IST IHRE KRITISCHE SPITALINFRASTRUKTUR GENÜGEND … · 2018-06-06 · KMU Erfahrungen mit...
Transcript of IST IHRE KRITISCHE SPITALINFRASTRUKTUR GENÜGEND … · 2018-06-06 · KMU Erfahrungen mit...
IST IHRE KRITISCHE SPITALINFRASTRUKTUR GENÜGEND GESCHÜTZT? Daniel Gvozdenac, Sales ManagerClemens Chizzali-Bonfadin, Senior ConsultantRemo Mittler, Senior Network Specialist
Avectris AGwww.avectris.ch IT. Simply Personal.
BEGRÜSSUNG & VORSTELLUNG
FACTS & FIGURES
Information Security in Healthcare | 07.06.2018
Umsatz: CHF 67.1 Mio.(2016 / 2017)
Kundenstandorte Schweiz ~ 200 | Europa ~ 25 | USA | China
Mitarbeitende: > 270 inkl. 17 Lernende
Einer der grössten Lehrlings-ausbildner für Informatikerim Kanton Aargau
Über 50 zufriedene Kunden aus dem Schweizer Energiesektor und Mittelstand
Mehr als 15 Jahre Erfahrungmit IT-Infrastrukturen, Applikationen und Netzwerken
ÜBER AVECTRIS
© Avectris AG | Slide 3
SICHERHEIT – EIN TEIL DER AVECTRIS DNAZUVERLÄSSIGE UND ROBUSTE IT-SYSTEME
© Avectris AG | Slide 4
HealthEnergyInformation Security in Healthcare | 07.06.2018
Information Security in Healthcare | 07.06.2018 © Avectris AG | Slide 5
KRANKENHAUS <-> ENERGIEVERSORGUNG
Information Security in Healthcare | 07.06.2018 © Avectris AG | Slide 6
GEMEINSAMKEITEN / UNTERSCHIEDE
• Gemeinsamkeiten• kritische Infrastrukturen• hohe gesellschaftliche Relevanz• Gesundheit und Energie sind Grundversorgung• Ausfälle sind unbedingt zu verhindern
• Unterschiede• unterschiedliche Arten von schützenswerten Daten• sensible Daten (Gesundheit)• geheime Daten (Sicherheit)
• unterschiedlicher Zugang zu Daten• offener Zugang zu Computer• streng geschützte Bereiche
TOP 10 GLOBAL BUSINESS RISKS 2018
© Avectris AG | Slide 7
Source: Allianz Risk Barometer 2018
Information Security in Healthcare | 07.06.2018
BETRIEBSUNTERBRECHUNG
© Avectris AG | Slide 8
BUSINESS CONTINUITY MANAGEMENT (BCM)
• Was passiert bei einem Ausfall einzelner, vieler oder aller IT-Systeme?
• Haben Sie einen Notfall- bzw. Krisenplan?
• Haben Sie diesen Plan schon mal geübt?
Information Security in Healthcare | 07.06.2018
CYBER SECURITY – AKTUELLE BEDROHUNGSLAGE
© Avectris AG | Slide 9
SPITÄLER IM VISIERMarktplatz für Daten und Attacken
Quelle: SC Magazine Juli 2016
Ebenso wenig wie man eine abgelaufene Spritze oder ein abgelaufenes Medikament verwenden darf, sollten miteinander verbundene medizinische Geräte, deren Betriebssystem veraltet oder nicht mit den aktuellsten Sicherheitsupdates ausgestattet ist, noch verwendet werden. Genau das ist aber heute der Fall!
Quelle: Michel BuriStv. Leiter Informatik Service
Verantwortlicher Informatiksicherheit Spital Wallis
MELANI Halbjahresbericht 2017/1
Information Security in Healthcare | 07.06.2018
CYBER SECURITY – AKTUELLE BEDROHUNGSLAGE
© Avectris AG | Slide 10
DIE FAKTENBekannte Schadprogramme (bis Mai 2017)
Quelle: BSI, Die Lage der IT-Sicherheit in Deutschland 2017,AV-Test Botinfektionen nach Betriebssystemen
BSI, Die Lage der IT-Sicherheit in Deutschland 2017
Quelle: gfs-zürich, Cyberrisiken in Schweizer KMUs,Dezember 2017
KMU Erfahrungen mit Cyberangriffen in der Schweiz
Im Jahr 2017 wurden 4587verschiedene eindeutige Phishing-Seiten über das von MELANI betriebene Portal antiphishing.ch gemeldet.
