יום ראשון, 17 בנובמבר 2013

מאמר מתורגם – "קיר הבושה –Wall of SHAME" ארבע שנים אחרי: צבר האירועים – נתן להפיק לקחים חשובים



לאחרונה הכריז ארגון ה-ICS2 (International Information Systems Security Certification Consortium) על הסמכה חדשה, HCISSP. לכל מי שלא יודע הסמכת CISSP הנה ההסמכה הוותיקה והנפוצה ביותר בתחום אבטחת המידע בהיבט הכללי. ההסמכה החדשה הנה CISSP למגזר הבריאות.
נשאלתי, מדוע לספק הסמכה ייחודית למגזר זה?
אחת התשובות שיש באמתחתי הנה המאמר שאת תרגומו אביא להלן.

רקע:
בארה"ב קיימים שני חוקים חשובים העוסקים בהגנת פרטיות ואבטחת מידע למגזר הבריאות:
1. HIPAA – Health Insurance Portability and Accountability Act: כולל שני "תת חוקים". האחד לנושא הגנת הפרטיות והשני לנושא אבטחת מידע.
2. HITECH – Health Information Technology for Economic and Clinical Health act אשר נחקק כחלק מחוק רפורמת הבריאות של הנשיא אובמה. משדרג נושאים ב-HIPAA.
לאחרונה נוסף חוק שלישי (תוספת ל-HIPAA). ה-HIPAA OMNIBUS, אשר בין היתר מחייב "שותף עסקי – Business Associate" של מי שמחזיק רשומה רפואית פרטנית (לדוגמה ספק שירותי גיבוי או ספק שירותי ענן...) לציית לדרישות HIPAA.
אבל לענייננו המרכיב החשוב ביותר הנו חוק ה- Breach Notification Final Rule(שנחקק במסגרת ה-(HITECH מאוגוסט 2009, ואשר מחייב ישויות החייבות לעמוד ב-HIPAA לדווח למשרד הבריאות האמריקני על אירוע אשר פגע בפרטיות או באבטחה ובמהלכו התאפשרה גישה בלתי מורשית למידע הרפואי המוגן באופן שהשימוש או החשיפה מהוות סיכון משמעותי בתחום הכלכלי, התדמיתי או נזק אחר (HARM) לאדם שנפגע. גולת הכותרת הנה שכאשר מדובר בלמעלה מ-500 יחידים באירוע בודד, האירוע לא רק מדווח למשרד הבריאות אלא גם הופך לפומבי באתר האינטרנט של משרד הבריאות ("קיר הבושה – Wall of Shame") .
ללא קשר לכמות הנפגעים הפוטנציאליים בכל אירוע, החקיקה מאפשרת הטלת קנסות כבדים (עד מיליוני דולרים) באירוע בודד.
בספטמבר 2013 מלאו 4 שנים לכניסתו לתוקף של חוק ההודעה על אירוע פגיעה בפרטיות ואבטחת הרשומה הרפואית (Breach Notification Rule).

קישור ל"קיר הבושה - Wall of SHAME": http://www.hhs.gov/ocr/privacy/hipaa/administrative/breachnotificationrule/breachtool.html

קישור למאמר:
healthcareinfosecurity.com/wall-shame-four-years-later-a-6104



עתה נפנה לתרגום המאמר בסופו שלוש מסקנות/המלצות למנהלי אבטחת מידע ולמחוקקים/רגולטורים בישראל.

