יום ראשון, 17 בנובמבר 2013

מאמר מתורגם – "קיר הבושה –Wall of SHAME" ארבע שנים אחרי: צבר האירועים – נתן להפיק לקחים חשובים



לאחרונה הכריז ארגון ה-ICS2 (International Information Systems Security Certification Consortium) על הסמכה חדשה, HCISSP. לכל מי שלא יודע הסמכת CISSP הנה ההסמכה הוותיקה והנפוצה ביותר בתחום אבטחת המידע בהיבט הכללי. ההסמכה החדשה הנה CISSP למגזר הבריאות.
נשאלתי, מדוע לספק הסמכה ייחודית למגזר זה?
אחת התשובות שיש באמתחתי הנה המאמר שאת תרגומו אביא להלן.

רקע:
בארה"ב קיימים שני חוקים חשובים העוסקים בהגנת פרטיות ואבטחת מידע למגזר הבריאות:
1. HIPAA – Health Insurance Portability and Accountability Act: כולל שני "תת חוקים". האחד לנושא הגנת הפרטיות והשני לנושא אבטחת מידע.
2. HITECH – Health Information Technology for Economic and Clinical Health act אשר נחקק כחלק מחוק רפורמת הבריאות של הנשיא אובמה. משדרג נושאים ב-HIPAA.
לאחרונה נוסף חוק שלישי (תוספת ל-HIPAA). ה-HIPAA OMNIBUS, אשר בין היתר מחייב "שותף עסקי – Business Associate" של מי שמחזיק רשומה רפואית פרטנית (לדוגמה ספק שירותי גיבוי או ספק שירותי ענן...) לציית לדרישות HIPAA.
אבל לענייננו המרכיב החשוב ביותר הנו חוק ה- Breach Notification Final Rule(שנחקק במסגרת ה-(HITECH מאוגוסט 2009, ואשר מחייב ישויות החייבות לעמוד ב-HIPAA לדווח למשרד הבריאות האמריקני על אירוע אשר פגע בפרטיות או באבטחה ובמהלכו התאפשרה גישה בלתי מורשית למידע הרפואי המוגן באופן שהשימוש או החשיפה מהוות סיכון משמעותי בתחום הכלכלי, התדמיתי או נזק אחר (HARM) לאדם שנפגע. גולת הכותרת הנה שכאשר מדובר בלמעלה מ-500 יחידים באירוע בודד, האירוע לא רק מדווח למשרד הבריאות אלא גם הופך לפומבי באתר האינטרנט של משרד הבריאות ("קיר הבושה – Wall of Shame") .
ללא קשר לכמות הנפגעים הפוטנציאליים בכל אירוע, החקיקה מאפשרת הטלת קנסות כבדים (עד מיליוני דולרים) באירוע בודד.
בספטמבר 2013 מלאו 4 שנים לכניסתו לתוקף של חוק ההודעה על אירוע פגיעה בפרטיות ואבטחת הרשומה הרפואית (Breach Notification Rule).

קישור ל"קיר הבושה - Wall of SHAME": http://www.hhs.gov/ocr/privacy/hipaa/administrative/breachnotificationrule/breachtool.html

קישור למאמר:
healthcareinfosecurity.com/wall-shame-four-years-later-a-6104



עתה נפנה לתרגום המאמר בסופו שלוש מסקנות/המלצות למנהלי אבטחת מידע ולמחוקקים/רגולטורים בישראל.

