dna@dna-q.co.il

051-533-0038

077-2090230

מהו תקן ISO 27799 – אבטחת מידע בארגוני בריאות

בקצרה

תקן ISO 27799 הוא תקן בינלאומי ייעודי המגדיר הנחיות ודרישות מחמירות לניהול אבטחת מידע במגזר הבריאות והרפואה. התקן מספק מסגרת עבודה להגנה על רשומות רפואיות אלקטרוניות (EMR) ומידע בריאותי אישי (PHI) מפני איומי סייבר, דלף מידע וגישה בלתי מורשית.

התקן מיועד לבתי חולים, קופות חולים, מרפאות, חברות ביטוח רפואי, ספקי טכנולוגיה רפואית וכל ארגון המחזיק או מעבד נתונים רפואיים. יישום התקן מבטיח עמידה בדרישות החוקיות והרגולטוריות, לרבות הנחיות משרד הבריאות בישראל, ומבסס תשתית אבטחה המותאמת לאופי העבודה הייחודי של צוותים רפואיים.

בעידן שבו הרפואה הדיגיטלית מתפתחת בקצב מסחרר, המידע הרפואי של מטופלים הפך לאחד הנכסים הרגישים והיקרים ביותר בעולם הסייבר. פריצות למאגרי מידע של בתי חולים ומרפאות אינן מסתכמות רק בנזק כספי, אלא עלולות לפגוע ישירות בחיי אדם ולשבש טיפולים קריטיים. כאן נכנס לתמונה תקן ISO 27799, המהווה את קו ההגנה העוצמתי והמקיף ביותר עבור ארגוני בריאות. כמנהלים ומובילים בארגוני רפואה, הבנת התקן ויישום דרישותיו הם הצעד הראשון להבטחת רציפות תפקודית, עמידה ברגולציה הקפדנית של משרד הבריאות, ושמירה על אמון המטופלים. מדריך זה יספק לכם את כל הכלים המקצועיים להבנת התקן והטמעתו בארגונכם.

מבוא לתקן ISO 27799 וייעודו בעולם הרפואה המודרני

עולם הרפואה עובר בעשורים האחרונים מהפכה דיגיטלית מקיפה. תיקים רפואיים מנייר הוחלפו במערכות מידע מורכבות, ציוד רפואי מחובר לרשתות תקשורת, ורופאים נעזרים בטכנולוגיות ענן ואפליקציות כדי להעניק טיפול מדויק ומהיר. עם זאת, החיבוריות ההולכת וגוברת חושפת את ארגוני הבריאות לאיומי סייבר חסרי תקדים. המידע הרפואי מכיל פרטים אישיים, היסטוריה רפואית, נתונים גנטיים ומידע פיננסי, מה שהופך אותו ליעד מבוקש עבור האקרים ופושעי רשת.

תקן ISO 27799 פותח על ידי ארגון התקינה הבינלאומי כדי לתת מענה מדויק למורכבות זו. בניגוד לתקני אבטחה כלליים, תקן זה לוקח בחשבון את סביבת העבודה הייחודית של בתי חולים ומרפאות, שבה צוותים רפואיים זקוקים לגישה מיידית למידע מציל חיים, תוך שמירה קפדנית על סודיות ופרטיות המטופל.

היישום של התקן מאפשר לארגונים לנהל סיכונים בצורה מושכלת, להגן על נכסי המידע שלהם ולבנות מערכת יחסים מבוססת אמון עם המטופלים והרגולטורים. מדובר במרכיב קריטי באסטרטגיית הניהול של כל מוסד רפואי המכבד את עצמו ודואג לעתידו.

הדרישות הייחודיות של התקן למגזר הבריאות

תקן ISO 27799 אינו מסתפק בדרישות טכניות כלליות, אלא יורד לרזולוציות הקטנות ביותר של שגרת העבודה במוסד רפואי. הוא מתייחס למגוון רחב של תרחישים הייחודיים לעולם זה, החל מאבטחת עגלות תרופות ממוחשבות במסדרונות בית החולים, ועד להעברת צילומי רנטגן בין מחלקות שונות.

