יום ראשון, 1 ביוני 2014

מאמר מתורגם – "פריצות במגזר הבריאות בארה"ב עברו את 1,000 האירועים. מומחים מספקים תובנות לגבי לקחים[1]


הרישום הפדרלי של אירועי פריצה עיקריים למאגרים רפואיים בארה"ב עבר את רף 1,000 האירועים הרשומים. הרישום כולל רק את אלו המשפיעים על לפחות 500 או יותר אנשים. הרישום הנו חובה ע"פ חוק ה-HITECH האמריקני ומבוצע החל מספטמבר 12009.

רקע:

בארה"ב קיימים שני חוקים חשובים העוסקים בהגנת פרטיות ואבטחת מידע למגזר הבריאות:

1.      HIPAA Health Insurance Portability and Accountability Act: כולל שני "תת חוקים". האחד לנושא הגנת הפרטיות והשני לנושא אבטחת מידע.

2.      HITECH   Health Information Technology for Economic and Clinical Health act אשר נחקק כחלק מחוק רפורמת הבריאות של הנשיא אובמה. משדרג נושאים ב-HIPAA. 

לאחרונה נוסף חוק שלישי (תוספת ל-HIPAA). ה-HIPAA OMNIBUS, אשר בין היתר מחייב "שותף עסקי – Business Associate" של מי שמחזיק רשומה רפואית פרטנית (לדוגמה ספק שירותי גיבוי או ספק שירותי ענן...) לציית לדרישות HIPAA.

אבל לענייננו המרכיב החשוב ביותר הנו חוק ה- Breach Notification Final Rule(שנחקק במסגרת ה-(HITECH מאוגוסט 2009, ואשר מחייב ישויות החייבות לעמוד ב-HIPAA לדווח למשרד הבריאות האמריקני על אירוע אשר פגע בפרטיות או באבטחה ובמהלכו התאפשרה גישה בלתי מורשית למידע הרפואי המוגן באופן שהשימוש או החשיפה מהוות סיכון משמעותי בתחום הכלכלי, התדמיתי או נזק אחר (HARM) לאדם שנפגע. גולת הכותרת הנה שכאשר מדובר בלמעלה מ-500 יחידים באירוע בודד, האירוע לא רק מדווח למשרד הבריאות אלא גם הופך לפומבי באתר האינטרנט של משרד הבריאות ("קיר הבושה – Wall of Shame")[2].

ללא קשר לכמות הנפגעים הפוטנציאליים בכל אירוע, החקיקה מאפשרת הטלת קנסות כבדים (עד מיליוני דולרים) באירוע בודד.

עתה נפנה לתרגום המאמר בסופו שלוש מסקנות/המלצות למנהלי אבטחת מידע ולמחוקקים/רגולטורים בישראל.

עשרת האירועים החמורים ביותר משפיעים על כ-18.4 מיליון אנשים, יותר מחצי מסך של 31.5 מיליון אנשים שעלולים להיות קורבנות של 1,010 אירועי פריצה עיקריים המדווחים מאז שהוחלה החובה החוקית בספטמבר 2009.
 

כל עשרת האירועים החמורים ביותר (ע"פ מספר הנפגעים בפריצה), המתועדים באתר האינטרנט של משרד הבריאות האמריקני ("קיר הבושה") קשורים לאובדן או גניבה של רכיבי מחשוב או רכיבי זיכרון שאינם מוצפנים. ככלל, גניבה או אובדן של רכיבים שאינם מוצפנים קשורים לכחצי מכלל אירועי הפריצה העיקריים הרשומים ברשימה הפדרלית של "קיר הבושה".

לדברי בריאן אוונס מחברת הייעוץ טום וולש, "עשרת האירועים העיקריים מצביעים על חשיבותה של ההצפנה להגנה על מידע המצוי בתנועה או במנוחה. מאחר ופתרון ההצפנה מסופק כיום כמענה "out of the box" (ללא עלות) או כתוסף מוצר צד ג' (בעלות נמוכה יחסית), אזי נתן לצמצם באופן משמעותי את הסבירות של פגיעה. להבטיח שהצפנה מיושמת באופן הנכון הנה צעד בסיסי שכל הארגונים חייבים לבצע".
 
אבל אי קיומה של הצפנה איננה מצביעה על תקלה נקודתית בהגנה על המידע הרפואי האישי שמדאיגה את מומחי האבטחה, למעשה, לדבריהם, העדר הצפנה הנו סימן לכשלי אבטחה מהותיים יותר.
 
"ראשית, אי בצוע הצפנה איננו טעות אבטחה, זוהי החלטה ניהולית גרועה", אומר מומחה האבטחה מק מקמילן, מנכ"ל חברת האבטחה סינרגיקטק.

