתוספת לחוק ה-HIPAA שנכנס לתוקף בשנת 2014), יצייתו לתקנים המחמירים יותר מאשר אלו הקיימים בחוק ה-HIPAA SECURITY. ע"פ ה-Wall of Shame"", עסקים נלווים היו מעורבים בכ-20% מכלל האירועים.
מגמה שנצפתה היא שעסקים נלווים מגלים את היתרונות שבניהול סיכונים כנגד יותר משיטה/תקן אחד, כולל HITRUST, SOC, ISO, PCI. בשיטה זו הם מבדלים עצמם כדי להגדיל את רווחיהם. משמש אותם כמכשיר שיווקי שבאמצעותו הם מציגים את רמת הגנת המידע הגבוהה שלהם. דבר זה נכון גם לגבי ספקי שירותי ענן למגזר הבריאות.

צעדים נוספים שיש לנקוט בהם
שילוב מידע בין ארגונים ועסקים נלווים במגזר הבריאות. זה כולל גם צינורות דיווח מסודרים, מי מדווח, למי מדווחים, מה מדווחים, מתי מדווחים. חשוב לדווח גם על חשד לאירוע, גם אם יתברר בסוף שהיה חשד שווא.
חשיבות רבה לתרגל תקיפות מסוג "הנדסה חברתית", על מנת למנוע הצלחתן של מתקפות דיוג
(
Phishing). מתקפות אלו עומדות בתדירות גבוהה במרכזם של אירועי תקיפה גדולים.
ממצאים של תרגולים אלו עשויים ללמד שנדרשת הדרכה פנים ארגונית יעילה יותר.
על ארגוני בריאות לשלב מרכיבי הגנת סייבר מקובלים כגון פתרונות מתקדמים לאיתור ומניעת חדירות יחד עם מערכות ניטור לוגים. אך על הארגונים לוודא שיש בידיהם המשאבים הנדרשים על מנת לבצע את הניטור הנדרש באופן מתמשך.

צופה עתיד

מגפת תקיפות הסייבר תמשיך. פריצות אלה ימשיכו בהיקפים גדולים, וגם יתפסו תשומת לב תקשורתית מכיוון ש"אורך חיי מדף" הנו ארוך, עקב סיבוכיות בהליך הניקוי שאחרי אתור המתקפה והליכי האכיפה והענישה שעלולים להתרחש אפילו מספר שנים אחרי התגלות האירוע לראשונה. כך הוא חוזר לכותרות שוב ושוב.
אירועי תקיפה יתגברו עקב החשיפה של המגזר לInternet of Things"", האינטרנט של הדברים,
הערך העולה של מידע רפואי מוגן ורשומות רפואיות אישיות בשוק השחור המחתרתי שעושה בהם שימוש בפשעי גניבת זהות והונאות מתדלק את העלייה בתקיפות.
נראה יותר ארגוני בריאות רוכשים כיסוי ביטוח סייבר. אותם המבטחים ידרשו מארגוני הבריאות רמת הגנת סייבר גבוהה במידה מספקת.

הערת המתרגם:

מדוע מצליחים ההאקרים גם בארגונים שבהם מצופה שהגנת הסייבר תהיה טובה במידה מספקת? כי הם לכאורה "מצייתים לדרישות החוקים הרלוונטיים".
מאז תחילת העשור הקודם פשטה התפישה ש"ציות לחוק/רגולציה = הגנה נאותה". ככה עם SOX, PCI, HIPAA  ועוד אחרים. פעם אחר פעם תפישה זו נוחלת כישלון חרוץ. במקום להפסיק להיצמד ל"ציות לשם ציות" עדיין ממשיכים באותו הקו.
החקיקה או הרגולציה תמיד תפגר אחרי ההתפתחות הטכנולוגית ואחרי היזמות הארגונית. הגנת סייבר נאותה אסור שתיצמד לחקיקה/רגולציה. היא צריכה להיצמד לתהליכי השינוי היכן שהם מתרחשים.

היכן מתרחשים תהליכי השינוי? בשני מקומות/תהליכים עיקריים:

1.        יצרני טכנולוגיית סייבר לרכיביה השונים, חומרה, קושחה, תוכנה. מוצרי טכנולוגיית סייבר ועל אחת כמה וכמה בעידן IOT, חייבים שיהיו מורכבים כאשר הגנת סייבר משולבת בתכנונם ובייצורם. מדובר בהנדסת חומרה ותוכנה משולבת יד ביד עם הגנתה. בעידן שבו האזרח או הארגון ירכוש מוצרי IOT, החשיבות של הגנת סייבר מוטמעת בתכנון ובייצור עולה פי כמה מונים.

