"יש לטפל בתשתיות כדי לחזק את ההגנה על המידע הרפואי"
"ארגונים צריכים לשלב הגנת מידע בתהליכים שנעשים בתוכם ובעיקר לפתח כלי בקרה לתגובה בזמן אמיתי", אמר איציק כוכב, הממונה על הגנת המידע בשירותי בריאות כללית, בראיון משותף עם אבי וייסמן, מנכ"ל שיא סקיוריטי ● לדברי כוכב, "אבטחת המידע בעולם הבריאות צריכה להיות רפואה מונעת ולא מטפלת"
השבוע צוין סיום קורס מנהלי הגנת מידע בשירותי בריאות כללית, שהועבר על ידי שיא סקיוריטי. מדוע יש חשיבות מיוחדת לתפקיד זה בארגוני בריאות?
כוכב: "קודם כל, משום שיש בכל פינה במערכת הבריאות הרבה מאוד מידע, כולל המידע הרפואי הרגיש של האדם, וצריך לשמור עליו. הוא נמצא במקומות רבים: למשל, בתיקים רפואיים, במכשור רפואי, אצל רופא הקהילה ובמקצועות הפרה רפואיים. לכן, אבטחת המידע בעולם הבריאות מורכבת לאין ערוך יותר מכל מערכת אחרת במשק".
איך נולד הצורך בקורס?
כוכב: "החלטנו לפני תשע שנים שלשירותי בריאות כללית כולה, כולל כל בתי החולים והחברות הבנות, יהיה תקן ISO לאבטחת מידע. במהלך התהליך זיהינו שיש צורך בכל בית חולים ומחוז במנהל הגנת מידע, כי אין מי שירכז את הפעילות ברמת המוסד. לכן, החלטנו לצאת להכשרה של אנשים שישמשו בתפקיד. מנכ"ל הכללית קבע שנהיה סמן ימני בכל הקשור להגנת מידע.
בנוסף, העולם הולך לרפואה מקוונת. זה דורש רמת הגנת מידע מאוד הדוקה, כדי שמידע רפואי לא ייחשף ברשת בכלל וברשתות חברתיות בפרט.
ככלל, חוט השני שמחבר את הפעילות שלנו הוא פרטיות האדם. יש בשירותי בריאות כללית כמויות עתק של מידע רפואי רגיש של אנשים ובנוסף, ב-10 השנים האחרונות יש עלייה תלולה של פגיעויות במידע ובמערכות מידע, כמו גם חברות ענק בעלות אינטרסים לקנות ולהשיג מידע רפואי, למשל גוגל (Google), דל (Dell) ויבמ (IBM). כל זה יצר מצב שאנחנו צריכים לייצר מעגלי הגנה על המידע של האדם".
מה כוללת תוכנית הלימודים?
וייסמן: "מדובר בתוכנית לימודים שנבנתה עבור משרד הביטחון עד 2005, בתחילה כתוכנית סגורה למשרד. מאז היא התאזרחה. עד היום השלימו את לימודיהם 34 מחזורים בארגונים שונים ועוד שלושה 'רצים' כיום.
זאת תוכנית לימודים אקדמית שנתית, שנמשכת 10 חודשים. מגיעים אליה אנשי מקצוע מענף אבטחת המידע, שרוצים להכשיר את עצמם לאחד משלושה מקצועות: ארכיטקט סייבר, מתודולוג סייבר והשילוב ביניהם – CISO. היא נחשבת למתישה, תובענית ועם המון דרישות".
הטענה היא שיש שינוי בתפיסת מעמדם של אנשי אבטחת המידע בארגונים. למה הכוונה?
כוכב: "איש אבטחת מידע נתפס עד לפני מספר שנים כאדם בתוך עולם ה-IT. כיום, יותר ויותר ארגונים מבינים שמדובר בתחום ניהולי ומאחר שמנהל צריך להסתכל על כל התמונה הארגונית, הוא צריך להיות חלק אינטגרלי מהנהלת הארגון. כך הבינו גם בכללית. זה לא תחום ה-IT ולכן החשיבות בקיומו של הקורס, שזה כבר המחזור השלישי שסיים אותו".
האם המדינה מטפלת מספיק טוב בהגנה על המידע הרפואי של הציבור?
וייסמן: "אני רותח על אוזלת היד של המדינה בתחום, לפחות זו שהייתה עד לאחרונה. עד הקמת המטה הקיברנטי היה זלזול רב בתחום. אין תרבות ארגונית של אבטחת מידע אפילו בארגונים כמו משרד הביטחון".
כוכב: "אחת הבעיות המרכזיות בישראל היא שעדיין אין רגולציה אחידה בתחום אבטחת המידע וכל אחד עושה מה שבא לו. עכשיו זה מתחיל לקרום עור וגידים, ויש לקוות שהעניין יסתדר. יצוין שאנחנו הדבקנו את כל מערכת הבריאות בצורך בהשגת תקן ISO 27799, שלנו כבר יש. מנכ"ל משרד הבריאות הוציא הוראה שמחייבת את כל ארגוני הבריאות והספקים לתקן ה-ISO הזה".
מהי הדרך הכי טובה לטיפול בהגנה על המידע במערכת הבריאות?
כוכב: "פתרונות טכנולוגיים לאבטחת מידע יש למכביר והם טובים. מאידך, מערכות מידע ממשיכות להיפגע. לכן, הפתרון שצריך אותו הוא לטפל בתשתיות. יש לטפל בתשתיות כדי לחזק את ההגנה על המידע הרפואי, כלומר: לשלב הגנת מידע בתהליכים הארגוניים ובעיקר לפתח כלי בקרה לתגובה בזמן אמיתי. אבטחת המידע בעולם הבריאות צריכה להיות רפואה מונעת ולא מטפלת".
תגובות
(0)