פרסום פרשת "הסוס הטרויאני" היום (א', 29.5.05) מעלה מחדש על סדר היום את הצורך של ארגונים וחברות להשקיע תשומת לב מרבית בהתמודדות עם התופעה - למרות שהיא אינה חדשה.
מירב ורד, מנהלת תחום מתודולוגיה ותקן 7799 (תקן בינ"ל לניהול אבטחת מידע) בחברת סקיוריטי, אומרת כי "מגמת מקרי הריגול העסקי בישראל נמצאת בעלייה ואין ספק כי כיום, יותר מאי-פעם, על הנהלות של ארגונים להשקיע תשומת לב מקצועית ומשאבים ייעודיים, על-מנת למזער את הפגיעה בנכסי המידע שלהם, מידע רגיש וחיוני הנוגע ללקוחותיהם, לאסטרטגיות העסקיות, למגמות המסחריות, להכנסותיהם ועוד".
פרשת סוכני המכירות שאותרו כמתחזים לרופאים והסתובבו במחלקות בתי החולים חשפה פגיעה קשה בצנעת הפרט של המאושפזים ועבירות על החוק. "לא די בבדיקה של עובדות פרשה זו ובדיקה של הסכמי החוזים של הסוכנים, כפי שהגדיר היועץ המשפטי לממשלה. עבירות הנוגעות לצנעת הפרט של החולים אינן טמונות רק בפעילות הסוכנים, כפי שתואר בתקשורת, ויש דרכים רבות בהן ניתן לנצל ולהשתמש במידע זה למטרות בלתי ראויות, להיחשף, לעבור לידיים 'בלתי כשרות' וכיוצ"ב".
העצות:
- יש לתת את הדעת לספקים החשופים למידע באמצעות מערכות המחשוב, אך יש גם לבקר את פעילותם של אלו הנגישים באופן פיזי למידע, כגון אנשי תחזוקה ומנקים, הנכנסים לחברה באופן לגיטימי ומבלי שיעוררו חשד. חברות מתחרות רבות עושות שימוש נרחב בספקים מתחזים או אף תוך מתן שוחד לספקים קיימים, על-מנת לקבל מידע חסוי. אסטרטגיה זו פופולרית, זולה ויעילה.
- המידע הוא הנכס החשוב ביותר בארגון. בעולם המודרני משקיעות חברות משאבים רבים במגמה להביא לאבטחה אופטימלית של נכס זה. אבטחה לקויה של המידע עלולה להביא לפגיעה קשה בכושרה העסקי של חברה, ברווחיה, תפעולה או תדמיתה.
בעבר, תורות אבטחת המידע נטו להתמקד בהיבטי המחשוב והתקשורת בלבד, תוך התייחסות כמעט בלעדית למעגל האבטחה הכולל את היבטי המחשוב והתקשורת. התייחסות זו כללה פעילות אבטחה מינימלית כגון התקנת FW, סריקות אנטי וירוס, הקשחת שרתים וכיוצא באלו.
כיום, בעקבות סיכוני האבטחה ההולכים ומתרחבים, ובעיקר לאור טרגדיית ה-11 בספטמבר, העולם משנה לחלוטין את תפישתו לגבי יסודות האבטחה האופטימלית, ותורות האבטחה מתמקדות בראייה מתודולוגית כלל-ארגונית, הנותנת את הדעת גם לארבעה מעגלי אבטחה נוספים, הכוללים את היבטי האבטחה הפיזית (אבטחה היקפית - גדרות, טלוויזיות במעגל סגור, מערכות לסינון נכנסים - עובדים, ספקים ומבקרים, מערך שומרים ועוד), אבטחת מצעים פיזיים נושאי מידע (מסמכים, דיסקטים, דיסקים, קלטות וכיוצא באלו), טיפול במהימנות עובדים (ווידוא תאימות רמת מהימנות העובדים לרגישות המידע אליו יחשפו) ואבטחת מידע בקרב ממשקים עסקיים (טיפול בכל חמשת מעגלי האבטחה בקרב ספקי החברה, אשר להם נגישות גדולה לנכסי הארגון.
- על כל ארגון להגן על נכסי המידע שברשותו לאחר ביצוע סקר סיכונים מקיף, הגדרת מדיניות אבטחתית המגובה על-ידי הנהלת החברה, יישום תהליכים וכלים בכל חמשת מעגלי האבטחה, קיום בקרה שוטפת ושיפור מתמיד. כיום קיים גם תקן בינלאומי, תקן 7799, המכוון ארגונים לניהול נכון של תשתית האבטחה.
- יש לבצע בדיקה מקיפה בעניין גורמים חיצוניים הנכנסים למחלקות, מלבד סוכני המכירות. מה מדיניות בית החולים לגבי אנשי ניקיון, אנשי תחזוקה, אורחים או מלווים? האם קיימים אמצעים לסינונם ויתרה מכך, לבקרה אחר מעשיהם בשטח בית החולים?
- יש לבצע בדיקות מקיפות בכל נושאי הגבלות הגישה למידע, דרך מערכות המחשב של בתי החולים (פרופילי והרשאות משתמשים, הפרדת מידע בין המחלקות השונות שאין להן נגיעה לחולה, מדיניות סיסמאות ועוד) ודרך כניסה פיזית לאזורים (סינון הגורמים הנכנסים למעבדות, חדרי מחשב או אזורים המרכזים מידע באמצעים כגון תגי כניסה, מערכת ביומטרית ועוד).
- יש לבצע בקרה אחר המשתמשים במידע, על-מנת שניתן יהיה לעקוב אחר הניגשים למידע ואחר הפעולות שבוצעו (באמצעים כגון טלוויזיות במעגל סגור, הכוללות הקלטות, שיפקחו אחר אזורים בהם אגורים ריכוזי מידע). יש לבקר אחר הפעולות הנוגעות למידע הקיים במסמכים, המכילים אף הם מידע רגיש. האם המידע מאוחסן באופן מאובטח המונע נגישות מגורמים שאינם אמורים להיות חשופים למידע? האם מסמכים נגרסים או שמא הם מושלכים לפח הזבל, משם מוצאים דרכם אל מחוץ לבתי החולים?
- קיימים אמצעי אבטחת מידע רבים מאוד, ברובד הטכנולוגי והתהליכי, אשר ניתן ליישם אותם במגמה למזער את אפשרות דליפתו של מידע רגיש ולהגביר את הפיקוח והבקרה. כמובן שבשלב ראשון - הנהלת בתי החולים צריכה לקבל על עצמה את האחריות המלאה לבדיקה, יישום ופיקוח. תחילת התהליך יהיה בניסוח מדיניות ארגונית מקיפה.
- אמנם בבתי החולים קיימות פונקציות המטפלות בהיבטי אבטחת מידע, כאלו או אחרים, אך יש צורך בבדק בית מעמיק ויסודי, שהרי לא רק מוניטין בתי החולים מונח כאן על הכף, אלא פרטיות כולנו, אזרחי המדינה, המגיעים לבתי החולים ומצפים כי נתונינו יישמרו תחת חסיון קפדני ואבטחה מספקת.