2.        תהליכי הרכש השונים והטמעת רכיבי טכנולוגיית סייבר חדשים/מעודכנים בארגונים. הרכש עשוי להיות עבור הארגון או שהרכש הוא שירות שהארגון רוכש והשימוש בו ייעשה ישירות ע"י הלקוח של הארגון. תהליך שנעשה נפוץ יותר ויותר דווקא בארגוני בריאות, שבו ארגון הבריאות רוכש שירותי בריאות מספק חיצוני, ואלו מסופקים ע"י הספק ישירות למטופל של ארגון הבריאות.

הWall of Shame"-" הוא כינוי לאתר משרד הבריאות האמריקני שבו מתועדות הפריצות שבהן נחשף מידע אישי/רפואי-אישי על יחידים. בכל אירוע נחשף מידע על לפחות 500 יחידים.   https://ocrportal.hhs.gov/ocr/breach/breach_report.jsf

 

יום ראשון, 31 במאי 2015

הגנת סייבר ואבטחת מידע – המרחב המשתנה והשלכותיו

רבות כבר נכתב מה ההבדל שבין אבטחת מידע והגנת סייבר. במאמר אצביע על ההשלכות שאמורות להיות לכך על מערכות המידע, ואבטחת מידע/הגנת סייבר.
נתחיל כמובן בהבדל שבין אבטחת מידע והגנת סייבר או בהבדל שבין מערכות מידע וסייבר.
השינוי נגזר ממיקומם של רכיבי המחשוב. בתחילה מחשבים היו עולם נפרד. מחשבי מיינפריים מוקמו באולמות נפרדים ורק לפני כשלושים שנה מחשבים (ולא מסופים) החלו למצוא את דרכם לשולחנות העבודה במקומות העבודה שלנו. בשלב הבא, במאה הנוכחית המחשוב חדר בהיקף חסר תקדים למכשירים שאותם אנו מכירים. רמזורים בקרנות רחובות מנוהלים באמצעות חדרי בקרה ממוחשבים, מצלמות אבטחה כוללות תוכנה ונשלטות מרחוק על גבי תשתית האינטרנט מחדרי בקרה ממוחשבים, מכשור רפואי כדוגמת מכשירי רנטגן ואולטרה סאונד הנם מכשירים הכוללים יישומים (תוכנה) על גבי מערכות מחשוב תקניות, המכוניות שלנו, מערכות ייצור והולכת האנרגיה, ועד למערכות ניהול מיזוג האוויר ובקרת כניסה לבניינים מנוהלים באמצעות מחשבים ומערכות מחשוב.
ההגנה הנדרשת לכל אלה כבר חורגת מהגנה על סודיות, שלמות אמינות וזמינות של מידע. הגנה נדרשת לתפקוד התקין של הרכיב הממוחשב וגם למידע. לדוגמה: מכשיר רנטגן מייצר בסופו של דבר תמונת רנטגן שהיא סוג של מידע. נדרש להגן על תפקוד המכשיר מפני (בין היתר) גורם עוין שינסה לשבש את פעילותו באמצעות פגיעה ברכיבי המחשוב המנהלים אותו, ובנוסף נדרש להגן כבעבר על המידע (סודיות, שלמות, אמינות וזמינות) שהוא מייצר, תמונת הרנטגן.
מה השתנה? הרי גם קודם נדרש מנהל אבטחת המידע להגן על המחשב ועל המידע שבו.
אני אמשיך בדוגמה של מגזר הבריאות ואתן אח"כ גם דוגמה ממערכות ניהול הבניין.
במערך המחשוב הרגיל, המנמ"ר (מנהל מערכות המידע) קונה, מתקין ומפעיל מחשבים, מנהל אבטחת המידע דואג למערכות האבטחה, לדוגמה, אנטי וירוס, כנגד תוכנה זדונית. מה נדרש? לקבוע מדיניות הפעלה, להתקין ולהפעיל את מערכת האנטי וירוס בהתאם למדיניות.
במערך המכשור הרפואי מי שקובע האם בכלל נתן להתקין אנטי וירוס במכשיר, ואם נתן איזה אנטי וירוס יותקן הוא יצרן המכשור ולא המוסד הרפואי שרוכש אותו. אנטי וירוס הנו רכיב אבטחה בסיסי. כיצד נתן להגן על מחשב מפני קוד דוני ללא אנטי וירוס? בעיה. אז הנה הבדל אחד. אבטחת המידע במערך מכשור רפואי הנה פועל יוצא של פעולת גורם חדש במרחב הפעילות המיחשובית, היצרן של המכשיר.