בארבע השנים מאז כניסתו לתוקף של חוק ההודעה על אירוע פגיעה בפרטיות ואבטחת הרשומה הרפואית (Breach Notification Rule), אושרו ע"י הרשויות הפדרליות כ-674 פגיעות משמעותיות אשר פגעו בכמעט 27 מיליון יחידים.
לקח אחד חד משמעי ב"קיר הבושה" של פגיעות משמעותיות הנו הערך של הצפנה כאמצעי מניעת פגיעה. למעלה ממחצית מכל הפגיעות המשמעותיות שדווחו מאז ספטמבר 2009 קשורות לאובדן או גניבה של רכיבים שאינם מוצפנים, בעיקר מחשבים ניידים.
אמצעי הימנעות מסיכון הבדוק ביותר הנו הצפנה, כך לדברי לאון רודריגז מנהל המשרד לזכויות האזרח (Office of Civil Rights, להלן OCR) במשרד הבריאות האמריקני. לדבריו קיימת הערכת יתר של עלויות וסיבוכיות של הצפנה.
רבים מהאירועים של פגיעה בהיקפים גדולים של רשומות, ו-22% מכל האירועים מערבים "שותפים עסקיים – Business Associates". דבר זה מצביע על הצורך של הגופים הנדרשים לעמוד ב-HIPAA )מוסדות רפואיים, הערת המתרגם) לנטר כיצד ספקיהם מממשים בקרות אבטחה יעילות. החשיבות של מרכיב זה גדלה לאחר שהם (השותפים העסקיים) הפכו כעת לאחראים ישירים לציית ל-HIPAA תחת ה-HIPAA OMNIBUS RULE.
בינתיים, כ-20% של הפגיעות ערבו "גישה בלתי מורשית", לעתים בכוונה לבצע מעילה. מה הלקח? להפעיל מדיניות המונעת מבעלי זכות גישה לחטט ברשומות של אחרים, ואם מוצאים שהם מבצעים פעילות כזו, לנקוט באמצעים נגדם. כך לדברי ג'וי פריטס, קצין הפרטיות הראשי במשרד המתאם של מערך ה-IT במשרד הבריאות האמריקני.
בנוסף להפקת לקחים מהסיבות שגרמו לפגיעות המשמעותיות, ארגוני בריאות יכולים ללמוד גם מפעילויות האכיפה שבהם נקט ה-OCR, לאחר מיצוי חקירה של אירועי פגיעה קטנים יותר בהיקפם או המעקב אחר תביעות הקשורות בהפרה של HIPAA. פעולות רבות כאלה מציגות את החשיבות של הערכת סיכונים ככלי לאיתור מוקדם של חולשות אבטחתיות היכולות לגרום לבעיות גדולות יותר.




מגמות ב"קיר הבושה"
ה-OCR, מוסיף את האירועים שפגעו ב-500 ומעלה יחידים לרשימתו, כאשר הפרטים מאומתים. ולמרות שמספר האירועים שבהם נפגעו רבים נמצא במגמת ירידה, מספר מגה-אירועים עדיין מתרחשים.
לדוגמה, נכון ל-27 בספטמבר 2013, דהיינו לפני כשישה שבועות, כ-81 אירועים שהתרחשו בשנת 2013 נרשמו ברישום הפדרלי, בהשוואה ל-160 בשנת 2012 וכ-165 ב-2011.
אבל למרות המספר הנמוך יחסית של האירועים ב-2013 עד לסוף ספטמבר 2013, מספר היחידים שנפגעו עומד המספר המדהים של 4.8 מיליון. הסיבה העיקרית לכך הינה אירוע אחד בודד: גניבת 4 מחשבים ניידים שלא היו מוצפנים מה-ADVOCATE HEALTH SYSTEM. באירוע בודד זה נפגעו כ-4 מיליון יחידים. (הערת המתרגם: אירוע אחד של 4 מיליון ו-80 אירועים המסתכמים בפחות ממיליון... אירוע אחד יכול לשנות את כל התמונה).
בהשוואה, בשנת 2012, 2.6 מיליון יחידים נפגעו מכל האירועים המשמעותיים ביחד, ובשנת 2011, בשנה שבה התרחשו 8 מגה-אירועים נפגעו למעלה מ-11 מיליון יחידים.
ישנם המצפים שכמות האירועים המדווחים תעלה בעקבות כניסתו לתוקף של ה-Hipaa Omnibus Rule. הסיבה לכך היא שה-Hipaa Omnibus Rule שינה את ה-Hipaa Breach Notification Rule. התקן להודעה על פגיעה השתנה מהערכה האם אירועי עלול להסתיים בפגיעה משמעותית בהיבטים כספיים, תדמיתיים או פגיעה אחרת ליחיד, להערכה אובייקטיבית יותר שאירוע חייב בדיווח אלא אם כן קיים סיכוי נמוך שמידע נחשף.
אני מצפה שביטול מרכיב הפגיעה (HARM) ויישום הערכת סיכונים על מנת לקבוע סיכון לחשיפת מידע... ישפיע משמעותית על עלייה בדיווחים על אירועים ל-OCR..." כך לדברי דנה בוגאן, קצינת HIPAA לאבטחת מידע ופרטיות בביה"ח סט. דומיניק ג'קסון במיסיסיפי.

