יום ראשון, 10 בינואר 2016

לקחים מהפריצות הגדולות בתחום הבריאות בשנת 2015 והערות המתרגם


כותרת חלופית: אלו אמצעי מניעה על ארגוני הבריאות לקדם בשנת 2016?
קישור למאמר המקורי:

עד כמה הייתה השפעת פעילותם של האקרים משמעותית במגזר הבריאות בשנת 2015?

בתשע מתוך עשרת האירועים הגדולים בשנת 2015 ברשימת ה-Wall of Shame"" של משרד הבריאות האמריקני המתעדת חשיפה של מידע אישי/אישי רפואי שהתרחשה במוסדות הבריאות בארה"ב ובגורמים עסקיים הנלווים להם, מעורבת תקיפת האקרים.
מדובר בשינוי ענק לעומת השנים שעברו שבהן תקיפות האקרים היו יחסית נדירות.

התקיפה הגדולה ביותר בשנת 2015, תקיפת סייבר על מבטח הבריאות Anthem Inc.  פגעה בכ-79 מיליון איש, ובכך הפכה להיות הפריצה החמורה ביותר הרשומה ב-"Wall of Shame", שתחילת הרישום בו בספטמבר 2009. ששת תקיפות ההאקרים הגדולות גרמו לדלף מידע של מעל 90 מיליון אנשים.

תקיפות ההאקרים מונות רק 11% מכלל האירועים הרשומים ב-Wall of Shame"", אך במסגרתן נחשפו רשומות של 75% מכלל הקורבנות. בשנת 2015 נוספו 56 תקיפות האקרים לרשימה, תקיפות שבהן נחשף מידע על 112 מיליון אנשים.

תמונת מצב נכון ל-31.12.2015 מציגה סה"כ 1,425 אירועים בהם הושפעו מעל 154 מיליון אנשים. מספר זה גדול פי שלושה ויותר, ממספר הקורבנות עד לפני שנה. זו התוצאה המבהילה של תקיפות האקרים מסיביות.

לקחים להפקה
אם כך, מהם הלקחים העיקריים מהמגפה של המגה-תקיפות בשנת 2015?
על ארגוני הבריאות להתבגר בהתייחסותם לנושא ההגנה בעידן הסייבר. ארגוני בריאות קטנים רבים רק מסמנים "וי" ברשימת תיוג לציות לחוק ה-HIPAA. יחד עם זאת מעניין לציין שהתקיפות הגדולות התרחשו דווקא בארגוני גדולים בהם מצופה שרמת הבשלות של יישום הגנת הסייבר תהיה גבוהה. הצלחת תקיפות האקרים בארגונים כאלה מצביעה על הצורך בניהול סיכונים מתמשך. סיכוני "הסייבר" אינם לגמרי חדשים, אך ההזדמנויות שהם מאפשרים להאקרים משתנה וסיכונים חדשים נוספים. הגנת סייבר שמבוצעת עקב חובת ציות רגולטורית, או כצורך עסקי אסור שתהיה מקובעת, היא חייבת להיסקר ולהשתפר באופן מתמשך.

הצורך במבדקי חדירה – Penetration Testing
תקיפות הסייבר בשנה החולפת מצביעים על צורך דחוף לשפר את מערכת מבדקי החדירה ולבצעם בתדירות קבועה.
נדרש  שישויות במגזר הבריאות כולל עסקים נלווים (Business Associates, ישות שהוגדרה בתוספת לחוק ה-HIPAA שנכנס לתוקף בשנת 2014), יצייתו לתקנים המחמירים יותר מאשר אלו הקיימים בחוק ה-HIPAA SECURITY. ע"פ ה-Wall of Shame"", עסקים נלווים היו מעורבים בכ-20% מכלל האירועים.
מגמה שנצפתה היא שעסקים נלווים מגלים את היתרונות שבניהול סיכונים כנגד יותר משיטה/תקן אחד, כולל HITRUST, SOC, ISO, PCI. בשיטה זו הם מבדלים עצמם כדי להגדיל את רווחיהם. משמש אותם כמכשיר שיווקי שבאמצעותו הם מציגים את רמת הגנת המידע הגבוהה שלהם. דבר זה נכון גם לגבי ספקי שירותי ענן למגזר הבריאות.

