הסמכת בתי החולים של משרד הבריאות לתקן אבטחת מידע ISO 27799 – יומן מסע

מאת: יריב יפרח, סמנכ"ל פרויקטים, אורנסק אבטחת מידע

בוקר יום רגיל לחלוטין. ג', נער בן 17, מוציא את הטלפון הסלולארי שלו ומצלם את כל חבריו המשתוללים סביבו. ג' אף הגדיל לעשות ומתייג את שמות חבריו שנתפסו בעדשת המצלמה. תוך שניות בודדות מועלה הסרטון לרשתות החברתיות. לכאורה, אין כל דבר מיוחד בתיאור הפעילות השכיחה הזו. עכשיו, נוסיף לתרחיש פרט קטן – ג' מאושפז במחלקה פסיכיאטרית בבית חולים אי שם במרכז הארץ והסרטון שהעלה חשף את זהותם של המאושפזים לאלפי אנשים ברשת האינטרנט, בניגוד לרצונם או ידיעתם.

מקרה זה מהווה דילמה למנהל בית החולים – האם לאשר למאושפזים להכניס טלפונים סלולאריים למחלקה סגורה בבית חולים פסיכיאטרי, בעידן בו הטלפון הנו חלק משמעותי מעולמו של כל אדם ודרך התקשורת שלו לעולם החיצון, ומנגד מהווה מקור בלתי נשלט להעברת אינפורמציה.

זוהי רק סוגיה אחת מבין מאות הסוגיות הקשורות לאבטחת מידע, שמירת המידע ופרטיות המטופל במוסדות בריאות שזכו לטיפול והתייחסות במסגרת פרויקט רחב ממדים של משרד הבריאות להסמכת כלל ארגוני הבריאות הציבוריים לתקן אבטחת המידע הבינלאומי, תקן ISO 27799.

הפרויקט הותנע בעקבות הנחייה של מנכ״ל משרד הבריאות דאז, פרופ' רוני גמזו, ובליווי הנהלת מחלקת אבטחת המידע של משרד הבריאות. ההנחיה קבעה כי עד סוף דצמבר 2013 היה על כל בתי החולים הציבוריים בארץ לעבור בהצלחה את מבדק ההסמכה.

הפרויקט נמשך 10 חודשים, במסגרתו נדרש ללוות לקראת הסמכה לתקן את כל 24 בתי החולים הציבוריים של משרד הבריאות (כלליים, פסיכיאטריים וגריאטריים). חברות ייעוץ בודדות נבחרו ללוות את הפרויקט ומכון התקנים הישראלי נבחר כגוף "ההתעדה" שיבצע את המבדקים בסופם של תהליכי ההכנה.

אורנסק אבטחת מידע נבחרה על-ידי משרד הבריאות כחברת הייעוץ המובילה והדומיננטית ביותר. אורנסק נבחרה ללוות את מרבית בתי החולים – 16 במספר, מתוכם ליווי של 11 בתי חולים במקביל.

הפרויקט דרש ניהול קפדני ואיכותי, שהניב עמידה מוצלחת ביעדי לוחות הזמנים, התכולה והמצוינות. על מנת לטייב את התהליך, פיתחה אורנסק מתודולוגיית עבודה סדורה וברורה לליווי בתי החולים להסמכה. ניהול הליווי חולק לאבני דרך מוגדרות ותחומות בזמן, כשבלב התהליך הוצבה רתימת הנהלת הארגון לקידום ההטמעה. כמו כן, פיתחה אורנסק כלים טכנולוגיים-מקצועיים שסייעו לארגון לעמוד בכלל דרישות התקן תוך לימוד והפקת לקחים, ניתוח ממצאים משותפים המאפיינים את כלל בתי החולים, כלים למעקב וניהול לוחות הזמנים ותוכנית העבודה להטמעה ועוד. בהמשך, משמשים כלים אלו לשימור ההסמכה, יכולת בקרה ומתן סטטוס שוטף למנהלים אודות התקדמות התהליך.

שיטת העבודה הוכיחה את עצמה כאשר כלל הגופים שלוו על ידי אורנסק הוסמכו לתקן, בציון מאוד לא טריוויאלי של 100% הצלחה במעבר ההסמכה כבר במבדק הראשון ובשבחים רבים מאוד מצד מכון התקנים הישראלי ומשרד הבריאות.

לראייתו של יריב יפרח, סמנכ״ל הפרויקטים באורנסק, שניהל את הפעילות מול בתי החולים, ״התפיסה בה רגולטור מחייב גופים ציבוריים לעמוד בתקן וולונטרי ביסודו הוכיחה את עצמה ואפשרה להעלות את רמת אבטחת המידע בבתי החולים בצורה משמעותית ובהתאמה לסטנדרטים בינלאומיים מתקדמים. זאת, ללא צורך לעסוק בחקיקה ורגולציה ייעודיים. בנוסף, התגבשה לרגולטור תמונת מצב כוללת של מצב אבטחת המידע בגופי הסמך ויכולת להסיק מסקנות ולקחים רוחביים כבסיס לתוכנית עבודה מעמיקה וארוכת טווח". יפרח הוסיף כי להבנתו, מודל זה יכול ורצוי שיהיה מוטמע בגופים ממשלתיים או רגולטוריים אחרים, וזאת כמובן תוך הנחיה, ליווי ושליטה על התהליך על ידי הגוף המתכלל, המלווה את הפעילות.

ליווי בתי החולים להסמכה בוצע על ידי צוות יועצי אורנסק – זיו גוטרמן, נעם אבן, לירן קלדרון ויובל צאיג, בהנהלת מירב ורד ובהובלתו המקצועית של יפרח.

עם סיומו המוצלח של הפרויקט נערכה בקבוצת אורנטק הרמת כוסית חגיגית, בה נכח צוות החברה וכן תמיר פלדמן, מנהל תחום הגנת המרחב הקיברנטי במשרד הבריאות, שניהל את הפרויקט מטעם המשרד, ושוקי פרייס, סוקר בכיר מטעם מכון התקנים, שביצע את המבדקים בכל בתי החולים.

פרייס ציין לשבח את רמתה הגבוהה ומצוינותה של אורנסק והוסיף כי אלה בלטו באופן ניכר.  פלדמן הדגיש כי משרד הבריאות, בראשותו של המנכ"ל, פרופ' גמזו, ראה בפרויקט הסמכת בתי החולים לתקן אבטחת מידע פרויקט בעל חשיבות רבה מאוד עבור משרד הבריאות ומדינת ישראל בכללותה.