יום שני, 22 בספטמבר 2014

מנהל מערכות המידע במרכז הרפואי BIDMC על לקחים שהפיק בנושאי אבטחה. (מאמר מתורגם).

 המקור בקישור הבא:
פריצות ואירועי חירום אבטחתיים אחרים עשויים להיות זרזים משמעותיים ביצירת שינוי, כך אומר גו'ן הלמקה, מנמ"ר  Beth Israel Deaconess Medical Center - BIDMC בבוסטון, ארה"ב. הארגון נקט במספר צעדים על מנת לשפר את אבטחת המידע והפרטיות לאור מספר אירועים.
שניים מהזרזים לשינוי היו גניבת מחשב נייד שלא היה מוצפן שכלל מידע של אלפי מטופלים, וההתרחשויות שבאו בעקבות הפיגוע במהלך תחרות ריצת המרתון בבוסטון בחודש אפריל 2013, הסביר הלמקה במהלך הרצאה שנשא ב-8 בספטמבר במסגרת כנס בנושא אבטחת מידע ופרטיות של ארגון  HIMSS:
Healthcare Information and Management Systems Society.  
לאירוע גניבת המחשב הנייד:
מצלמות האבטחה סייעו לגורמי האכיפה בזיהוי ובמעצר של גנב המחשב הנייד. המחשב נגנב ממשרדו של רופא שקנה אותו זמן קצר לפני כן. אם כן מה הבעיה? המחשב לא אותר מעולם. התוצאה: חקירה יקרה מאד של צוותי פורנזיק ורגולטורים. המחשב הנייד כלל מידע על 3,900 חולים. הלמקה מסכם שאחרי תשלום של 600,000 דולר ופעילויות שנמשכו שנה ומחצה של תובע כללי והמשרד לזכויות האזרח אנו קרובים לחתימה על הסדר.
כתוצאה מהאירוע, המרכז הרפואי החמיר את מדיניות ההצפנה לכל המכשירים בבעלות המרכז הרפואי, כמו גם לרכיבים בבעלות פרטית המשמשים אותם במסגרת עבודתם (Bring Your Own Device - BYOD). חברי צוות במרכז הרפואי חייבים להצהיר כי רכיביהם האישיים מוצפנים לפני שמאושר להם שימוש בהם במסגרת העבודה.
Bombing Aftermath – תוצאות פיגוע הפצצה
לאחר הפיגוע במהלך ריצת המרתון, BIDMC טיפל בשני תריסרי נפגעים אך גם במבצעי הפיגוע עצמו. כתוצאה מכך, המרכז הרפואי נחשף לבחינה קפדנית של רגולטורים ממשלתיים וגורמי אכיפת חוק על מנת להגן על פרטיותם של המטופלים.
סרטים אדומים הוצמדו לתחנות העבודה של המשתמשים על מנת להזהיר את הצוות המטפל מפני פגיעה בפרטיות מטופלי ריצת המרתון שתוביל לפיטורם. המרכז הרפואי החמיר מאד את הגישה לרשומות ותיעוד הגישה וחקר כל מי שנחשד בפגיעה בפרטיות.  לאור הגישה האגרסיבית לא התבצעה בפועל גישה שאיננה הולמת.
הניסיון בטיפול באירוע החירום הניע את הנהלת המרכז הרפואי לשכור שירותי חברה חיצונית על מנת לבצע סקר ולקבל תמונה השוואתית בטיפול באבטחת מידע למול ארגונים במגזרי הבנקאות, משרד ההגנה, ומשווקים קמעונאיים בתחום המסחר המקוון.
תוצאות הסקר קבעו כי המרכז הרפואי דומה בחוסנו למרכזים רפואיים אחרים בארה"ב. זו איננה מחמאה גדולה, כדברי הלמקה.
כתוצאה מהסקר הארגון יישם מספר שינויים.
שינוי באופן שבו הארגון מנהל את הסיכון הפנימי. למרכז הרפואי לא הייתה שיטת ניהול סיכונים פורמלית. מצב זה היקשה על השוואה שנה על גבי שנה. במענה הארגון אימץ את האמור בפרק:
                                                                                               