אירועים יקרים
חקירות פדרליות של מספר אירועים המצוינים ב"קיר הבושה" הסתיימו בהסדר כספי משמעותי (קנסות) כחלק מהסדרי הטיעון. ביניהם נתן למנות את הקנסות הכספיים הבאים:
1. קנס בגובה 1.7 מיליון דולר שהוטל על חברת הביטוח WellPoint,
2. קנס בגובה 1.5 מיליון דולר שהוטל על מרפאת עין ואוזן במסצ'וסטס.
3. קנס בגובה 1 מיליון דולר שהוטל על ביה"ח הכללי במסצ'וסטס.
אבל, בסמכות ה-OCR לאכוף ענישה גם בעבירות על HIPAA אשר הנם קטנות מדי בהיקפן ועל כן אינן מצדיקות פרסומן ב"קיר הבושה".
בחודש ינואר 2013, ה-OCR פרסם את הסדר הטיעון הראשון המקושר לאירוע שהשפיע על פחות מ-500 יחידים, אירוע שאיננו מתפרסם ב"קיר הבושה". האירוע התבטא בגניבת מחשב נייד שלא היה מוצפן ובו מידע על 441 מטופלים מההוספיס של צפון איידהו. ההוספיס נאלץ לשלם קנס בגובה 50,000 דולר על מנת להסדיר את הפרשה למול ה-OCR.
חשוב לציין שההסדרים כוללים לא רק קנסות כספיים אלא גם התחייבות לתקן את הפגמים שבעטים אירעה הפגיעה ולבצע סקרי סיכונים מקיפים על מנת לאתר את כל החולשות ולטפל בהן (הערה של המתרגם).

תחת ה-Hipaa Omnibus, קנס עבור הפרה בודדת עלול להגיע ל-1.5 מיליון דולר. רודריגז מנבא שה-OCR יגדיל את "הקנסות המנהליים – Civil Penalties" (קנסות שאינם מהווים ענישה פלילית) כאשר תתקדם האכיפה של ה-HIPAA Omnibus.
הקנס הגבוה ביותר שהוטל ע"י ה-OCR, והקנס המנהלי היחיד עד כה, לא היה חלק מ"קיר הבושה". באירוע זה, ה-OCR השית קנס של 4.3 מיליון דולר על Cignet Health לאחר שלא סיפקו גישה למידע הרפואי למטופליהם, והגדילו עשות כאשר לאחר מכן, גם לא שיתפו פעולה בחקירת ה-OCR.