בארבע השנים מאז כניסתו לתוקף של חוק ההודעה על אירוע פגיעה בפרטיות ואבטחת הרשומה הרפואית (Breach Notification Rule), אושרו ע"י הרשויות הפדרליות כ-674 פגיעות משמעותיות אשר פגעו בכמעט 27 מיליון יחידים.
לקח אחד חד משמעי ב"קיר הבושה" של פגיעות משמעותיות הנו הערך של הצפנה כאמצעי מניעת פגיעה. למעלה ממחצית מכל הפגיעות המשמעותיות שדווחו מאז ספטמבר 2009 קשורות לאובדן או גניבה של רכיבים שאינם מוצפנים, בעיקר מחשבים ניידים.
אמצעי הימנעות מסיכון הבדוק ביותר הנו הצפנה, כך לדברי לאון רודריגז מנהל המשרד לזכויות האזרח (Office of Civil Rights, להלן OCR) במשרד הבריאות האמריקני. לדבריו קיימת הערכת יתר של עלויות וסיבוכיות של הצפנה.
רבים מהאירועים של פגיעה בהיקפים גדולים של רשומות, ו-22% מכל האירועים מערבים "שותפים עסקיים – Business Associates". דבר זה מצביע על הצורך של הגופים הנדרשים לעמוד ב-HIPAA )מוסדות רפואיים, הערת המתרגם) לנטר כיצד ספקיהם מממשים בקרות אבטחה יעילות. החשיבות של מרכיב זה גדלה לאחר שהם (השותפים העסקיים) הפכו כעת לאחראים ישירים לציית ל-HIPAA תחת ה-HIPAA OMNIBUS RULE.
בינתיים, כ-20% של הפגיעות ערבו "גישה בלתי מורשית", לעתים בכוונה לבצע מעילה. מה הלקח? להפעיל מדיניות המונעת מבעלי זכות גישה לחטט ברשומות של אחרים, ואם מוצאים שהם מבצעים פעילות כזו, לנקוט באמצעים נגדם. כך לדברי ג'וי פריטס, קצין הפרטיות הראשי במשרד המתאם של מערך ה-IT במשרד הבריאות האמריקני.
בנוסף להפקת לקחים מהסיבות שגרמו לפגיעות המשמעותיות, ארגוני בריאות יכולים ללמוד גם מפעילויות האכיפה שבהם נקט ה-OCR, לאחר מיצוי חקירה של אירועי פגיעה קטנים יותר בהיקפם או המעקב אחר תביעות הקשורות בהפרה של HIPAA. פעולות רבות כאלה מציגות את החשיבות של הערכת סיכונים ככלי לאיתור מוקדם של חולשות אבטחתיות היכולות לגרום לבעיות גדולות יותר.




מגמות ב"קיר הבושה"
ה-OCR, מוסיף את האירועים שפגעו ב-500 ומעלה יחידים לרשימתו, כאשר הפרטים מאומתים. ולמרות שמספר האירועים שבהם נפגעו רבים נמצא במגמת ירידה, מספר מגה-אירועים עדיין מתרחשים.
לדוגמה, נכון ל-27 בספטמבר 2013, דהיינו לפני כשישה שבועות, כ-81 אירועים שהתרחשו בשנת 2013 נרשמו ברישום הפדרלי, בהשוואה ל-160 בשנת 2012 וכ-165 ב-2011.
אבל למרות המספר הנמוך יחסית של האירועים ב-2013 עד לסוף ספטמבר 2013, מספר היחידים שנפגעו עומד המספר המדהים של 4.8 מיליון. הסיבה העיקרית לכך הינה אירוע אחד בודד: גניבת 4 מחשבים ניידים שלא היו מוצפנים מה-ADVOCATE HEALTH SYSTEM. באירוע בודד זה נפגעו כ-4 מיליון יחידים. (הערת המתרגם: אירוע אחד של 4 מיליון ו-80 אירועים המסתכמים בפחות ממיליון... אירוע אחד יכול לשנות את כל התמונה).
בהשוואה, בשנת 2012, 2.6 מיליון יחידים נפגעו מכל האירועים המשמעותיים ביחד, ובשנת 2011, בשנה שבה התרחשו 8 מגה-אירועים נפגעו למעלה מ-11 מיליון יחידים.
ישנם המצפים שכמות האירועים המדווחים תעלה בעקבות כניסתו לתוקף של ה-Hipaa Omnibus Rule. הסיבה לכך היא שה-Hipaa Omnibus Rule שינה את ה-Hipaa Breach Notification Rule. התקן להודעה על פגיעה השתנה מהערכה האם אירועי עלול להסתיים בפגיעה משמעותית בהיבטים כספיים, תדמיתיים או פגיעה אחרת ליחיד, להערכה אובייקטיבית יותר שאירוע חייב בדיווח אלא אם כן קיים סיכוי נמוך שמידע נחשף.
אני מצפה שביטול מרכיב הפגיעה (HARM) ויישום הערכת סיכונים על מנת לקבוע סיכון לחשיפת מידע... ישפיע משמעותית על עלייה בדיווחים על אירועים ל-OCR..." כך לדברי דנה בוגאן, קצינת HIPAA לאבטחת מידע ופרטיות בביה"ח סט. דומיניק ג'קסון במיסיסיפי.

