בריאות

מסגרת הרגולציה המרכזית המגדירה את חובות האבטחה של קופות החולים ובתי החולים. הביקורת בוחנת את המרכיבים הבאים:

• ממשל תאגידי וניהול סיכונים: בחינת קיומה של פונקציית ממונה אבטחת מידע (CISO) מוסמך, אישור תוכניות עבודה על ידי הנהלת המוסד, וביצוע סקרי סיכונים תקופתיים על תשתיות קריטיות.

• הגנת מכשור רפואי (IoMT): תחום ייחודי לסקטור זה. הביקורת בוחנת את ההפרדה הרשתית (Segmentation) בין מערכות המידע המנהליות לבין מכשירי ה-MRI, ניטור חולים ומערכות הנשמה, החשופים למתקפות כופרה.

• ניהול זהויות והרשאות (IAM): דגש על צמצום גישת צוותים רפואיים וטכנולוגיים למידע אישי רגיש לפי עקרון "הצורך לדעת" בלבד, תוך אכיפת אימות רב-שלבי (MFA).

הגנת פרטיות ומידע רפואי (תקנות הגנת הפרטיות ו-HIPAA)

מוסדות הבריאות מחזיקים במידע הרגיש ביותר על אזרחי המדינה. הביקורת מתמקדת ב:

• אבטחת מאגרי מידע: עמידה בתקנות הגנת הפרטיות (אבטחת מידע), 2017, בדגש על הצפנת נתונים במנוחה ובתנועה, וניהול לוגים (Audit Trail) לזיהוי כניסות לא מורשות לתיקים רפואיים.

• שיתוף מידע (Health Information Exchange): בחינת הבקרות סביב ממשקי העברת מידע בין בתי חולים לקופות חולים (כגון מערכת "אופק"), כדי לוודא שזרימת המידע אינה פוגעת בפרטיות המטופל.

הערכות לסיכונים טכנולוגיים וחדשנות רפואית

משרד הבריאות מחייב בחינה של טכנולוגיות משבשות:

• רפואה מרחוק (Telemedicine): הביקורת בוחנת את אבטחת ערוצי התקשורת מול המטופל בביתו ואת האמינות של המידע הנאסף מרחוק.

• בינה מלאכותית (AI) באבחון רפואי: הנחיות חדשות דורשות בקרה על אלגוריתמים המשמשים לקבלת החלטות קליניות, תוך דגש על מניעת הטיות (Bias) ותיקוף המודלים לפני הטמעתם.

דיווח ושקיפות (חוזר 01/2021)

המבקר הפנימי בוחן את מנגנוני הדיווח המיידי למרכז ה-CERT של משרד הבריאות בעת זיהוי אירוע סייבר משמעותי, ואת תהליכי התחקור והפקת הלקחים לאחר אירוע.

סטנדרטים ומתודולוגיות

הביקורת מתבססת על שילוב של תקנים ייעודיים לעולם הרפואי:

• ISO 27799: תקן בינלאומי לניהול אבטחת מידע במגזר הבריאות (הרחבה ל-ISO 27001).

• NIST Cybersecurity Framework: להתמודדות עם איומי סייבר מורכבים.

• HIPAA (במידה ורלוונטי): התאמה לסטנדרטים אמריקאיים במקרים של שיתופי פעולה בינלאומיים או מחקרים קליניים.