האחריות לתחום הגנת הסייבר - כשש שנים לאחר קבלת החלטות הממשלה 2443 ו-2444 בנושא היערכות לאומית וקידום אסדרה לאומית בהגנת הסייבר (בשנת 2015), ועל אף החשיבות הלאומית שבהסדרת הגנת הסייבר, לא הוסדרו סמכויות מערך הסייבר הלאומי כלפי היחידות להכוונה מקצועיות ב...
פעילות משרד הבריאות בתחום הגנת הסייבר - משרד הבריאות לא השלים את גיבוש הנחיותיו בתחום הגנת הסייבר הכוללות עקרונות יסוד לניהול הגנת סייבר וכלים להתמודד עם אירוע סייבר, והן לא הופצו; במסגרת בקרות הרישוי שביצע המשרד במרכזים הרפואיים בשנים 2019 ו-2020 הוא ...
אחריות חטיבת המרכזים הרפואיים הממשלתיים לתחום אבטחת מידע וסייבר - לחטיבת המרכזים הרפואיים במשרד הבריאות אין תמונת מצב מיטבית בדבר איכות אבטחת המידע בכל אחד מהמרכזים הרפואיים שבאחריותה. אף שהחלטת הממשלה קובעת שהחטיבה תשמש גוף מטה בתחום מערכות מידע, ואף ...
מדיניות אבטחת מידע במוסדות הרפואיים - ועדת היגוי ובעלי תפקידים - ב-19 מוסדות רפואיים מ-25 המוסדות הרפואיים שענו על שאלון אבטחת המידע מנכ"ל המוסד לא עמד בראש ועדת ההיגוי לתחום הגנת המידע; שמונה מ-25 המוסדות הרפואיים לא מינו ממונה הגנה על הפרטיות.
מדיניות אבטחת מידע במוסדות הרפואיים ועמידתם בנוהלי אבטחת המידע - המוסדות הרפואיים נבדלים ביניהם במידה רבה מבחינת היחס בין מספר עובדי המוסד העוסקים בתחום אבטחת המידע או הגנת סייבר ובין מספר העובדים במוסד: בחמישה מוסדות יש איש צוות אבטחת מידע ל-1,000 עוב...
התאוששות מאסון והמשכיות עסקית של מכשור רפואי - מתוך 17 המוסדות, לשניים אין תוכנית להתאוששות מאסון (למשל מתקפת סייבר על תשתיות מערכות המידע של המוסד הרפואי) או תוכניות להמשכיות עסקית (יכולתו של ארגון להמשיך בפעילותו הרגילה); לשישה אין אתר חלופי (DR) זמי...
אבטחת מידע בעת רכישת מכשיר רפואי חדש - מתוך 17 המוסדות שנבדקו, חמישה לא כללו בנוהלי הרכש שלהם התייחסות להיבטי אבטחת מידע במכשור הרפואי, ולאחד אין נוהל רכש; חמישה לא התנו את רכישת המכשור הרפואי בכך שממונה אבטחת המידע יאשר את ביצוע הרכש, ולעיתים מוסדות ר...
הגנה על המכשירים הרפואיים בזמן השימוש בהם במוסד הרפואי - מבין 17 המוסדות הרפואיים שנבדקו שישה לא מיפו את כל המכשירים הרפואיים שברשותם; לא כל המוסדות כללו במיפויים שעשו את מאפייני אבטחת המידע העיקריים של המכשירים; קיימים חוסרים מהותיים במערך ההגנה שהמוס...
בקרות הרשאה פיזיות ולוגיות למכשירי דימות - הרשאות גישה, ניהול רשימת משתמשים ומדיניות סיסמאות הם כלי מרכזי ביישום מדיניות אבטחת מידע בכל ארגון. שבעה מוסדות לא ביצעו לפחות פעם אחת עדכון של רשימת המשתמשים בעלי הרשאות לוגיות (שם משתמש וסיסמה) למערך המכשור ...
הגנה על המכשירים ועל המידע שבהם בעת תחזוקתם ובעת פיענוח תוצאות - במוסד אחד טכנאים חיצוניים מבצעים פעילות תחזוקה ללא ליווי של המוסד הרפואי ושני מוסדות רפואיים לא החתימו את החברות הנותנות שירותי תחזוקה למכשירים הרפואיים, או את טכנאי חברות אלו, על הסכם סו...