הבדל שני הנו מיקומו של מנהל מערכות המידע בשרשרת הרכש. בעוד שרכש מחשבים נעשה מתקציב ובשליטה של מנהל מערכות המידע, רכש מכשור רפואי, לא כל שכן תפעולו נעשה בידי גורם הנדסי-רפואי-מקצועי. לגורם זה זרים שיקולי מערכות המידע. כל שאיפתו, לרכוש את המכשיר הרפואי הטוב ביותר. ומה עם המידע שהוא מייצר? הרי בסופו של יום מכשיר הרנטגן מייצר תמונת רנטגן (מידע) שאמורה לעבור לרשומה הרפואית של המטופל, וזה כבר כן באחריותו של מנהל מערכות המידע. אז אי שם בדרך, מיידעים את מנהל מערכות המידע, שכן מדובר בתמונה שמועברת בתקן ידוע (DIcom) וזו כבר איננה בעיה.
הגנת המכשיר איננה אם כן מעניינו של מנהל מערכות המידע שכן איננו קשור להליך רכישתו, התקנתו והשימוש המקצועי בו. אבל זה בהחלט תפקידו של מנהל הגנת הסייבר.
דוגמה נוספת תהיה מערכות ניהול בניין, כמו מיזוג אוויר, מעליות, בקרת כניסה ויציאה, גילוי אש ועשן, הצפה וכד'.
גם מערכות אלו הפכו בשנים האחרונות לממוחשבות בעצמן ומנוהלות ומבוקרות מחדרי בקרה ממוחשבים. מי מנהל מערכות אלו? הנהלת הבניין, קצין הביטחון והבטיחות. מנהל מערכות המידע איננו מכיר אותן. אבל על מנת לשתק בנק לא צריך לפגוע במערך המחשוב של הבנק, מספיק לשתק את מערך מיזוג האוויר של ה-Data Center שבו מצויים מחשבי הבנק. על מנת לשתק בניין משרדים רב קומות, מספיק לשבש את מערך מיזוג האוויר המרכזי או מערך ניהול ובקרת המעליות. כדי לגרום פגיעה לתפקוד שוטף של בית חולים מספיק להשתלט על מערך אספקת החמצן ולשבש אותו.
הדוגמאות מציגות הרחבה משמעותית של השימוש והחדירה של מחשבים דיגיטליים למערך החיים. הרחבה זו מחייבת הרחבת הצורך להגן על תפקודם, כאשר בחלקו הגנה זו מתחילה בשולחנות התכנון ובאולמות הייצור של המכשירים עצמם, דהיינו, אצל היצרן, וזאת בנוסף להגנת סודיות, שלמות, אמינות וזמינות המידע.
הבנה זו מחייבת (בין היתר) חשיבה חדשה לגבי העוסק במקצוע ולגבי התקציב העומד לרשותו.
מיקומו של מנהל הגנת הסייבר:
מאחר וברור לחלוטין שמדובר בהרחבה משמעותית של מוטת השליטה של מנהל הגנת הסייבר אל מעבר לתחומי טכנולוגיית המידע (שבאחריות מנהל מערכות המידע הארגוני), אזי אחת מן השתיים:
א.   מנהל אבטחת המידע פועל במסגרת מערך טכנולוגיית המידע הארגונית. במצב זה, נראה כי מנהל הגנת הסייבר כבר איננו יכול להמשיך ולפעול במסגרת מצומצמת זו ועליו לפעול מחוץ למערך מערכות המידע של הארגון.
ב.   יבוצע שינוי ארגוני רחב יותר ובמסגרתו מנהל מערך טכנולוגיית המידע ייהפך למנהל מערך הסייבר הארגוני, כלומר יחלוש על כל אותן הטכנולוגיות המחשוביות שהארגון עושה בהן שימוש. אז מנהל הגנת הסייבר יוכל להמשיך לפעול במסגרת מערך הסייבר הארגוני או יותר נכון, יהיה זה מקומו הטבעי. מהפיכה זו, של שינוי התפישה הארגונית לגבי ניהול הטכנולוגיות הדיגיטליות שהארגון נדרש להן על מנת לפעול בעולם הטכנולוגי המתחדש ראוי לייחד לה פוסט בפני עצמו. בעולם יש שמאפיינים מהפיכה זו בתפקיד ארגוני חדש – Chief Digital Officer – CDO. כאמור, זה נושא בפני עצמו.
ומה לגבי תקצוב הגנת הסייבר:
עשרות שנים שנינו את המנטרה: תקציב אבטחת המידע הנו % מתקציב טכנולוגיית המידע. מקובל היה המספר 5% ועתה יש המכפילים אותו ל-10% ולעתים אף יותר.
השינוי השני הנדרש, תקציב הגנת הסייבר צריך להיות אחוז מתקציב הסייבר הארגוני.
לא יודעים מהו. תחפשו אותו, הארגונים יכולים לחשב אותו. הם רוכשים סייבר, הם יודעים כמה זה עולה. עכשיו נחזור ונהיה שמרנים ונותיר את זה 5% אבל מתקציב הסייבר הארגוני.