הבהקי אכיפה
פיל קוראן, מנמ"ר ביה"ח האוניברסיטאי קופר בקמדן, ניו ג'רסי, אומר שבחן את הסדרי הטיעון של OCR על מנת להבין אלו חולשות אבטחתיות זוהו על ידם ומהן הפעולות המתקנות שהומלצו.
המלצתו: בחן האם ישנם דברים שה-OCR המליצה עליהם (כפעולות מתקנות) במקרים אחרים. לדוגמה, לקח חשוב מפעולות מתקנות רבות הנה החשיבות של הערכת סיכונים.
פעילות אכיפה שבוצעה בחודש אוגוסט ע"י ה-OCR המדגימה את חשיבות הערכת הסיכונים פורסמה במסגרת הסדר הטיעון עם Affinity Health Plan, חברה ניו יורקית לניהול טיפולים רפואיים. החברה הסכימה לשלם קנס בגובה 1.2 מיליון דולר על מנת לסיים הטיפול באירוע משנת 2010 אשר פגע ב-345,000 יחידים אשר נתונים עליהם נחשפו על דיסקים קשיחים של מכונות צילום אשר הוחזרו לחברת ההשכרה.
שוב ושוב OCR מוצאים בחקירותיהם שבצוע סקר הערכת סיכונים מעמיק לוקה בחסר, מציין רודריגז. סקר כזה נדרש שיכלול הערכה היכן עשויה להימצא רשומה רפואית מזוהה פרטנית (PHI - Personal Health Information), קביעת הפגיעויות וצמצום הסיכונים.
לדוגמה, אי בצוע סקר מעמיק של הערכת סיכונים, עומד לעתים מאחורי העדר ההצפנה של רכיב שנגנב או אבד. התוצאה לדברי רודריגז הנה דיווחים רבים על פגיעות. (לו היה מוצפן, לו היה צורך לדווח על פגיעה. הערת המתרגם.). ישויות אשר לא בצוע הערכת סיכונים כנדרש כשלו בבצוע ההצפנה מסכם את הנושא רודריגז.
למרות שרוב האירועים קשורים לרכיבים שאבדו או נגנבו, חלק מהאכיפות המבוצעות ע"י
ה-OCR התמקדו ב"חשיפות שערורייתיות", כגון חיטוט ברשומות רפואיות של מטופלים ע"י אנשי הצוות הרפואי.
לדוגמה, ביולי 2011, המרכז הרפואי באוניברסיטת לוס אנג'לס (UCLA Health System), הסכים לשלם קנס בגובה 865,000 דולר ולהתחייב ליישם פעילות מתקנת שמטרתה לסגור פערים בציות ל-HIPAA. שני מטופלים סלבריטאים טענו שעובדים במרכז הרפואי חזרו וצפו ברשומותיהם הרפואיות, כמו גם ברשומות של מטופלים אחרים, ללא רשות.
אירועים כאלו מתרחשים כאשר לא קיימים אמצעים טכנולוגיים להבטיח שמי שניגש למידע הנו מורשה אליו מסכם רודריגז.

עד כאן התרגום הכולל פה ושם מספר הערות שלי.

לסיכום ולהתייחסות למנהלי אבטחת מידע, למחוקקים ורגולטורים בישראל:

1. חקיקה או רגולציה נאותה הנה הבסיס ההכרחי להגנה על הפרטיות וליצירת מסגרת ליישום אבטחת מידע.
2. פרסום מידע על אירועי אבטחת מידע ופגיעה בפרטיות ע"י גורם ממשלתי מוסמך הנו כלי חשוב באכיפת הדרישות הכלולות בחקיקה/רגולציה, וגם מספקת אפשרות הפקת לקחים לכלל המגזר כדי להימנע מטעויות שנעשו ע"י אחרים.
במגזר הבריאות בישראל משרד הבריאות מחייב את יישומו של תקן אבטחת מידע בבריאות, תקן 27799. במסגרת תקן זה קיימת דרישה המקבילה בחלקה ל-Breach Notification Law (בחלקה כיוון שהדיווח הנו לקורבן הפגיעה אבל לא לרגולטור, ללא פרסום פומבי או צעדי ענישה). אך גם דרישה מצומצמת זו איננה מעשית, כל עוד לא קיימת במדינת ישראל תשתית חקיקתית מחייבת לעניין זה.
בשלב זה אני ממליץ למנהלי אבטחת המידע להתייחס לדוחות מבקר המדינה בישראל בנושאי אבטחת מידע כמקבילה לדוחות האכיפה של ה-OCR. נתן למצות מהם את הבעיות שהתגלו ולהפנות שאלה לעצמך בסגנון הבא:
לו הארגון שאני משמש בו מנהל אבטחת המידע היה הארגון המבוקר, מה היה נכתב עלי בדוח?
התשובה הנה בסיס טוב וריאלי לתוכנית עבודה על מנת שכאשר תתבצע "ביקורת אמת", התוצאה תהיה טובה יותר.
3. הטלת קנסות גבוהים בצמוד לחובת ביצוע פעילות מתקנת מהווים בדרך כלל אמצעי יעיל, למרות שאירוע בודד עלול לקלקל את הסטטיסטיקה. מדינת ישראל מפגרת מאד בנושא זה.

