מומחית: הריגול העסקי בישראל בעלייה וכך תתגוננו
"מגמת מקרי הריגול העסקי בישראל נמצאת בעלייה ואין ספק כי כיום, יותר מאי-פעם, על הנהלות של ארגונים להשקיע תשומת לב מקצועית ומשאבים ייעודיים, על-מנת למזער את הפגיעה בנכסי המידע שלהם, מידע רגיש וחיוני הנוגע ללקוחותיהם, לאסטרטגיות העסקיות, למגמות המסחריות, להכנסותיהם ועוד", עך מציינת מירב ורד, המנהלת תחום מתודולוגיה ותקני אבטחת מידע בחברת סקיוריטרי.
פרשת סוכני המכירות שאותרו כמתחזים לרופאים והסתובבו במחלקות בתי החולים חשפה פגיעה קשה בצנעת הפרט של המאושפזים ועבירות על החוק. "לא די בבדיקה של עובדות פרשה זו ובדיקה של הסכמי החוזים של הסוכנים, כפי שהגדיר היועץ המשפטי לממשלה. עבירות הנוגעות לצנעת הפרט של החולים אינן טמונות רק בפעילות הסוכנים, כפי שתואר בתקשורת, ויש דרכים רבות בהן ניתן לנצל ולהשתמש במידע זה למטרות בלתי ראויות, להיחשף, לעבור לידיים 'בלתי כשרות' וכיו"ב".
יש לתת את הדעת לספקים החשופים למידע באמצעות מערכות המחשוב, אך יש גם לבקר את פעילותם של אלו הנגישים באופן פיזי למידע, כגון אנשי תחזוקה ומנקים, הנכנסים לחברה באופן לגיטימי ומבלי שיעוררו חשד. חברות מתחרות רבות עושות שימוש נרחב בספקים מתחזים או אף תוך מתן שוחד לספקים קיימים, על-מנת לקבל מידע חסוי. אסטרטגיה זו פופולארית, זולה ויעילה.
לארגון שרוצה להתגונן, ממליצה ורד לבצע סקר סיכונים מקיף, הגדרת מדיניות אבטחתית המגובה על-ידי הנהלת החברה, יישום תהליכים וכלים בכל חמשת מעגלי האבטחה, קיום בקרה שוטפת ושיפור מתמיד. כיום קיים גם תקן בינלאומי, תקן 7799, המכוון ארגונים לניהול נכון של תשתית האבטחה.
יש לבצע בדיקה מקיפה בעניין גורמים חיצוניים הנכנסים למחלקות, מלבד סוכני המכירות. מה מדיניות בית החולים לגבי אנשי ניקיון, אנשי תחזוקה, אורחים או מלווים? האם קיימים אמצעים לסינונם ויתרה מכך, לבקרה אחר מעשיהם בשטח בית החולים?
יש לבצע בדיקות מקיפות בכל נושאי הגבלות הגישה למידע, דרך מערכות המחשב של בתי החולים (פרופילי והרשאות משתמשים, הפרדת מידע בין המחלקות השונות שאין להן נגיעה לחולה, מדיניות סיסמאות ועוד) ודרך כניסה פיזית לאזורים (סינון הגורמים הנכנסים למעבדות, חדרי מחשב או אזורים המרכזים מידע באמצעים כגון תגי כניסה, מערכת ביומטרית ועוד).
יש לבצע בקרה אחר המשתמשים במידע, על-מנת שניתן יהיה לעקוב אחר הניגשים למידע ואחר הפעולות שבוצעו (באמצעים כגון טלוויזיות במעגל סגור, הכוללות הקלטות, שיפקחו אחר אזורים בהם אגורים ריכוזי מידע). יש לבקר אחר הפעולות הנוגעות למידע הקיים במסמכים, המכילים אף הם מידע רגיש. האם המידע מאוחסן באופן מאובטח המונע נגישות מגורמים שאינם אמורים להיות חשופים למידע? האם מסמכים נגרסים או שמא הם מושלכים לפח הזבל, משם מוצאים דרכם אל מחוץ לבתי החולים? קיימים אמצעי אבטחת מידע רבים מאוד, ברובד הטכנולוגי והתהליכי, אשר ניתן ליישם אותם במגמה למזער את אפשרות דליפתו של מידע רגיש ולהגביר את הפיקוח והבקרה. כמובן שבשלב ראשון - הנהלת בתי החולים צריכה לקבל על עצמה את האחריות המלאה לבדיקה, יישום ופיקוח. תחילת התהליך יהיה בניסוח מדיניות ארגונית מקיפה. אמנם בבתי החולים קיימות פונקציות המטפלות בהיבטי אבטחת מידע, כאלו או אחרים, אך יש צורך בבדק בית מעמיק ויסודי, שהרי לא רק מוניטין בתי החולים מונח כאן על הכף, אלא פרטיות כולנו, אזרחי המדינה, המגיעים לבתי החולים ומצפים כי נתונינו יישמרו תחת חסיון קפדני ואבטחה מספקת.