הגנה על רשומות רפואיות ומידע בריאותי אישי

הליבה של התקן סובבת סביב ההגנה על נתונים רגישים. התקן דורש מיפוי מדויק של כל מאגרי המידע בארגון וסיווגם על פי רמת רגישות. נדרשת הצפנה של מידע רפואי גם כאשר הוא מאוחסן בשרתי הארגון (Data at Rest) וגם כאשר הוא מועבר ברשת (Data in Transit). התקן מחייב מנגנוני הזדהות חזקים עבור אנשי הצוות הרפואי שניגשים למערכות, תוך יישום עיקרון "ההרשאה המינימלית הנדרשת" כדי לצמצם חשיפה מיותרת של נתונים.

רציפות תפקודית וניהול אירועי סייבר

בבית חולים המונח "זמן השבתה" עשוי להיות מתורגם לאובדן חיי אדם. לכן, התקן שם דגש עצום על בניית תוכניות התאוששות מאסון (DRP) והמשכיות עסקית (BCP) המותאמות למגזר הרפואי. הדרישות כוללות גיבויים שוטפים, ניתוק לוגי של רשתות קריטיות והכנת חלופות תפעוליות למקרה של מתקפת כופר שמשביתה את מערכות המחשוב.

מומחה סייבר מקצועי ואלגנטי, עומד בחדר בקרה מואר ומתקדם של בית חולים, מסתכל על מסכים גדולים המציגים נתוני תעבורת רשת ירוקים וכחולים ולוחות בקרה של אבטחת מידע. התמונה משדרת תחושת שליטה, מומחיות וביטחון בסביבה רפואית מודרנית.

הקשר ההדוק בין ISO 27001 לתקן ISO 27799

כדי להבין במלואו את תקן ISO 27799 יש להבין את יחסיו עם תקן האבטחה המרכזי בעולם. בעוד שארגונים רבים מבצעים תהליך הסמכה לתקן iso 27001, המהווה את הבסיס לניהול אבטחת מידע בארגון, תקן ISO 27799 נשען עליו ומרחיב אותו ספציפית למגזר הבריאות. למעשה, לא ניתן ליישם את ISO 27799 בצורה יעילה מבלי שקיימת תשתית של ניהול אבטחת מידע כפי שמוגדרת בבסיס התקינה המרכזית.

שילוב שני התקנים יחד יוצר מעטפת הגנה מושלמת. התקן הכללי מספק את מסגרת הניהול הכוללת, פיתוח המדיניות וניהול הסיכונים, ואילו התקן הרפואי מספק את ההנחיות המעשיות וההתאמות הנדרשות לסביבה הקלינית. להלן טבלה הממחישה את ההבדלים וההשלמות בין התקנים:

פרמטר תקן ISO 27001 תקן ISO 27799
קהל יעד כל סוגי הארגונים בכל מגזרי המשק ארגוני בריאות, בתי חולים, מרפאות וספקי טכנולוגיה רפואית
מיקוד מרכזי מסגרת כללית לניהול אבטחת מידע בארגון הגנה ספציפית על נתוני בריאות ורשומות רפואיות
דרישות ליבה הקמת מערכת ניהול אבטחת מידע מקיפה הנחיות פרקטיות למניעת פגיעה בפרטיות מטופלים ובטיחות רפואית
אופי ההנחיות דרישות ניהוליות ותהליכיות רוחביות הנחיות יישומיות ממוקדות לסביבות קליניות ומערכות EMR

דרישות משרד הבריאות והרגולציה המקומית

בישראל אבטחת מידע במערכת הבריאות אינה רק המלצה אלא חובה חוקית מחמירה. משרד הבריאות הישראלי מוביל רגולציה קפדנית בנושא הגנת הסייבר, ומוציא חוזרי מנכ"ל תקופתיים המחייבים את כלל מוסדות הרפואה במדינה לעמוד בסטנדרטים גבוהים של אבטחה. חוזרים אלו נשענים פעמים רבות על עקרונות המוגדרים בתקני ISO הבינלאומיים.