A Framework for Managing Risk
במסמך:
           NIST 800-66 : An Introductory Resource guide for implementing HIPAA Security Rule
שינויים אחרים כוללים עדכון ניהול המשתמשים כך שיכלול סקירה קבועה של תפקידי המשתמשים (בפועל) כדי לוודא התאמת הרשאותיהם לגישה למידע וליישומים. תוכניות להגברת מחויבות ומודעות עובדים כוללות בחינה בפועל של העובדים באמצעות משלוח יזום של דוא"ל פישינג מתחזה על מנת לצפות מי מקליק ונופל במלכודת, כדי לספק לו הדרכה נוספת.
כתוצאה מגניבת המחשב הנייד שופרה האבטחה הפיזית באמצעות הוספת שומרים בכל המתקנים בשעות שלאחר הפעילות.
במהלך השנתיים הקרובות במרכז הרפואי יגדיל את מצבת כוח האדם העוסקת באבטחת מידע ב-14 עובדים נוספים. המנמ"ר משמש בתפקיד מנהל אבטחת המידע (בפועל) בשנה האחרונה לאחר שמנהל אבטחת המידע הקודם (מרק אולסון) עזב לארגון אחר.

Cloud Precautions –  זהירות בענן
צעד נוסף בהגברת אבטחת המידע הנו שימוש סלקטיבי בשירותים מבוססי ענן.
לדוגמה, נחסמת הגישה לDrop Box מכיוון שהספק איננו מוכן לחתום על הסכם שותף עסקי (Business associate), שהנה דרישה של HIPAA. המשמעות של ספק שמכריז על עצמו כ-שותף עסקי הנה שהוא מקבל על עצמו את דרישות חוק ה-HIPAA Security Rule. למשתמשים יש עכשיו בחירה של שני ספקי שירותי ענן לשמירה ושיתוף קבצים: מערכת אכסון ענן פנימית ושירותי צד ג' של ספק ששמו לא נמסר, אך אותו ספק הסכים לחתום על הסכם שותף עסקי – Business Associate כפי שחוק ה-HIPAA מחייב.
שופרו גם בקרות גישה לרשת על מנת למנוע גישה לרכיבים בלתי מזוהים. שימוש בזיהוי ביומטרי של טביעת בוהן Biometric thumb print authentication תוטמע על מנת לציית לדרישת הרגולציה של ה -Drug Enforcement Agency - DEA 
על מנת למנוע שיגור רשומות חולים באופן לא מאובטח באמצעות דוא"ל בין רופאים, מסמכים קליניים משוגרים באופן אוטומטי באמצעות פרוטוקול מאובטח: Direct secure messaging protocol.

תובנות שמסייעות
דן ברגר, מנכ"ל חברת האבטחה Redspin אומר שהנכונות של הלמקה לדון בבעיות האבטחה אצלו והלקחים שהפיק באירוע פומבי מסייעים למרכזים רפואיים אחרים.
כאשר אתה שומע לקחים אלו מארגון כמו BIDMC וממנמ"ר כמו ג'ון הלמקה אתה מפנים שאירועי אבטחת מידע הנם בלתי נמנעים גם בארגונים שבהם המנמ"ר הנו בעל חזון והתנהלות פרואקטיבית. אין זה ענין של ציות, אלא של ניהול סיכונים.

הערת המתרגם:
אין זו הפעם הראשונה שמנמ"ר זה פורס בפני הציבור אירועים שקרו ב-BIDMC והלקחים שהפיק. האירוע המפורסם ביותר היה בשנת 2002 עת קרסה מערכת התקשורת במרכז הרפואי והחזירה אותו בבת אחת עשרות שנים לאחור. את האירוע תאר מספר שנים מאוחר יותר בקישור הבא:

The CareGroup Network Outage