Quelle:
MELANI Halbjahresbericht 2017/II
Von Januar bis Mai 2017 wurden rund 280.000 neueSchadprogrammvarianten pro Tag beobachtet.
Quelle: BSI, Die Lage der IT-Sicherheit in Deutschland 2017
Information Security in Healthcare | 07.06.2018
IT-SICHERHEIT
Perimeter Transparenz
Monitoring Datenschutz
© Avectris AG | Slide 11
ÜBERBLICK
Information Security in Healthcare | 07.06.2018
IT-SICHERHEIT
Perimeter Transparenz
Monitoring Datenschutz
© Avectris AG | Slide 12
PERIMETER
• Ist Ihr Internetzugang vor Angriffen geschützt?• Welche Systeme dürfen sich mit dem Internet verbinden?• Welche Informationen/Daten dürfen aus dem Internet
geholt werden?• Haben Ihre Medizintechnik-Geräte eine Verbindung zum
Internet?
• Sind Ihre IT-Systeme geschützt?• Sind Ihre Kommunikationsmittel geschützt?• Ist Ihre Medizintechnik geschützt?
Information Security in Healthcare | 07.06.2018
IT-SICHERHEIT
Perimeter Transparenz
Monitoring Datenschutz
© Avectris AG | Slide 13
TRANSPARENZ
Information Security in Healthcare | 07.06.2018
• Sind alle Geräte im Netzwerk bekannt?• Dürfen sich nur bekannte Geräte mit dem Netzwerk
verbinden?• Wie werden diese verwaltet?• Welche Systeme dürfen miteinander kommunizieren?
• Sind alle Benutzernamen tatsächlichen Personen zugeordnet?
• Unterliegen Administratorkonten besonderen Regelungen?• Ist der Zugriff auf sensible Daten beschränkt?• Ist bekannt, wer auf sensible Daten zugreifen darf?
IT-SICHERHEIT
Perimeter Transparenz
Monitoring Datenschutz
© Avectris AG | Slide 14
MONITORING
Information Security in Healthcare | 07.06.2018
• Werden alle Systeme überwacht?• Internetzugang• Netzwerk• Server• PCs
• Werden alle Zugriffe überwacht?• Systeme• Daten
• Sind alle Zugriffe nachvollziehbar?
IT-SICHERHEIT
Perimeter Transparenz
Monitoring Datenschutz
© Avectris AG | Slide 15
DATENSCHUTZ
Information Security in Healthcare | 07.06.2018
• Wo sind Ihre sensiblen Daten gespeichert?• Wer darf auf Ihre sensiblen Daten zugreifen?• Wo darf auf Ihre sensiblen Daten zugegriffen werden?• Sind Ihre sensiblen Daten ausreichend vor unberechtigten
Zugriffen geschützt?• Werden alle gesetzlichen Vorgaben berücksichtigt?