יום שני, 22 בספטמבר 2014

מנהל מערכות המידע במרכז הרפואי BIDMC על לקחים שהפיק בנושאי אבטחה. (מאמר מתורגם).

 המקור בקישור הבא:
פריצות ואירועי חירום אבטחתיים אחרים עשויים להיות זרזים משמעותיים ביצירת שינוי, כך אומר גו'ן הלמקה, מנמ"ר  Beth Israel Deaconess Medical Center - BIDMC בבוסטון, ארה"ב. הארגון נקט במספר צעדים על מנת לשפר את אבטחת המידע והפרטיות לאור מספר אירועים.
שניים מהזרזים לשינוי היו גניבת מחשב נייד שלא היה מוצפן שכלל מידע של אלפי מטופלים, וההתרחשויות שבאו בעקבות הפיגוע במהלך תחרות ריצת המרתון בבוסטון בחודש אפריל 2013, הסביר הלמקה במהלך הרצאה שנשא ב-8 בספטמבר במסגרת כנס בנושא אבטחת מידע ופרטיות של ארגון  HIMSS:
Healthcare Information and Management Systems Society.  
לאירוע גניבת המחשב הנייד:
מצלמות האבטחה סייעו לגורמי האכיפה בזיהוי ובמעצר של גנב המחשב הנייד. המחשב נגנב ממשרדו של רופא שקנה אותו זמן קצר לפני כן. אם כן מה הבעיה? המחשב לא אותר מעולם. התוצאה: חקירה יקרה מאד של צוותי פורנזיק ורגולטורים. המחשב הנייד כלל מידע על 3,900 חולים. הלמקה מסכם שאחרי תשלום של 600,000 דולר ופעילויות שנמשכו שנה ומחצה של תובע כללי והמשרד לזכויות האזרח אנו קרובים לחתימה על הסדר.
כתוצאה מהאירוע, המרכז הרפואי החמיר את מדיניות ההצפנה לכל המכשירים בבעלות המרכז הרפואי, כמו גם לרכיבים בבעלות פרטית המשמשים אותם במסגרת עבודתם (Bring Your Own Device - BYOD). חברי צוות במרכז הרפואי חייבים להצהיר כי רכיביהם האישיים מוצפנים לפני שמאושר להם שימוש בהם במסגרת העבודה.
Bombing Aftermath – תוצאות פיגוע הפצצה
לאחר הפיגוע במהלך ריצת המרתון, BIDMC טיפל בשני תריסרי נפגעים אך גם במבצעי הפיגוע עצמו. כתוצאה מכך, המרכז הרפואי נחשף לבחינה קפדנית של רגולטורים ממשלתיים וגורמי אכיפת חוק על מנת להגן על פרטיותם של המטופלים.
סרטים אדומים הוצמדו לתחנות העבודה של המשתמשים על מנת להזהיר את הצוות המטפל מפני פגיעה בפרטיות מטופלי ריצת המרתון שתוביל לפיטורם. המרכז הרפואי החמיר מאד את הגישה לרשומות ותיעוד הגישה וחקר כל מי שנחשד בפגיעה בפרטיות.  לאור הגישה האגרסיבית לא התבצעה בפועל גישה שאיננה הולמת.
הניסיון בטיפול באירוע החירום הניע את הנהלת המרכז הרפואי לשכור שירותי חברה חיצונית על מנת לבצע סקר ולקבל תמונה השוואתית בטיפול באבטחת מידע למול ארגונים במגזרי הבנקאות, משרד ההגנה, ומשווקים קמעונאיים בתחום המסחר המקוון.
תוצאות הסקר קבעו כי המרכז הרפואי דומה בחוסנו למרכזים רפואיים אחרים בארה"ב. זו איננה מחמאה גדולה, כדברי הלמקה.
כתוצאה מהסקר הארגון יישם מספר שינויים.
שינוי באופן שבו הארגון מנהל את הסיכון הפנימי. למרכז הרפואי לא הייתה שיטת ניהול סיכונים פורמלית. מצב זה היקשה על השוואה שנה על גבי שנה. במענה הארגון אימץ את האמור בפרק:
                                                                                               