אירועים יקרים
חקירות פדרליות של מספר אירועים המצוינים ב"קיר הבושה" הסתיימו בהסדר כספי משמעותי (קנסות) כחלק מהסדרי הטיעון. ביניהם נתן למנות את הקנסות הכספיים הבאים:
1. קנס בגובה 1.7 מיליון דולר שהוטל על חברת הביטוח WellPoint,
2. קנס בגובה 1.5 מיליון דולר שהוטל על מרפאת עין ואוזן במסצ'וסטס.
3. קנס בגובה 1 מיליון דולר שהוטל על ביה"ח הכללי במסצ'וסטס.
אבל, בסמכות ה-OCR לאכוף ענישה גם בעבירות על HIPAA אשר הנם קטנות מדי בהיקפן ועל כן אינן מצדיקות פרסומן ב"קיר הבושה".
בחודש ינואר 2013, ה-OCR פרסם את הסדר הטיעון הראשון המקושר לאירוע שהשפיע על פחות מ-500 יחידים, אירוע שאיננו מתפרסם ב"קיר הבושה". האירוע התבטא בגניבת מחשב נייד שלא היה מוצפן ובו מידע על 441 מטופלים מההוספיס של צפון איידהו. ההוספיס נאלץ לשלם קנס בגובה 50,000 דולר על מנת להסדיר את הפרשה למול ה-OCR.
חשוב לציין שההסדרים כוללים לא רק קנסות כספיים אלא גם התחייבות לתקן את הפגמים שבעטים אירעה הפגיעה ולבצע סקרי סיכונים מקיפים על מנת לאתר את כל החולשות ולטפל בהן (הערה של המתרגם).

תחת ה-Hipaa Omnibus, קנס עבור הפרה בודדת עלול להגיע ל-1.5 מיליון דולר. רודריגז מנבא שה-OCR יגדיל את "הקנסות המנהליים – Civil Penalties" (קנסות שאינם מהווים ענישה פלילית) כאשר תתקדם האכיפה של ה-HIPAA Omnibus.
הקנס הגבוה ביותר שהוטל ע"י ה-OCR, והקנס המנהלי היחיד עד כה, לא היה חלק מ"קיר הבושה". באירוע זה, ה-OCR השית קנס של 4.3 מיליון דולר על Cignet Health לאחר שלא סיפקו גישה למידע הרפואי למטופליהם, והגדילו עשות כאשר לאחר מכן, גם לא שיתפו פעולה בחקירת ה-OCR.