בעשרת האירועים החמורים, כמו גם בהרבה אירועים אחרים, "ההצפנה לא נכשלה, היא מעולם לא יושמה". כך לדבריו. "טעויות אחרות כוללות אי ידיעה היכן מצוי המידע, היכן הסיכון, ועקב כך אי קביעת בקרות נאותות לטיפול בסיכון." 

תחומי בעיות אחרות לדברי מקמילן, כוללים את הכישלון בבחינת נהלי האבטחה של שותפים עסקיים (מה שאצלנו ייקרא "מבדק ספקים"), וחוסר בניטור גישת משתמשים למידע רפואי רגיש ובקרות שאינן מספקות לזיהוי משתמשים ומערכות. ואחרון, אך לא בחשיבות, תוכניות הדרכה המתוכננות באופן כושל, מונעות ומתמקדות בציות לדרישות במקום מה משתמשים באמת צריכים לדעת על מנת לשרת את ההגנה על נכסי המידע של הארגון.

אוונס מתמצת את המצב באופן הבא: "ארגוני בריאות אינם מיישמים את העקרונות הבסיסיים של אבטחה. מבוצעים בהם מאמצי אבטחה חלקיים ללא ראיה ארגונית כוללת ומשולבת ללא ממשל תאגידי או הלימה לשאר פונקציות ותהליכי ניהול סיכון ארגוניים אחרים. ארגונים רבים חסרים תהליך הערכת סיכונים מתמשך ונכשלים באיתור איומים, סיכונים ופגיעויות או ביישום שיטתי של בקרות. הם לא קבעו בעלות וחבות לאבטחה ולציות לדרישות. כתוצאה מכך, הן אינם מצייתים לרגולציות אבטחה נאותות, תקנים ודרישות".

סקר אבטחת המידע בבריאות לשנת 2014 מראה שרק כמחצית מארגוני הבריאות בארה"ב כתבו אסטרטגיית אבטחה.

אוונס גם מתלונן שרבים הארגונים שמיישמים "רשתות שטוחות", ארכיטקטורות אד-הוק וטכנולוגיות שאינן מגובות במשאבים, תמיכה וניהול מספקים. הם אינם מיישמים מדיניות ונהלים מתאימים או אוכפים את מה שיישמו. תפעול של ושימוש בעקרונות יסוד אבטחתיים יכול להציע שיפור משמעותי בניהול סיכוני המידע לדבריו.

לקחים שנלמדו

לקחים מרכזיים שנתן להפיק מהאירועים העיקריים הנ"ל:

לדברי מקמילן:

1.        כל אחת מהפריצות הללו לא הייתה מחויבת המציאות, את כולן היה נתן למנוע, באם נהלים בסיסיים של אבטחת מידע היו מקוימים. המשמעות היא שלא מדובר במתקפות מתוחכמות כלל וכלל, אלא בטעויות שנבעו משיפוט לקוי ואי יישום אבטחה פשוטה.

2.        סטייה קלה ופשוטה מנהלי אבטחה טובים עלולה להיות בעלת משמעויות גדולות לארגון. רבים מהם (אך לא כולם) היו יכולים לקבל מענה באמצעות הצפנה.

3.        למרות שרק כ-20% מכלל הפריצות משויכות לאירועים בשותפים עסקיים (Business associates), המספר קופץ דרמטית ל-50% כאשר מצמצמים את ההתייחסות רק לפריצות העיקריות, דהיינו אלו שבהן הפגיעה הנה במספר הגדול ביותר של מטופלים. אלו עדיין מספר שניים בחיוב הכספי ב"קיר הבושה". (הפרשנות שלי למשפט זה הנה שהשותפים העסקיים עד לאחרונה לא שילמו קנסות כספיים כבדים, ועל כן הם שניים בחשבון הקנסות שעליהם לשלם).

תחת החוק החדש HIPAA Omnibus Rule שנכנס לתוקף בשנה שעברה, שותף עסקי  אחראי לציות מלא ל-HIPAA ועל כן במקרה של הפרה הנו בר תביעה באופן ישיר, וכמו הישויות המכוסות (Covered entities), נתון לפעילות אכיפה של הגורם המוסמך בארה"ב. אלו עשויים לכלול קנסות עד לגובה של 1.5 מיליון USD להפרה בודדת של HIPAA.

כתוצאה מכך, מומחים אחדים צופים שמספר הדיווחים על אירועי פריצה שבהם מעורבים שותפים עסקיים יגדל. הסיבה העיקרית לדעתם הנה שהם מקפידים פחות מהישויות המכוסות על נהלי אבטחת המידע הרפואי ובהחלט ייתכן שאחדים מהם עדיין לא מודעים לחובה החדשה שהוטלה עליהם.

