מאת גלעד ירון – סמנכ"ל SECOZ IT Governance, Risk & Compliance (IT GRC)   כמעט בכל ארגון בריאות מודרני קיימות מערכות מידע ממוחשבות אשר מנהלות את תיקי החולים, בדיקות מעבדה, מכשור רפואי ומאגרי מידע רפואי . מידע זה הינו רגיש ביותר. פגיעה בו יכולה לגרום לנזק שעלול לעלות בחיי אדם. כמו כן חשיפת מידע רפואי תפגע בפרטיות החולה.   הקונגרס האמריקאי העביר חוק המכונה HIPAA. מטרת חוק זה היא לקבוע צורה אחידה של העברת מידע בין ארגוני הבריאות השונים ולהגן על החולים מפני גישה בלתי מורשה אל המידע השמור עליהם. תקנה זו קובעת כי על כל פעולה אלקטרונית הקשורה לשירותי בריאות לעמוד בדרישות אשר הוגדרו. חלק נכבד מן החוק מטפל בהיבטי אבטחת מידע.   ארצות רבות בעולם, ובכללם ישראל, צפויות לאמץ את החוק, או לפחות את רוחו.   להלן הדרישות המרכזיות ב HIPAA כפי שהן מופיעות בתקנה :   מינוי אחראי אבטחת מידע: על הארגון למנות מנהל אבטחת מידע האחראי על פיתוח ויישום נהלי אבטחת המידע בארגון. מומלץ כי אדם זה יהיה כפוף לסמכות בחירה בארגון ולא למחלקת המחשוב. איש זה אינו חייב להיות (ויש הגורסים כי כדאי שלא יהיה) איש מחשבים. עליו להבין את המשמעות העסקית/תפעולית של המידע ואת המשמעות (בכסף ו/או בחיי אדם) של המידע הנמצא בארגון.     סקרי סיכונים תקופתיים: על הארגון לנתח ולנהל את הסיכונים באורח קבוע. מקור הסיכונים עשוי להיות פנימי וחיצוני. כלים אוטומטיים לבחינה של סיכונים טכנולוגיים כוללים בחינה של עמידה בנהלי אבטחת המידע של הארגון), סקר סיכונים אוטומט מבוסס מצאי וגילוי חדירות ברמת הרשת     נהלי מעקב וטיפול באירועים:HIPAA  דורשת קביעת נהלי עבודה למעקב ותגובה על אירועים חריגים (Incident Procedures). ניתוח אירועים חריגים מצריך איסוף התרעות ממקורות שונים ובכללם אפליקציות, מערכות הפעלה, ציוד תקשורת ואבטחה וכדומה. על למנת להתמודד עם כל ההתראות הללו יש לאסוף אותן למקום מרכזי. איסוף סתמי של כל מקורות המידע הללו עלול לגרום לאוסף מרשים של נתונים – אך נתונים חסרי משמעות. יש לבצע סינון ונרמול של הנתונים. לעיתים רק אוסף של התרעות מצביע על אירוע אבטחה. יש צורך בכלי המאפשר לענות על כל הדרישות הללו     ניהול משתמשים מבוסס תפקידים: כדי לאפשר מעקב ופיקוח על כוח האדם העובד בארגון, דורש הנוהל להגדיר סט של תפקידים ועל פיהם להגדיר הרשאות. כל עובד ישויך לתפקיד כזה ומכאן יגזרו הרשאותיו במערכות השונות. לאחות, למשל, יהיו הגדרות שונות מאלו של רופא מנתח. שלב התכנון במשימה זו הינו קריטי: יש לנתח בצורה יסודית ורצינית את התפקידים השונים בארגון ואת המערכות אליהן צריך לגשת בעל כל תפקיד. מומלץ לנסות לצמצם את מספר התפקידים ככל שניתן. בעת עזיבת העובד את מקום העבודה או כאשר הוא מחליף תפקיד יש לדאוג לבטל הרשאותיו בכל המערכות ובמידת הצורך להגדירו במערכות הרלוונטיות לתפקידו החדש.     הזדהות אחידה: הנוהל דורש הזדהות מול מערכות קריטיות של הארגון. אחיות, רופאים וצוותים רפואיים אחרים נאלצים לגשת לציוד ומערות רבות במהלך עבודתם. ניתן להוסיף לכל אפליקציה ולכל שירות הזדהות, אך הדבר עלול לפגוע בתפקוד של שירותי הבריאות (וכן להרגיז את הרופאים, שאינם, כידוע, לקוחות קלים.... כיצד אוכלים אצת העוגה ומשאירים אותה שלמה? מערכת המאפשרת הזדהות חד פעמית ודואגת כי מי שהזדהה מולה יכנס באופן אוטומטי לכל האפליקציות נותנת מענה לדרישה זו. חשוב, כמובן, שההזדהות הראשונה תהי חזקה מספיק, שהמערכת תתמוך בכל אפליקציה בין שהיא מסחרית או ייעודית והיא תהיה קלה לתפעול והתקנה     ניהול הרשאת גישה:על מידע רפואי להיות מוגן מפני גישה של גורמים בלתי מורשים. אין להרשות לאיש, כולל מנהלי המערכת והמפעילים שלה, לגשת למידע רגיש זה. ניהול מרכזי של הגישה אל המשאבים על פלטפורמות המחשוב השונות הינו חיוני. יש להגן על המידע מפני פגיעה במזיד או בשוגג.       בקרה מרכזית: יש לעקוב ולרשום גישה למשאבים מוגנים כך שיהיה ניתן להפיק דוחות מלאים על הגישה אליהם, הן בזמן אמת והן לאחר מעשה.       הגנה מפני קוד עוין: התקנה מציינת במפורש את הצורך להגןעל הארגון מפני על המידע מפני תקיפה של קוד עוין. מקוגל להכליל בקטגוריה זו טכנולוגיות שונות ובכללם אנטי-וירוס, אנטי-SPAM, הגנה על דפי רשת, הגנה מפני קוד עוין כגון JAVA ו ACTIVEX וכולי. חברת CA מאמינה כי כל הקטגוריות הללו הינן היבטים שונים של אותו אתגר: ניהול מאובטח של תכנים ועל כן היא מציע פתרון אחד הכולל את כולם       מעקב אחר ציוד ומדיה אלקטרונית:   על הארגון לקבוע מדיניות המבטיחה מעקב אחר כל הציוד האלקטרוני בארגון. הזזה בלתי מורשית של הציוד, התקנה של תוכנות לא מורשות על ציוד רפואי או חיבור ציוד למקום שאינו מיועד לו עלול לגרום נזק. ניתן לבצע מעקב ממוחשב אחר ציוד ותוכנות        גיבוי והתאוששות: המידע נמצא בלב ליבה של כל מערכת רפואית. פגיעה במידע, במזיד או בשוגג, עלולה להזיק באורח מידי לתפקודו של הארגון ולגרור בעקבותיה פגיעה בחיי אדם. חובה על הארגון לדאוג למערכת ולתוכנית גיבוי למידע הקריטי בארגו. יש לקחת בחשבון כי המידע נמצא במערכות שונות ובאפליקציות שונות. גיבוי ל מערכת אחת בלבד אינו מספיק. בעת צרה עלול להיפגע מידע שמקורו ביותר ממערכת זו. חשוב לתרגל את מערך הגיבוי והשחזור בתדירות קבועה. נדרשות מערכת ניהול מרכזית לכל מערכות הגיבוי בארגון

גרסה להדפסה       שליחה לחבר