יום ראשון, 3 בנובמבר 2013

עוצמתו של האיום הפנימי - בעקבות דיווח ברויטרס - מה עזר לסנודן

דיווח באתר רויטרס מה-18 באוקטובר:
בסיס ה-NSA שבו הוצב סנודן כשל בעדכון תוכנה למניעה או איתור בזמן אמת של ניסיונות הורדת מסמכים בלתי חוקית
Exclusive – NSA delayed anti-leak software on base where Snowden worked
http://www.reuters.com/article/2013/10/18/us-usa-security-snowden-software-idUSBRE99H10620131018

כמי שעוסק באבטחת מידע כבר למעלה משלושה עשורים (משנת 1982), אינני מופתע לגלות כל פעם מחדש שבסופו של יום אירועי אבטחת מידע קטנים כגדולים, מקורם בכשלים שהטיפול בהם הוא שלב א (לכל היותר שלב ב) של כל מי שלומד ומפנים את יסודות תורת האבטחה. אז מדוע זה חוזר על עצמו כל פעם מחדש? אינני מתיימר לספק תשובה. המקרה שלפנינו הוא דוגמה חיה. והלקחים ממנו ממש פרוסים לפנינו על מגש. רק לקרוא וליישם. והרי עיקרי הפרטים לדברי הידיעה ברויטרס ולפי לוח הזמנים:
1. בשנת 2010 טוראי בריאן מנינג (שבינתיים הפך לצ'לסי מנינג) מדליף באמצעות אתר הויקיליקס מאות אלפי מסמכים. מהומה ענקית בכל העולם.
2. הנשיא אובמה (שנכנס לבית הלבן כנשיא ארה"ב בתחילת 2009, שביום השבעתו לנשיא, מתפרסם אחד מאירועי אבטחת המידע החמורים, גניבת 130 מיליון מספרי כרטיסי אשראי מחברת הסליקה השישית בגודלה בארה"ב - Heartland) מורה לשפר את בקרת הגישה מפני הסיכון הפנימי. עיקרי ההוראה הנה כמובן להתקין אמצעי בקרה טכנולוגיים על מנת למנוע הוצאת מידע ע"י בלתי מורשים או לכל הפחות לאתר בזמן אמת אירועים מסוג זה ולמצות את הדין עם העבריין.
3. הזמן עובר לו, והדחיפות לטפל בכשלים מפנה ככל הנראה את מקומה לצרכים מבצעיים דחופים יותר, לפחות כך הדבר בסוכנויות בטחון ומודיעין, לדברי הכתבה. מוכר לכולנו, הלא כן? התירוץ במקרה זה הוא שאין מספיק רוחב פס על מנת להתקין בנוחות את התוכנה ולהבטיח את פעולתה התקינה.
4. בסיס ה-NSA בהוואי שבו מדובר עבר למקומו החדש בתחילת שנת 2012 והחליף בסיס ישן שהופעל באתר מתקופת מלחמת העולם השנייה.
5. בחודש מרץ או אפריל 2013 מגיע לבסיס זה מנהלן רשת בשם סנודן מטעם חברת בוז-אלן-המילטון לעבודה במסגרת הסכם למיקור חוץ.
6. כעבור כמה שבועות הוא מודיע למעסיקו כי בשל מצב בריאותי לקוי עליו לחזור ליבשת.
7. הוא נעלם למספר שבועות וצץ בהונג קונג. השאר היסטוריה.
8. עוד עובדה אחת, לדברי רויטרס (עפ"י דיווח בחודש אוגוסט 2013), שמעלליו של סנודן החלו כבר שנה לפני כן, בחודש אפריל 2012 כאשר הוריד מסמכים באופן בלתי מורשה אודות פעילויות הריגול האלקטרוניות של ארה"ב בהיותו מועסק ע"י חברת דל.
9. ב—30 לאוקטובר, מדווח באתר רויטרס שמשרד המשפטים האמריקני הודיע שהוא הצטרף לתביעה כנגד החברה אשר בצעה את בדיקת המהימנות של סנודן (US Investigation Services), למרות השם הפסבדו רשמי, זו חברה פרטית. התביעה הוגשה דרך אגב לפני שנתיים וחצי (יוני 2011) ע"י עובד לשעבר של החברה שפוטר לאחר שסרב לבצע את "עיגולי הפינות" שהחברה דרשה ממנו לבצע. "קפיטליזם", "הפרטת הביטחון" אמרנו?