• Schweizer Datenschutzgesetz• EU-DSGVO
SCHWACHSTELLEN UND GEFAHRENQUELLEN
© Avectris AG | Slide 17
INTERNETZUGRIFF
• Offen oder bestenfalls leicht eingeschränkter Zugang aus …• Usernetzwerken• Servernetzwerken• Netzwerken für Medizinalgeräte
• Gefahr durch …• Infizierte Websites• Werbeanzeigen• Ungehinderter Download von Malware• Veraltete Softwareversionen• Alte bekannte wie Internet Explorer und Flash
Information Security in Healthcare | 07.06.2018
SCHWACHSTELLEN UND GEFAHRENQUELLEN
© Avectris AG | Slide 18
FEHLENDE NAC (NETWORK ACCESS CONTROL)
• Zentrale Administration setzt Netzwerkverbindungen voraus• Netzwerkanschlüsse müssen vorhanden sein
• Gefahr durch …• Gezielte Angriffe aus dem Internen Netzwerk• Jedes Gerät kann sich mit dem Netzwerk verbinden• Je nach Konfiguration sind weitreichende Zugriffe auf andere Geräte und Netzwerke möglich
Information Security in Healthcare | 07.06.2018
LÖSUNGSANSÄTZE
© Avectris AG | Slide 19
GRUNDSATZ
• Komfort und Security sind Begriffe, die sich gegenseitig ausschliessen
• Jedoch: Sobald sich alle über die Security beklagen wird es gefährlich• Mitarbeiter suchen Umgehungslösungen (diese «Kreativität» darf nicht unterschätzt werden)
Security muss gegenüber den Anwendern und Mitarbeitern möglichst transparent bzw. nicht «sichtbar» sein
Information Security in Healthcare | 07.06.2018
LÖSUNGSANSÄTZE
© Avectris AG | Slide 20
RESTRIKTIVER INTERNETZUGRIFF
• Umsetzung von Best Practise beim Internetzugriff• So restriktiv wie möglich
• Brauchen Server und Geräte aus der Medizinaltechnik wirklich Zugriff ins Internet?
• Sehr sichere Zugriffe sind mit geeigneten technischen Hilfsmitteln ohne grossen Aufwand möglich• Sperrung von Zugriffen auf unbekannte Websites• Sperrung von bestimmten Top Level Domains• Sperrung von bestimmten Dateitypen
Information Security in Healthcare | 07.06.2018
LÖSUNGSANSÄTZE
© Avectris AG | Slide 21
ROLLENKONZEPT
• Rollendefinition (Aufgabenbereiche)• Was wird zur Ausübung dieser Aufgaben benötigt?
• Funktionsdefinition• Granulare Definition von einzelnen Aufgaben
Empfangsmitarbeiter/in
Radiologie Mitarbeiter/in MRI
Information Security in Healthcare | 07.06.2018
LÖSUNGSANSÄTZE
© Avectris AG | Slide 22
STARKE ZONIERUNG
• Voraussetzung: Zonenkonzept• Gruppierung von Systemen bzw. deren Einsatzzwecken
• Verhindern von (unerwünschten) zonenübergreifenden Verbindungen• Eingehende Zugriffe nicht generell öffnen• Lediglich für definierte Systeme bzw. User/Usergruppen (aufbauend auf Rollenkonzept)
Information Security in Healthcare | 07.06.2018
LÖSUNGSANSÄTZE
© Avectris AG | Slide 23
STARKE ZONIERUNG - BEISPIEL
Zone Management
Netzwerkmanagement ESX Management Firewallmanagement Storagemanagement
Zone Medical Devices
Radiologie Dialyse Laborgeräte
Zone Internal Ressources
Active Directory Exchange Citrix Backend Monitoring Datenbanken Softwareverteilung
Information Security in Healthcare | 07.06.2018
LÖSUNGSANSÄTZE
© Avectris AG | Slide 24
RESTRIKTIVE INTERNE ZUGRIFFE
• Umsetzung von Datacenter Best Practise• Basierend auf Zonenkonzept• Klare Richtlinien definieren
Technology trust is a good thing, but control is a better one.
Information Security in Healthcare | 07.06.2018
AVECTRIS CONSULTING
© Avectris AG | Slide 25
INFORMATIONSSICHERHEIT & DATENSCHUTZ
Rent a CISO
Aufbau Informationssicher-heitsmanagement nach ISO 27001
Business Continuity Management
Awareness (z.B. Phishing Kampagne)
Umsetzung EU DSGVO Datenschutzgesetz
Begleitung zur ISO 27001 Zertifizierung
Security Operation Center (SOC)
Umsetzung des neuen Schweizer Datenschutzgesetzes
Quick-Health-Check
Information Security in Healthcare | 07.06.2018
Avectris AG
Bruggerstrasse 68, Postfach
CH-5401 Baden
T +41 58 411 77 77
F +41 58 411 77 78
www.avectris.ch IT. Simply Personal.
Wir sind für Sie da