צעדים נוספים שיש לנקוט בהם
שילוב מידע בין ארגונים ועסקים נלווים במגזר הבריאות. זה כולל גם צינורות דיווח מסודרים, מי מדווח, למי מדווחים, מה מדווחים, מתי מדווחים. חשוב לדווח גם על חשד לאירוע, גם אם יתברר בסוף שהיה חשד שווא.
חשיבות רבה לתרגל תקיפות מסוג "הנדסה חברתית", על מנת למנוע הצלחתן של מתקפות דיוג
(
Phishing). מתקפות אלו עומדות בתדירות גבוהה במרכזם של אירועי תקיפה גדולים.
ממצאים של תרגולים אלו עשויים ללמד שנדרשת הדרכה פנים ארגונית יעילה יותר.
על ארגוני בריאות לשלב מרכיבי הגנת סייבר מקובלים כגון פתרונות מתקדמים לאיתור ומניעת חדירות יחד עם מערכות ניטור לוגים. אך על הארגונים לוודא שיש בידיהם המשאבים הנדרשים על מנת לבצע את הניטור הנדרש באופן מתמשך.

צופה עתיד

מגפת תקיפות הסייבר תמשיך. פריצות אלה ימשיכו בהיקפים גדולים, וגם יתפסו תשומת לב תקשורתית מכיוון ש"אורך חיי מדף" הנו ארוך, עקב סיבוכיות בהליך הניקוי שאחרי אתור המתקפה והליכי האכיפה והענישה שעלולים להתרחש אפילו מספר שנים אחרי התגלות האירוע לראשונה. כך הוא חוזר לכותרות שוב ושוב.
אירועי תקיפה יתגברו עקב החשיפה של המגזר לInternet of Things"", האינטרנט של הדברים,
הערך העולה של מידע רפואי מוגן ורשומות רפואיות אישיות בשוק השחור המחתרתי שעושה בהם שימוש בפשעי גניבת זהות והונאות מתדלק את העלייה בתקיפות.
נראה יותר ארגוני בריאות רוכשים כיסוי ביטוח סייבר. אותם המבטחים ידרשו מארגוני הבריאות רמת הגנת סייבר גבוהה במידה מספקת.

הערת המתרגם:

מדוע מצליחים ההאקרים גם בארגונים שבהם מצופה שהגנת הסייבר תהיה טובה במידה מספקת? כי הם לכאורה "מצייתים לדרישות החוקים הרלוונטיים".
מאז תחילת העשור הקודם פשטה התפישה ש"ציות לחוק/רגולציה = הגנה נאותה". ככה עם SOX, PCI, HIPAA  ועוד אחרים. פעם אחר פעם תפישה זו נוחלת כישלון חרוץ. במקום להפסיק להיצמד ל"ציות לשם ציות" עדיין ממשיכים באותו הקו.
החקיקה או הרגולציה תמיד תפגר אחרי ההתפתחות הטכנולוגית ואחרי היזמות הארגונית. הגנת סייבר נאותה אסור שתיצמד לחקיקה/רגולציה. היא צריכה להיצמד לתהליכי השינוי היכן שהם מתרחשים.

היכן מתרחשים תהליכי השינוי? בשני מקומות/תהליכים עיקריים:

1.        יצרני טכנולוגיית סייבר לרכיביה השונים, חומרה, קושחה, תוכנה. מוצרי טכנולוגיית סייבר ועל אחת כמה וכמה בעידן IOT, חייבים שיהיו מורכבים כאשר הגנת סייבר משולבת בתכנונם ובייצורם. מדובר בהנדסת חומרה ותוכנה משולבת יד ביד עם הגנתה. בעידן שבו האזרח או הארגון ירכוש מוצרי IOT, החשיבות של הגנת סייבר מוטמעת בתכנון ובייצור עולה פי כמה מונים.

2.        תהליכי הרכש השונים והטמעת רכיבי טכנולוגיית סייבר חדשים/מעודכנים בארגונים. הרכש עשוי להיות עבור הארגון או שהרכש הוא שירות שהארגון רוכש והשימוש בו ייעשה ישירות ע"י הלקוח של הארגון. תהליך שנעשה נפוץ יותר ויותר דווקא בארגוני בריאות, שבו ארגון הבריאות רוכש שירותי בריאות מספק חיצוני, ואלו מסופקים ע"י הספק ישירות למטופל של ארגון הבריאות.

הWall of Shame"-" הוא כינוי לאתר משרד הבריאות האמריקני שבו מתועדות הפריצות שבהן נחשף מידע אישי/רפואי-אישי על יחידים. בכל אירוע נחשף מידע על לפחות 500 יחידים.   https://ocrportal.hhs.gov/ocr/breach/breach_report.jsf