לדברי מקמילן הרבה שותפים עסקיים אינם מאמינים שהם שותפים עסקיים (ע"פ הגדרת המונח ב-HIPAA), או שהם מנסים להגביל את אחריותם כיוון שהם מאמינים שרק חלק מהחוק חל עליהם. שותפים עסקיים אינם מבצעים ניתוח סיכונים (Risk Analysis) כפי שמבצעות הישויות המכוסות המקבילות. בקיצור, הם "אינם בעניין"... עדיין.

במקרים אחדים, שותפים עסקיים "חיים בהכחשה" או שהם חסרי ידע לחלוטין לגבי חבותם ב-HIPAA, כך מסכם אוונס וממשיך, חזרתי מכנס שבו עובדת של שותף עסקי שאלה בעצתי לגבי הצוות המשפטי שלה שהתעקש שהחברה שלהם איננה חייבת לציית לחוק האבטחה של HIPAA. אותה החברה מאמינה שכל פריצה לרשומה הכוללת מידע רפואי אישי (Personal Health Information) הנה הבעיה של הישות המכוסה ולא שלהם. ייעצתי לה שהצוות המשפטי יקרא מחדש את חוק ה-HIPAA Omnibus.

 

צופה פני עתיד

לדברי אוונס: כל ארגוני הבריאות חייבים להגדיר מדיניות ונהלים לאבטחת המידע, לקבוע דרישות מינימום ולוודא שהם מיושמים כפי שנדרשו.

הם חייבים לוודא שנושא הבעלות והחבות מוגדר היטב. עליהם לבחון את תהליכי ניהול הסיכונים של כל העוסקים בכך, ולאתגר כל תהליך או גישה שאינם מיטביים, ולדרוש שיפורים היכן שזוהו פערים.

... כמו בכל פונקציית בריאות, עסקים או IT חשובה, מנהיגות תקיפה הנה חיונית לניהול יעיל של סיכוני המידע.

מקמילן אומר ש"קיר הבושה" של הפריצות העיקריות צריך לשמש לנו כתזכורת שעדיין לפנינו דרך ארוכה לפני שאנו כמגזר (הבריאות), נוכל לומר שאנו באמת מגנים על זכות הציבור לפרטיות. וחשוב אף יותר, המשמעות הנה שעדיין בידינו מערכות ומידע בסיכון במגזר שהפך לתלוי בנכסים אלו בכל תהליך רפואי ותפעולי שלו.

אוונס מסכם בראיה דומה: ""קיר הבושה" של משרד הבריאות האמריקני מציג בבהירות שמספר ארגוני בריאות עדיין זקוקים לשיפור של אבטחתם וזאת 9 שנים אחרי שהדרישה לעמוד בחוק האבטחה שלHIPAA  נכנס לתוקף באפריל 2005.

 

לסיכום ולהתייחסות למנהלי אבטחת מידע, למחוקקים ורגולטורים בישראל (זה לא חדש, כתבתי את זה לסיכום מאמר לפני 1/2 שנה. לצערי, דבר לא השתנה מאז):

1.        חקיקה או רגולציה נאותה הנה הבסיס ההכרחי להגנה על הפרטיות וליצירת מסגרת ליישום אבטחת מידע.

2.        פרסום מידע על אירועי אבטחת מידע ופגיעה בפרטיות ע"י גורם ממשלתי מוסמך הנו כלי חשוב באכיפת הדרישות הכלולות בחקיקה/רגולציה, וגם מספקת אפשרות הפקת לקחים לכלל המגזר כדי להימנע מטעויות שנעשו ע"י אחרים.

במגזר הבריאות בישראל, משרד הבריאות אומנם מחייב את יישומו של תקן אבטחת מידע בבריאות, תקן 27799. במסגרת תקן זה קיימת דרישה המקבילה בחלקה ל-Breach Notification Law (בחלקה כיוון שהדיווח הנו לקורבן הפגיעה אבל לא לרגולטור, ללא פרסום פומבי או צעדי ענישה). אך גם דרישה מצומצמת זו איננה מעשית, כל עוד לא קיימת במדינת ישראל תשתית חקיקתית מחייבת לעניין זה.

בשלב זה אני ממליץ למנהלי אבטחת המידע להתייחס לדוחות מבקר המדינה בישראל בנושאי אבטחת מידע כמקבילה לדוחות האכיפה של ה-OCR. נתן למצות מהם את הבעיות שהתגלו ולהפנות שאלה לעצמך בסגנון הבא:
      לו הארגון שאני משמש בו מנהל אבטחת המידע היה הארגון המבוקר, מה היה נכתב עלי בדוח?
      התשובה הנה בסיס טוב וריאלי לתוכנית עבודה על מנת שכאשר תתבצע "ביקורת אמת", התוצאה תהיה
      טובה יותר.


3.        הטלת קנסות גבוהים בצמוד לחובת ביצוע פעילות מתקנת מהווים בדרך כלל אמצעי יעיל, למרות שאירוע בודד עלול לקלקל את הסטטיסטיקה. מדינת ישראל מפגרת מאד בנושא זה.