הדרישות הרגולטוריות כוללות מינוי ממונה אבטחת מידע, ביצוע סקרי סיכונים תקופתיים, קיום מבדקי חדירות למערכות המידע, ודיווח מיידי על אירועי סייבר מהותיים. ארגון בריאות שמאמץ את תקן ISO 27799 מציב את עצמו בעמדת יתרון משמעותית, שכן תהליכי העבודה והבקרות שמוטמעים בארגון כחלק מהתקן, מספקים מענה ישיר לרוב המוחלט של דרישות הרגולטור הישראלי, ומקלים משמעותית על תהליכי הביקורת והרישוי מול המדינה.

חשוב לציין כי עמידה בדרישות אלו מהווה תנאי הכרחי לפעילותם של ספקי שירותים חיצוניים המעוניינים לעבוד מול קופות החולים ובתי החולים הממשלתיים. ללא הוכחת עמידה בתקנים המחמירים, חברות טכנולוגיה ומכשור רפואי יתקשו מאוד להיכנס לשוק הבריאות הישראלי.

אבטחת מערכות EMR ורשומות רפואיות אלקטרוניות

מערכות התיק הרפואי האלקטרוני, הידועות בראשי התיבות EMR, מהוות את הלב הפועם של כל מרפאה ובית חולים. מערכות אלו מרכזות את כל המידע הקליני אודות המטופל ומשמשות ככלי עבודה עיקרי עבור הצוותים הרפואיים. בשל חשיבותן העצומה, תקן ISO 27799 מקדיש תשומת לב מיוחדת לאבטחתן.

ניהול הרשאות מבוסס תפקיד

אחד האתגרים הגדולים בסביבה רפואית הוא הצורך לאזן בין אבטחה לזמינות. רופא בחדר מיון חייב גישה מיידית לתיק של מטופל ללא עיכובים מיותרים. התקן מכוון ליישום מודל ניהול הרשאות חכם מבוסס תפקיד. משמעות הדבר היא שכל איש צוות מקבל הרשאות גישה אך ורק למידע הנדרש לו לצורך ביצוע תפקידו, תוך שמירה על פרוטוקולים המאפשרים עקיפת הרשאות במקרי חירום רפואיים, מלווים בתיעוד קפדני ובקרה בדיעבד.

קבוצה של רופאים ואנשי טכנולוגיה יושבים סביב שולחן ישיבות מודרני מברכוכית, בוחנים טאבלט המציג גרפיקה של תיק רפואי מאובטח עם סמל של מנעול דיגיטלי נקי. האווירה עניינית, שיתופית ומשדרת חדשנות טכנולוגית ושמירה על פרטיות.

ניטור אקטיבי ומניעת דלף מידע

מערכות EMR חייבות להיות מלוות במערכות ניטור המזהות התנהגות חריגה. לדוגמה, אם אח או פקיד קבלה מנסים לגשת למאות תיקים רפואיים של מטופלים שאינם תחת טיפולם, המערכת אמורה להתריע על כך באופן מיידי. התקן מספק את המסגרת להגדרת כללי הניטור, הטיפול בהתרעות, והבטחה שהרשומות הרפואיות אינן מועתקות או מודפסות על ידי גורמים שאינם מורשים לכך.

התמודדות עם איומי סייבר על מכשור וציוד רפואי

בשנים האחרונות אנו עדים למגמה מדאיגה של שילוב רכיבי תקשורת בציוד רפואי רגיש, כגון משאבות עירוי, קוצבי לב ומכשירי הדמיה. בעוד שחיבוריות זו מאפשרת ניטור מרחוק ושיפור הטיפול, היא גם פותחת פתח לפגיעויות סייבר מסוכנות ביותר. תוקף שיצליח לחדור למערכת הבקרה של משאבת תרופות עלול לשנות את המינונים ולגרום לנזק בלתי הפיך למטופל.

על פי נתונים של ארגוני בריאות בינלאומיים, כמות התקיפות המכוונות לציוד קצה רפואי עלתה במאות אחוזים בשנים האחרונות. התקן מחייב את ארגוני הבריאות לנהל רישום מקיף של כלל הציוד הרפואי המחובר לרשת, לבצע סקרי פגיעויות תדירים, ולהפריד את רשתות הציוד הרפואי מרשתות המחשוב המנהלתיות. יצרנים של ציוד זה נדרשים לא פעם לעמוד בנוסף גם בדרישות של תקן ציוד רפואי המבטיח את איכות ובטיחות המוצר משלב הפיתוח ועד לשימוש הסופי בבית החולים.