A Framework for Managing Risk
במסמך:
           NIST 800-66 : An Introductory Resource guide for implementing HIPAA Security Rule
שינויים אחרים כוללים עדכון ניהול המשתמשים כך שיכלול סקירה קבועה של תפקידי המשתמשים (בפועל) כדי לוודא התאמת הרשאותיהם לגישה למידע וליישומים. תוכניות להגברת מחויבות ומודעות עובדים כוללות בחינה בפועל של העובדים באמצעות משלוח יזום של דוא"ל פישינג מתחזה על מנת לצפות מי מקליק ונופל במלכודת, כדי לספק לו הדרכה נוספת.
כתוצאה מגניבת המחשב הנייד שופרה האבטחה הפיזית באמצעות הוספת שומרים בכל המתקנים בשעות שלאחר הפעילות.
במהלך השנתיים הקרובות במרכז הרפואי יגדיל את מצבת כוח האדם העוסקת באבטחת מידע ב-14 עובדים נוספים. המנמ"ר משמש בתפקיד מנהל אבטחת המידע (בפועל) בשנה האחרונה לאחר שמנהל אבטחת המידע הקודם (מרק אולסון) עזב לארגון אחר.

Cloud Precautions –  זהירות בענן
צעד נוסף בהגברת אבטחת המידע הנו שימוש סלקטיבי בשירותים מבוססי ענן.
לדוגמה, נחסמת הגישה לDrop Box מכיוון שהספק איננו מוכן לחתום על הסכם שותף עסקי (Business associate), שהנה דרישה של HIPAA. המשמעות של ספק שמכריז על עצמו כ-שותף עסקי הנה שהוא מקבל על עצמו את דרישות חוק ה-HIPAA Security Rule. למשתמשים יש עכשיו בחירה של שני ספקי שירותי ענן לשמירה ושיתוף קבצים: מערכת אכסון ענן פנימית ושירותי צד ג' של ספק ששמו לא נמסר, אך אותו ספק הסכים לחתום על הסכם שותף עסקי – Business Associate כפי שחוק ה-HIPAA מחייב.
שופרו גם בקרות גישה לרשת על מנת למנוע גישה לרכיבים בלתי מזוהים. שימוש בזיהוי ביומטרי של טביעת בוהן Biometric thumb print authentication תוטמע על מנת לציית לדרישת הרגולציה של ה -Drug Enforcement Agency - DEA 
על מנת למנוע שיגור רשומות חולים באופן לא מאובטח באמצעות דוא"ל בין רופאים, מסמכים קליניים משוגרים באופן אוטומטי באמצעות פרוטוקול מאובטח: Direct secure messaging protocol.

תובנות שמסייעות
דן ברגר, מנכ"ל חברת האבטחה Redspin אומר שהנכונות של הלמקה לדון בבעיות האבטחה אצלו והלקחים שהפיק באירוע פומבי מסייעים למרכזים רפואיים אחרים.
כאשר אתה שומע לקחים אלו מארגון כמו BIDMC וממנמ"ר כמו ג'ון הלמקה אתה מפנים שאירועי אבטחת מידע הנם בלתי נמנעים גם בארגונים שבהם המנמ"ר הנו בעל חזון והתנהלות פרואקטיבית. אין זה ענין של ציות, אלא של ניהול סיכונים.

הערת המתרגם:
אין זו הפעם הראשונה שמנמ"ר זה פורס בפני הציבור אירועים שקרו ב-BIDMC והלקחים שהפיק. האירוע המפורסם ביותר היה בשנת 2002 עת קרסה מערכת התקשורת במרכז הרפואי והחזירה אותו בבת אחת עשרות שנים לאחור. את האירוע תאר מספר שנים מאוחר יותר בקישור הבא:

The CareGroup Network Outage