"ארגונים יושבים על רולטה רוסית: הם כבר נפגעו – או ייפגעו"

"בעולם הרפואה, המידע הרגיש נמצא על מערכות רבות, לא רק הקליניות, מה שמקשה על אבטחת המידע. ארגונים יושבים על רולטה רוסית, היא מסתובבת, טרם פגעה – אבל ברור שהפגיעה בוא תבוא מתישהו. הגנת מידע רצינית צריכה לעסוק ב'רפואה מונעת'", כך אמר איציק כוכב, ממונה הגנת הפרטיות, המידע והסייבר, שירותי בריאות כללית.

כוכב דיבר היום (ב') בפורום CSC מבית CISO של אנשים ומחשבים. את המפגש הנחה אבי ויסמן, מנכ"ל שיא סקיוריטי.

לדברי כוכב, "נדרש להפנים שאבטחת מידע זו תרבות ארגונית, אין קיצורי דרך בפיתוח תהליכים בהם לא שולבו תפיסות ומוצרי אבטחה מלכתחילה".

את ישראל תיאר כוכב כ"מדינה בעלת מתח ביטחוני, ריבוי קבוצות אתניות והיעדר משאבים ולכן עונה להגדרת 'מדינה בעלת עומס יתר חברתי'. זה מביא לזלזול בנורמות ובחוקים, לביקורת ואכיפה מוגבלות, למודעות נמוכה להגנת מידע. יש סקרנות, חטטנות ורכילות, יש פגיעה בפרטיות. כל זה מוביל ליחס נמוך למידע פרטי של אדם. אין רגולציה, יש אכיפה קלושה לתחום עם ענישה לא פרופורציונלית. המשתמש 'שובב' – עושה כרצונו בתחנת העבודה. אין תקציב מסומן לאבטחת מידע, אין כמעט חינוך לתחום, קיימת יראה מתהליכי בקרה".

נתיב המידע

לשירותי בריאות כללית, אמר כוכב, "יש יותר מארבעה מיליון מבוטחים, המהווים 54% מהאוכלוסיה. תקציב הארגון, שהוא ציבורי ולא ממשלתי, עומד על 20 מיליארד שקלים בשנה. אנו ארגון הבריאות השני בעולם בגודלו, עם 40 אלף עובדים, מהם 9,000 רופאים, יותר מ-12 אלף אחיות, 14 בתי חולים, 54 מכוני דימות, 420 בתי מרקחת, 67 מעבדות, 55 מכוני תרפיה ו-1,300 מרפאות קהילה".

בהיבט המחשוב, אמר כוכב, "יש לנו את רשתות התקשורת המורכבות במדינה לאחר אלו של צה"ל. יש 500 אנשי IT, כ-40 אלף תחנות קצה, 5,000 שרתים, 200 מערכות מידע, 6,000 בסיסי נתונים, 15 מיליון שיחות לקול סנטר בשנה, ומערכת BI המשרתת 7,000 עובדים".

"יש מורכבות במימוש אבטחת מידע בארגון גדול", אמר כוכב ותיאר את "נתיב המידע", הכולל עשרות אנשים, גופים ומערכות המטפלים במידע של המבוטחים: קבלה, מיון, מעבדה, סניטרים, מחלקה וצוות מחלקה, עובדים סוציאליים, דימות, עולם פרה-רפואי, משפחה וציבור המסתובבים בחדר, מרפאות-חוץ, בנות שירות ומתנדבים, רוקחות, מכונים ואנשי כספים. לצידם, ציין, "יש אנשי IT – פנימיים וחיצוניים – שיכולים לראות את כל המידע".

המנהלים הם האחראים

"מנהל אבטחת המידע צריך להיות פוליטיקאי", ציין כוכב, "עליו להכיר את המנטליות השונה של המנהלים השונים, עליו לפעול מול ועדי העובדים. הגנת מידע זה לא טכנולוגיה – אבטחת מידע זה יישום של הגנת מידע בהיבט הטכנולוגי".

בעולם הרפואה, אמר כוכב, "יש חששות לגבי שני איומי אבטחה. האחד, גניבה, או שיבוש מידע. השני, פגיעה במערכות מידע, ובמערכות תומכות חיים, כגון פגיה, בנק דם, טפטפת נוזלים, מכונת הנשמה ועוד".

"אסור שמקומו של מנהל הגנת המידע יהיה ב-IT בארגון", סיכם כוכב. "נדרשת ראייה כלל-ארגונית, שמנהל האבטחה יכיר ויהיה שותף בתהליכים, ושהאבטחה תשולב בהם".

"מקום מנהל הגנת המידע הוא בהנהלה. חייבת להיות מדיניות המחברת את כל העושים בארגון. על מנהל הגנת המידע לבנות אסטרטגיה לתחום. הוא נדרש למעורבות אינטימית עם התהליכים הארגוניים, עליו להיות פוליטיקאי. עליו להבין שהוא אינו אחראי להגנת המידע – המנהלים הם האחראים".

"הרגולציות לתחום צריכות להיות מעוגנות בחוק. נדרשת בקרה בונה על אנשי ה-IT. האבטחה הקלאסית כללה אמינות, זמינות וסודיות. אני טוען שהשיטה כשלה – כי יש פריצות ומערכות המידע לעולם תיפרצנה. אבטחת המידע דורשת תפקיד נוסף, והוא בקרה על המידע".