אז מה היה לנו?
1. חוסר בקרה על קבלן. א-ב של אבטחה בפעילות מיקור חוץ.
2. הסתמכות על מבדק מהימנות העובד הפנימי. עובד פנימי? מנהלן מערכת במיקור חוץ... מבדק מהימנות? גם הוא במיקור חוץ. ומה מתברר? הוגשה תביעה כנגד החברה שמבצעת את מבדקי המהימנות ע"י עובד שפוטר לאחר שהאשים את המעביד ב"עיגול פינות". מיקור חוץ בריבוע... ואפוא הבקרות? אחת הסתמכה על השנייה. גם זה א-ב של אבטחה.
3. וגולת הכותרת רעיון התעתועים שבעידן ההיפר תקשובי, היפר טכנולוגי, ניתן להמשיך לתת אמון במבדקי מהימנות, "בקרות תהליכיות" במקום להתקין את מערכות האבטחה הטכנולוגיות בצמוד ליכולות הפונקציונאליות. זה חוסר מקצועיות משווע. את המחיר משלם כל העולם המערבי.

מה הלקחים?
1. אין בקרה שאפשר לוותר עליה מבלי לנהל את הסיכון שאי מימוש הבקרה טומן בחובו.
2. הפרטה או בלשון המקצועית "מיקור חוץ", מייצרת סיכונים חדשים. גם אותם יש לנהל.
3. זמינות ערוצי התקשורת, נפחי מידע עצומים הניתנים להעברה ממקום למקום בהקשת מקש, ונפחי אחסון גדולים של מידע הניתנים לניוד בכיס או בתיק קטן, מחייבים שינוי מהותי בגישת הבקרה. סיכון טכנולוגי חייב לקבל מענה טכנולוגי. הסתיים העידן שבו לסיכון טכנולוגי נתן להסתפק בהוראה מנהלית. זה לא עובד. כבר ראינו ב-2006 כיצד קורסת התפיסה שמספיק להגיד ש"אסור" ואין צורך לספק הגנה. (המקרה של גניבת דיסק מביתו של מנתח מערכות במשרד גימלאי כוחות הביטחון בארה"ב. למה להצפין, הרי ישנה הוראה ש"אסור לקחת חומר הביתה". הדיסק הכיל רק כ-18 מיליון רשומות...). ולא לשכוח, כל טכנולוגיה, כולל טכנולוגיית אבטחה טומנת בחובה את הסיכונים שלה וגם לכך יש לספק מענה החל מרגע הפעלתה.