הבהקי אכיפה
פיל קוראן, מנמ"ר ביה"ח האוניברסיטאי קופר בקמדן, ניו ג'רסי, אומר שבחן את הסדרי הטיעון של OCR על מנת להבין אלו חולשות אבטחתיות זוהו על ידם ומהן הפעולות המתקנות שהומלצו.
המלצתו: בחן האם ישנם דברים שה-OCR המליצה עליהם (כפעולות מתקנות) במקרים אחרים. לדוגמה, לקח חשוב מפעולות מתקנות רבות הנה החשיבות של הערכת סיכונים.
פעילות אכיפה שבוצעה בחודש אוגוסט ע"י ה-OCR המדגימה את חשיבות הערכת הסיכונים פורסמה במסגרת הסדר הטיעון עם Affinity Health Plan, חברה ניו יורקית לניהול טיפולים רפואיים. החברה הסכימה לשלם קנס בגובה 1.2 מיליון דולר על מנת לסיים הטיפול באירוע משנת 2010 אשר פגע ב-345,000 יחידים אשר נתונים עליהם נחשפו על דיסקים קשיחים של מכונות צילום אשר הוחזרו לחברת ההשכרה.
שוב ושוב OCR מוצאים בחקירותיהם שבצוע סקר הערכת סיכונים מעמיק לוקה בחסר, מציין רודריגז. סקר כזה נדרש שיכלול הערכה היכן עשויה להימצא רשומה רפואית מזוהה פרטנית (PHI - Personal Health Information), קביעת הפגיעויות וצמצום הסיכונים.
לדוגמה, אי בצוע סקר מעמיק של הערכת סיכונים, עומד לעתים מאחורי העדר ההצפנה של רכיב שנגנב או אבד. התוצאה לדברי רודריגז הנה דיווחים רבים על פגיעות. (לו היה מוצפן, לו היה צורך לדווח על פגיעה. הערת המתרגם.). ישויות אשר לא בצוע הערכת סיכונים כנדרש כשלו בבצוע ההצפנה מסכם את הנושא רודריגז.
למרות שרוב האירועים קשורים לרכיבים שאבדו או נגנבו, חלק מהאכיפות המבוצעות ע"י
ה-OCR התמקדו ב"חשיפות שערורייתיות", כגון חיטוט ברשומות רפואיות של מטופלים ע"י אנשי הצוות הרפואי.
לדוגמה, ביולי 2011, המרכז הרפואי באוניברסיטת לוס אנג'לס (UCLA Health System), הסכים לשלם קנס בגובה 865,000 דולר ולהתחייב ליישם פעילות מתקנת שמטרתה לסגור פערים בציות ל-HIPAA. שני מטופלים סלבריטאים טענו שעובדים במרכז הרפואי חזרו וצפו ברשומותיהם הרפואיות, כמו גם ברשומות של מטופלים אחרים, ללא רשות.
אירועים כאלו מתרחשים כאשר לא קיימים אמצעים טכנולוגיים להבטיח שמי שניגש למידע הנו מורשה אליו מסכם רודריגז.

עד כאן התרגום הכולל פה ושם מספר הערות שלי.

לסיכום ולהתייחסות למנהלי אבטחת מידע, למחוקקים ורגולטורים בישראל:

1. חקיקה או רגולציה נאותה הנה הבסיס ההכרחי להגנה על הפרטיות וליצירת מסגרת ליישום אבטחת מידע.
2. פרסום מידע על אירועי אבטחת מידע ופגיעה בפרטיות ע"י גורם ממשלתי מוסמך הנו כלי חשוב באכיפת הדרישות הכלולות בחקיקה/רגולציה, וגם מספקת אפשרות הפקת לקחים לכלל המגזר כדי להימנע מטעויות שנעשו ע"י אחרים.
במגזר הבריאות בישראל משרד הבריאות מחייב את יישומו של תקן אבטחת מידע בבריאות, תקן 27799. במסגרת תקן זה קיימת דרישה המקבילה בחלקה ל-Breach Notification Law (בחלקה כיוון שהדיווח הנו לקורבן הפגיעה אבל לא לרגולטור, ללא פרסום פומבי או צעדי ענישה). אך גם דרישה מצומצמת זו איננה מעשית, כל עוד לא קיימת במדינת ישראל תשתית חקיקתית מחייבת לעניין זה.
בשלב זה אני ממליץ למנהלי אבטחת המידע להתייחס לדוחות מבקר המדינה בישראל בנושאי אבטחת מידע כמקבילה לדוחות האכיפה של ה-OCR. נתן למצות מהם את הבעיות שהתגלו ולהפנות שאלה לעצמך בסגנון הבא:
לו הארגון שאני משמש בו מנהל אבטחת המידע היה הארגון המבוקר, מה היה נכתב עלי בדוח?
התשובה הנה בסיס טוב וריאלי לתוכנית עבודה על מנת שכאשר תתבצע "ביקורת אמת", התוצאה תהיה טובה יותר.
3. הטלת קנסות גבוהים בצמוד לחובת ביצוע פעילות מתקנת מהווים בדרך כלל אמצעי יעיל, למרות שאירוע בודד עלול לקלקל את הסטטיסטיקה. מדינת ישראל מפגרת מאד בנושא זה.

תגובה 1:

  1. תיקון טעות:
    ההסמכה החדשה הנה :
    HCISPP℠ - HealthCare Information Security and Privacy Practitioner

    ולא כפי שנרשם בטעות: HCISSP.

    יאיר

    השבמחק