אבטחת מידע בתקשורת מקוונת

הכותב אינו מומחה לאבטחה ולא משפטן אלא מטפל מרחוק מזה מספר שנים ומבוסס על ידע קודם.


לאור השימוש הגובר בשיחות וידיאו ואמצעי תקשורת אחרים בטיפול מרחוק, מצאתי לנכון לחדד מספק נקודות.

מטרת הדברים המובאים אינה להגיד באיזה תוכנה נכון להשתמש אלה להבין את השיקולים.

בהמשך ארחיב מה הוא אותו HIPAA שמרבים להזכיר לאחרונה, אבל קודם אזכיר על מה אנחנו בעצם צריכים להגן:

1) עצם העובדה שפלוני מטופל (מטה-דטה).

2) רשומות אודות פלוני.

3) תוכן שיחות.


הנושא האחרון, תוכן השיחות, הוא בד"כ המדובר ביותר – כלומר רוב השיח כיום הוא האם תוכנה זו או אחרת מאובטחת ובאיזה רמה. לדוגמה – האם האבטחה היא מ'קצה לקצה' או 'בין קצוות'. סוגייה זו עלתה בהקשר של זום. אבטחת קצה לקצה משמעה שיש סוג של צינור בין המחשבים של השותפים לשיחה, וכמעט בלתי אפשרי להפיץ לתוכן השיחה כל עוד הוא 'בצינור'.


בזום הצינור הוא בין מחשב (או טלפון) משתתף לבין חוות השרתים של זום, ומהחווה של זום עד למחשבים של השותפים האחרים לשיחה. כלומר עובד בזום באופן תיאורטי יכול להקשיב לשיחה. עוד הוזכר כי חלק מהשרתים של זום ממוקמים בסין. אגב, לגופו של עניין, אין כל חשיבות למיקום הפיזי של שרתים – בכל מקרה ניתן לגשת אליהם מכל מקום בעולם!

בעקרון, אין זה בעיה לפי HIPAA או החוקים של רוב המדינות, בתנאי שזום עומד בתנאי האבטחה בתוך החברה. על כך נפרט בהמשך.

בעיה נוספת עלתה בהקשר תוכן השיחה נובעת מכך שזום לא שמי שמתחבר לשיחה יוגדר מראש, ואז אם מישהו משיג את מספר ה'חדר', הוא יכול (לעיתים בשוגג) להיכנס לחדר ולשמוע את תוכן השיחה (או להפריע).


זום מציע שני מענים לבעיה זו, 1) שימוש בחדר המתנה. 2) שימוש בסיסמא להקשות על כניסה לחדר ללא אישור.


בגרסה האחרונה של זום, אפשרויות אלו מופיעות תחת כפתור Security:

שמירה על הרשומות היא אחריותנו כמטפלים ובמקרה של רשומות במחשב, מחייבת מניעת גישה למחשב (וטלפון) שיש בו מזהים של מטופלים, כמובן כל פרטי אישי שאני רושם על מטופל במחשב/נייד וניתן לשיוך למטופל. בהקשר זה מומלץ להשתמש בתוכנה לניהול קליניקה שעומדת בדרישות החוק או תוכנה לאבטחת מסמכים.


נושא שמירה על פרטי ההתקשרות – כלומר מי מתקשר למי, נמצא בשליטה של ספק התקשורת (כגון זום, Whatsapp, Skype...) איתו אני עובד. בחלק מהתוכנות, המידע הזה הוא קניין של החברת התוכנה והזכות למכור את המידע הזה נמצא בבסיס המודל העסקי שלה. מוצרים כאלו אינם עומדים בתקני אבטחת המידע מאחר וניתן להבין כי אדם פלוני הינו מטופל שלך. Whatsapp למשל מצהיר כי הוא משתמש בפרטי התקשרות שלך ומעבירו לגופים מסחריים נוספים.

HIPAA

החוק האמריקאי המכונה HIPAA כולל מספר הנחיות בנוגע לשרותי בריאות וביניהם התייחסות גם לסוגיות של אבטחת מידע ושמירה על פרטיות מידע רפואי.

החוק הינו חוק אמריקאי איך יש הנוטים לאמץ אותו כמדיניות / המלצות בתחום אבטחת מידע לספקי שירותי בריאות.


עיקרי החוק (HIPAA) כוללים:


הגדרה: מידע אישי רפואי דיגיטלי - מידע רפואי המשויך לאדם ספציפי – ePHI .

· להבטיח סודיות, יושרה וזמינות של כל המידע אישי רפואי האלקטרוני שהם יוצרים, מקבלים, מתחזקים או משדרים.