תאימות לרגולציות בינלאומיות מחמירות

ארגוני בריאות וחברות טכנולוגיה רפואית הפועלים ברמה הגלובלית, חשופים לרגולציות בינלאומיות משמעותיות בתחום פרטיות המידע. אחת המוכרות שבהן היא חקיקת חוק HIPAA בארצות הברית, המגדירה כללים נוקשים מאוד לשמירה על סודיות רפואית, ולצידה רגולציות דומות באירופה.

היתרון הגדול של יישום תקן ISO 27799 הוא בכך שהוא מספק מתודולוגיה אוניברסלית המוכרת בכל העולם. ארגון שהוסמך לתקן מציג רמת בגרות ארגונית גבוהה בתחום אבטחת המידע, מה שמקל משמעותית על עמידה בדרישות של חקיקות זרות ופותח דלתות לשיתופי פעולה בינלאומיים, מחקרים משותפים והעברת נתונים בטוחה בין גבולות מדיניים.

שלבי הטמעת התקן בארגוני רפואה ובריאות

התהליך לקראת הסמכה לתקן דורש מחויבות ארגונית מלאה ושיתוף פעולה בין הנהלת הארגון, מחלקת מערכות מידע, והצוותים הרפואיים. שילוב של מערכות ניהול שונות בארגון, כגון תקן איכות המבטיח נהלי עבודה מסודרים, יכול לזרז ולייעל את התהליך.

  • מיפוי נכסים וסקירת מצב קיים: הבנת ארכיטקטורת הרשת, זיהוי המערכות הרגישות ומיפוי זרימת המידע בארגון.
  • ביצוע סקר סיכונים קפדני: הערכת האיומים הפוטנציאליים על מערכות המידע הרפואיות וקביעת רמת הסיכון המקובלת על ההנהלה.
  • בניית תוכנית טיפול בסיכונים: בחירת הבקרות הנדרשות מתוך התקן ליישום בארגון, כגון הצפנות, בקרות גישה פיזיות ולוגיות.
  • הדרכת מודעות לעובדים: הצוות הרפואי והמנהלתי עובר הדרכות ייעודיות לזיהוי מתקפות פישינג ושמירה על סודיות.
  • מבדקים פנימיים והכנה להתעדה: בחינה מדוקדקת של יישום הנהלים והבקרות על ידי גורם מקצועי מוסמך לקראת המבדק החיצוני.

מסמך הסמכה רשמי עם חותמת איכות גדולה שמונח על שולחן עץ מהודר, לידו מונחים סטטוסקופ ומשקפי קריאה. התמונה יוצרת חיבור חזק בין עולם הרפואה לעולם הרגולציה וההסמכה הרשמית.

היתרונות העסקיים והתפעוליים בקבלת ההסמכה

מעבר לעמידה בדרישות החוק ורגולטוריות, להסמכה לתקן ISO 27799 ישנם יתרונות אסטרטגיים ברורים. ארגון רפואי המחזיק בהסמכה זו משדר מסר של אמינות יוצאת דופן כלפי המטופלים שלו, המפקידים בידיו את המידע הרגיש ביותר אודות חייהם.

בנוסף, עבור חברות סטרטאפ בתחום הרפואה הדיגיטלית וספקי שירותים רפואיים טכנולוגיים, התעודה מהווה תנאי סף לכניסה למכרזים ממשלתיים ולהתקשרויות מסחריות עם בתי חולים גדולים בארץ ובעולם. השקעה במערכת אבטחת מידע איכותית מונעת נזקים כלכליים ותדמיתיים עצומים העלולים להיגרם כתוצאה מפריצת סייבר, ובכך מחזירה את ההשקעה בה בטווח הארוך תוך שמירה על יציבות הארגון.

