פורסם לראשונה: 12:50 11.04.2011 מאת: ענבל אורפז
פרופסור אביאל רובין, חוקר אבטחת מידע באוניברסיטת ג'ונס הופקינס במרילנד סבור שישראל מובילה בעולם באבטחת מידע רפואי - אולם גם כאן תלויים הרופאים ברשת. "לרופאים אין שום מערכת גיבוי שאינה מחוברת לאינטרנט"
התאשפזתם בבית חולים לצורך ביצוע ניתוח. כעבור מספר ימים משחררים אתכם הביתה, אבל לפני כן עליכם לעבור דרך מזכירות המחלקה ולשלם עבור השירותים שקיבלתם. האם תרצו לחלוק עם מזכירת המחלקה, שהיא במקרה גם השכנה שלכם, את לחץ הדם שלכם, תרופות ההרגעה אותן אתם מקבלים ואת פרטי הניתוח שעברתם בברך? התשובה היא ככל הנראה - לא. מידע רפואי אישי הוא אחד התחומים הרגישים והפרטיים ביותר, שמעסיק אנשי אבטחת מידע בכל העולם המנסים להגן עליו. פרופ' אביאל רובין מאוניברסיטת ג'ונס הופקינס במרילנד הגיע לשנה לאוניברסיטת תל-אביב כדי לחקור את נושא זה במסגרת תוכנית פולברייט (Fullbright) לחילופי סטודנטים ומרצים מצטיינים.
"ישראל מובילה בעולם באבטחת מידע רפואי, מבינים כאן את הבעיות יותר טוב מהרבה מקומות אחרים" אמר השבוע רובין ל-The Marker. בישראל, קופות החולים מנהלות רישום אלקטרוני של המידע הרפואי מזה תקופה ארוכה. אולם, לא כך המצב בארה"ב. "בארה"ב לא הכל מחובר לרשת כמו כאן. עד לא מזמן לא השתמשו בארה"ב במידע אלקטרוני אלא הכל היה בתיקיות מנייר, עליהן שמו מפתח ומנעול במקרה הטוב. אם הייתה שריפה לא היה העתק והכל היה הולך לאיבוד", מספר רובין. "יש הרבה יתרונות במעבר למידע אלקטרוני, אבל אחת מהשאלות היא איך שומרים על הפרטיות". במסגרת שהותו בישראל מפתח רובין שיטה להצפנת מידע רפואי, כך שרק מי שמורשה לגשת למידע יוכל לעשות כן.
רובין בחר לבוא לישראל כדי לשתף פעולה עם מומחי אבטחת מידע וקריפטוגרפיה באקדמיה. במסגרת המחקר שלו מפתח רובין שיטה להצפנת המידע כך שהוא יוצפן פעם אחת בלבד, וכל משתמש יוכל לגשת למידע אותו הוא מורשה לראות באמצעות מפתח. זאת בניגוד לשיטה הלא יעילה לדבריו, המקובלת כיום - בה נעשה מספר רב של הצפנות או שהגישה מתקבלת באמצעות Access Control למערכת בית החולים. במקרה כזה, מי שיודע לעקוף את ההרשאות שניתנו לו על ידי המערכת, יכול לגשת למידע שאינו מורשה לראות.
אחד מהפתרונות אותו מפתח רובין וכבר בנה לו אבטיפוס הוא העברת מידע מוצפן באמצעות אייפון, כך שהמטופל יוכל להעביר את המידע המקודד מהמעבדה או בית החולים והרופא שלו בלבד יוכל לפתוח אותו. "בארה"ב החוק אומר שהמידע שייך למטופל, אבל לא קל לקבל את המידע הזה", מסביר רובין. "לשם כך יצרנו מערכת שמאפשרת למטופל לקחת את המידע מבית החולים באופן מוצפן באמצעות האייפון".
אבטחת המידע הרפואי מקודמת על-ידי הממשל האמריקאי הנוכחי כחלק מרפורמת הרפואה. רובין נמנה על קבוצה של 20 חוקרים ברחבי ארה"ב, שקיבלו מענק בגובה 15 מיליון דולר לחקור שיטות בתחום, וכמו כן קיבל מענק של 1.8 מיליון דולר מטעם ה- National Science Fundלפיתוח הטכנולוגיה שלו. כמו כן, הנשיא ברק אובמה הקצה 60 מיליארד דולר מתקציב המדינה כדי לאפשר לרופאים לרכוש מערכות אלקטרוניות. רופא שלא ינצל את התקציב שניתן לו, בגובה 45 אלף דולר בתוך שנתיים, ייקנס.
