משרד הבריאות פרסם בשבוע שעבר רגולציית יסוד המגדירה עקרונות יישומיים להגנת סייבר בארגוני בריאות, אשר מתבססת על תורת הגנת הסייבר של מערך הסייבר הלאומי. רגולציית היסוד מתמקדת במיוחד, באמצעי האבטחה הדרושים ביחס לנכסי הסייבר הקיימים בארגון (המידע הרפואי הנשמר במאגרי המידע של הארגון), בניהול הסיכונים וניהול אירועי חירום במקרה ויתממשו הסיכונים, ובמינוי ממונים שונים על הטמעת ויישום העקרונות בפועל וברמה הניהולית בארגון.
רגולציית היסוד מגדירה "ארגוני בריאות", ומשכך חלה על, ארגונים הנותנים שירות רפואי לרבות משרד הבריאות ושלוחותיו, בתי חולים, קופות החולים, בתי מרקחת, נותני שירותי הצלה ועוד. בהתאם, מנהל ארגון הבריאות הוא זה העומד בעמדה הניהולית הבכירה בראש הארגון.
העקרונות העומדים בלב הרגולציה. רגולציית היסוד מתבססת בין היתר, על עקרונות הגנת הסייבר לרבות הגנת סייבר פרואקטיבית, מודעות והדרכת עובדים, ניהול סיכונים שוטף וצמצום משטח התקיפה בהתאם לתוצאות סקר הסיכונים, אבטחת שרשרת האספקה (ניהול סיכונים אל מול ספקי המשנה), יכולות ותהליכי ניטור, בקרה וזיהוי אירועי סייבר, קיום תהליך מוגדר לניהול אירוע סייבר בהתאם לפק"ל הסייבר של משרד הבריאות, הגדרת תהליך התאוששות לאחר אירוע סייבר ועוד.
הטלת אחריות על נושאי משרה. הרגולציה מחייבת את ארגוני הבריאות בממשל תאגידי המורכב מכמה רמות ניהול שונות כאשר בראש המבנה יעמוד ממונה הגנת הסייבר ואבטחת מידע ארגוני (גורם ניהולי בכיר אשר ימונה ע"י המנכ"ל) אשר באחריותו לנהל ולבקר את מימוש תכנית הגנת הסייבר בארגון. אחריו, יבוא מנהל הגנת סייבר ואבטחת מידע (גורם מקצועי בדרג ניהול אשר ידווח ישירות לממונה הגנת הסייבר), אשר יהא אחראי לכלל היבטי הגנת הסייבר בארגון. מנהל הגנת הסייבר יהיה בעל ידע במתודולוגיית הגנת הסייבר ובטכנולוגיות הגנת הסייבר הנדרשות. בנוסף לאלו ימונו גם אנשי מקצוע טכנולוגיים אשר יהיו אחראיים על יישום הגנת הסייבר ברמה הטכנית - טכנולוגית ("מיישם הגנת סייבר") וכמו כן ממונה הגנת פרטיות אשר ישמש גם כממונה הרשאות ארגוני למערכות ולמידע הארגוני, וכמו כן יסייע בהטמעת ויישום עקרונות הגנת הפרטיות בסיוע חטיבת משאבי האנוש.
מדיניות הגנת הסייבר. על הארגון לנסח ולהגדיר מדיניות הגנת סייבר אשר תהלום את העקרונות והסיכונים הצפויים למערכות הארגון, אשר תכלול בין היתר התייחסות לנושאים הבאים: בקרות הסייבר הנדרשות והמסגרת ליישומן; חלוקת תפקידים והגדרת תחומי אחריות בין הממונים בארגון; הדרישות הרגולטוריות בהן יש לעמוד לרבות ניהול הקמת מערך אבטחת מידע בהתאם לתקן ISO27799. המדיניות תהיה כפופה להסתכלות שוטפת בפרקי זמן קבועים (לכל הפחות פעם בשנה) ולשינויים הנובעים מרמת הסיכונים הנוכחית, התפתחות הטכנולוגיה ושינויים פנימיים בארגון.
יעדי בקרה ובקרות הגנת סייבר. ברמה האופרטיבית, רגולציית היסוד דורשת מארגוני בריאות לבצע מספר פעולות אופרטיביות כדי להבטיח את השגת ייעדי בקרת ההגנה:
- הגדרת מדיניות הגנת הסייבר כמצוין מעלה;
- סיווג והפרדת מידע בהתאם לרגישותו לדוגמה מידע רפואי אישי של לקוח, מידע רפואי כללי שאינו מזהה את הלקוח, מידע עסקי, מידע אישי המתייחס לעובד וכדומה;
- רישום כלל מאגרי המידע בארגון בהתאם להנחיות רשם מאגרי המידע במשרד המשפטים;
- אבטחה פיזית סביבתית של המערכות והמידע הארגוני צוך מתן תשומת לב מיוחדת להתקשרות עם ספקי משנה. בכלל זה, הארגון יוודא עמידתם של ספקי משנה בתקן ISO27799 או בתקן ISO27001;
- הגנה על אביזרים ומכשירים רפואיים ותשתיות שליטה ובקרה תוך נקיטת בקרות אבטחת מידע קבועות על אביזרים ומערכות אלו;
- הגנת סייבר פרואקטיבית אשר תכלול ניתוח סיכונים יזום של איומי הסייבר לארגון ו"צייד" אקטיבי אחר איומים קיימים ברשתות הארגון באמצעות, בין היתר, ניתוח פעילותו, הצלבת מידע מודיעיני ומענה אבטחתי לאיומים.