ארגונים רבים פונים למידע נוסף אודות בניית תשתית תקנית ונכונה ברמת ארגון, תוך הסתמכות על גורמי תקינה מהימנים ומקורות מידע עולמיים המסבירים לעומק את מכלול הגורמים במערכות בריאות, דוגמת מערכי הגנת הסייבר הגלובליים המבססים נהלים אלו.

הטיפ של משה

היערכות לתקן בארגון רפואי היא משימה מורכבת הדורשת הבנה עמוקה של תהליכים קליניים ולא רק טכנולוגיים. בצעו מבדק פערים ראשוני בשיתוף מלא של מנהלי המחלקות הרפואיות לפני תחילת ההטמעה, כך תבטיחו שפתרונות האבטחה יתמכו בעבודת הצוות המטפל ולא יעכבו טיפול מציל חיים.

שאלות נפוצות

התקן מיועד לכלל המוסדות והגופים הפועלים במגזר הבריאות. זה כולל בתי חולים, קופות חולים, קליניקות פרטיות, מעבדות רפואיות, וכן ספקי טכנולוגיה רפואית, חברות ביוטק וארגונים המפתחים מערכות מידע רפואיות ומעבדים נתוני מטופלים.

ההבדל המרכזי הוא המיקוד בסביבה הרפואית. בעוד שתקנים אחרים מספקים מסגרת כללית לשמירה על נתונים, תקן זה מתייחס ספציפית למצבים יומיומיים בעולם הרפואה, כגון הצורך בגישת חירום למידע רפואי רגיש, שמירה על אנונימיות במחקרי קליניים, ואבטחת ציוד הדמיה המחובר לרשת.

באופן מעשי התשובה היא כן. התקן הרפואי אינו עומד בפני עצמו ככלי ניהולי, אלא משמש כהרחבה והתאמה למסגרת הניהולית שמוגדרת בתקן הבסיס הבינלאומי. רוב מוחלט של הארגונים מבצעים תהליך הסמכה משולב לשני התקנים במקביל כדי להבטיח כיסוי מלא של דרישות האבטחה.

התקן מחייב יישום סדרה של בקרות קפדניות על מערכות הרשומה הרפואית. בקרות אלו כוללות הזדהות רב שלבית לרופאים ואחיות, הצפנת נתונים מחמירה, שמירה קפדנית של יומני פעילות (לוגים) כדי לעקוב אחר כל ניסיון גישה לתיק רפואי, ויצירת מנגנוני התראה בזמן אמת על פעילויות חשודות במערכת.

משך התהליך משתנה מאוד בהתאם לגודל הארגון, רמת הבשלות הטכנולוגית הקיימת בו, והיקף המערכות הרפואיות המעורבות. בארגונים קטנים עד בינוניים התהליך יכול לארוך בין 4 לשישה חודשים, בעוד שבבתי חולים גדולים ומערכות בריאות מורכבות התהליך יכול להימשך גם קרוב לשנה שלמה של הטמעה והדרכות.

משרד הבריאות מפעיל יחידת סייבר מגזרית הדוקה ומוציא חוזרי מנכ"ל המחייבים את מוסדות הרפואה. האכיפה מתבצעת באמצעות דרישות דיווח חודשיות ושנתיות, ביקורות פתע, בחינת תוצאות של מבדקי חדירה, וכתנאי סף לקבלת רישיונות הפעלה למוסדות ולטכנולוגיות חדשות המבקשות להיכנס למערכת הבריאות הציבורית.

נסכם...

אבטחת המידע בעולם הבריאות חצתה מזמן את גבולות טכנולוגיית המידע והפכה לסוגיה קריטית של חיי אדם ובטיחות מטופלים. תקן ISO 27799 מציע לארגוני הבריאות מסגרת עבודה מקיפה, מוכחת ומוכרת בינלאומית, להתמודדות מול אתגרי הסייבר ההולכים וגוברים. על ידי אימוץ התקן, מוסדות רפואיים לא רק עומדים בדרישות הרגולציה המחמירות של משרד הבריאות, אלא גם מבטיחים לצוותים הרפואיים סביבת עבודה בטוחה, ולמטופלים שקט נפשי אמיתי בידיעה שהמידע האישי והרגיש ביותר שלהם מוגן ברמה הגבוהה ביותר.