לדברי רובין, ביצוע התוכנית יגרום למצב בו "כל אחד ירכוש מערכת אחרת ויהיה 'ספגטי'. "הבעיה של ארה"ב היא שהמחשבה מאוד דמוקרטית וקפיטליסטית, לפיה אין זה תפקיד הממשלה להורות לעסקים ולתעשייה איך עושים דברים, אז הם עושים את זה בעצמם", אומר רובין. "אין שום רגולציה מהממשלה שאומרת שצריך מערכת כזו או אחרת, לכן חלק מהרופאים מחכים לראות מה יהיה פופולארי כדי שיוכלו להתממשק למערכות".
המטרה של רובין היא ללמוד ממה שנעשה בישראל בתחום אבטחת הרשומות הרפואיות וליישם את הידע בארה"ב. לטענתו, ישנם שני יתרונות גדולים לישראל: הראשון הוא האוכלוסייה המצומצמת. לדבריו "הרבה יותר קל לפתח מערכת מידע אלקטרונית עם 2 מיליון משתמשים, מאשר מערכת עם 350 מיליון משתמשים". היתרון השני והמשמעותי יותר בעיני רובין הוא מספרי הזהות שישנם לכל אזרח ישראלי, אשר ניתן להשתמש בהם בתור אינדקס.
בניגוד לישראל, רובין מספר כי בארה"ב אסור להשתמש במספר הביטוח הלאומי (social security) למידע רפואי, מטעמי פרטיות. "בגלל שאין מספר אינדקס, עלול להיווצר בלבול כאשר מעבירים מידע בין מערכות שאינן מתממשקות ביניהן". רובין סבור כי בישראל פתוחים יותר לניסיונות בטכנולוגיה מתקדמת, בגלל ש"כל המידע כבר אלקטרוני ומשום שרוב האנשים משתייכים לאחת מארבע קופות חולים" לעומת זאת, לטענתו, בארה"ב "יש בלגן ואין שום דבר הגיוני במערכות".
למרות שרובין חולק מחמאות למערכות המידע הרפואי בישראל, הוא מציין שגם הן אינן חפות מבעיות. "החולשה בישראל וגם בארה"ב היא שהמערכות לגמרי תלויות באינטרנט ואין אפשרות לעשות דברים בלעדיו. אם תהיה התקפה על האינטרנט, והוא לא יפעל במשך כמה ימים הרופאים לא יוכלו לעבוד כי אין להם שום מערכת גיבוי שאינה מבוססת על האינטרנט איתה הם יודעים לעבוד. דיברתי עם רופא שאמר שכשיש בעיה עם החשמל הוא אומר למטופלים לחזור במועד אחר והוא מטפל רק במקרים של סכנת חיים".
בנוסף לתחום אבטחת המידע הרפואי, מתמחה רובין גם בתחום מאגרי המידע הביומטריים שעומדים במרכז סדר היום הישראלי לאחרונה. "יש דוגמאות למקרים בהם זה מאוד נכון להשתמש בביומטרי", הוא אומר. "אבל במקרים אחרים זה לא עובד וזה מסוכן. הבעיה עם הביומטרי היא שאם גנבו לך את המידע - זה לכל החיים". בכל אופן אומר רובין "אם מיישמים את טכנולוגית האבטחה בצורה נכונה, אפשר לעשות את זה. צריך להשתמש בהצפנה ובקבוצה של האקרים טובים שינסו לפרוץ. צריך שכל הזמן יהיו העתקים וגיבויים". רובין מתייחס למקרה שהתרחש בשנה שעברה בארה"ב בו נפל טייפ גיבוי ממשאית, שהכיל את כל המידע של אחד מבתי החולים בצורה לא מוצפנת.
רובין צופה כי יישום הטכנולוגיה שלו לא יהיה יקר, משום שמדובר בפיתוח של תוכנה. אולם, לצערו, הוא מכיר בכך ש"לפתח מערכת במסגרת מחקר היא דבר שונה מאשר יישומה במציאות. המחקר שלי תקף לחמש השנים הקרובות, לא למחר".