IST IHRE KRITISCHE SPITALINFRASTRUKTUR GENÜGEND … · 2018-06-06 · KMU Erfahrungen mit...

IST IHRE KRITISCHE SPITALINFRASTRUKTUR GENÜGEND GESCHÜTZT? Daniel Gvozdenac, Sales ManagerClemens Chizzali-Bonfadin, Senior ConsultantRemo Mittler, Senior Network Specialist

Avectris AGwww.avectris.ch IT. Simply Personal.

BEGRÜSSUNG & VORSTELLUNG

FACTS & FIGURES

Information Security in Healthcare | 07.06.2018

Umsatz: CHF 67.1 Mio.(2016 / 2017)

Kundenstandorte Schweiz ~ 200 | Europa ~ 25 | USA | China

Mitarbeitende: > 270 inkl. 17 Lernende

Einer der grössten Lehrlings-ausbildner für Informatikerim Kanton Aargau

Über 50 zufriedene Kunden aus dem Schweizer Energiesektor und Mittelstand

Mehr als 15 Jahre Erfahrungmit IT-Infrastrukturen, Applikationen und Netzwerken

ÜBER AVECTRIS

© Avectris AG | Slide 3

SICHERHEIT – EIN TEIL DER AVECTRIS DNAZUVERLÄSSIGE UND ROBUSTE IT-SYSTEME


HealthEnergyInformation Security in Healthcare | 07.06.2018

Information Security in Healthcare | 07.06.2018 © Avectris AG | Slide 5

KRANKENHAUS <-> ENERGIEVERSORGUNG

Information Security in Healthcare | 07.06.2018 © Avectris AG | Slide 6

GEMEINSAMKEITEN / UNTERSCHIEDE

• Gemeinsamkeiten• kritische Infrastrukturen• hohe gesellschaftliche Relevanz• Gesundheit und Energie sind Grundversorgung• Ausfälle sind unbedingt zu verhindern

• Unterschiede• unterschiedliche Arten von schützenswerten Daten• sensible Daten (Gesundheit)• geheime Daten (Sicherheit)

• unterschiedlicher Zugang zu Daten• offener Zugang zu Computer• streng geschützte Bereiche

TOP 10 GLOBAL BUSINESS RISKS 2018


Source: Allianz Risk Barometer 2018


BETRIEBSUNTERBRECHUNG


BUSINESS CONTINUITY MANAGEMENT (BCM)

• Was passiert bei einem Ausfall einzelner, vieler oder aller IT-Systeme?

• Haben Sie einen Notfall- bzw. Krisenplan?

• Haben Sie diesen Plan schon mal geübt?


CYBER SECURITY – AKTUELLE BEDROHUNGSLAGE


SPITÄLER IM VISIERMarktplatz für Daten und Attacken

Quelle: SC Magazine Juli 2016

Ebenso wenig wie man eine abgelaufene Spritze oder ein abgelaufenes Medikament verwenden darf, sollten miteinander verbundene medizinische Geräte, deren Betriebssystem veraltet oder nicht mit den aktuellsten Sicherheitsupdates ausgestattet ist, noch verwendet werden. Genau das ist aber heute der Fall!

Quelle: Michel BuriStv. Leiter Informatik Service

Verantwortlicher Informatiksicherheit Spital Wallis

MELANI Halbjahresbericht 2017/1


CYBER SECURITY – AKTUELLE BEDROHUNGSLAGE


DIE FAKTENBekannte Schadprogramme (bis Mai 2017)

Quelle: BSI, Die Lage der IT-Sicherheit in Deutschland 2017,AV-Test Botinfektionen nach Betriebssystemen

BSI, Die Lage der IT-Sicherheit in Deutschland 2017

Quelle: gfs-zürich, Cyberrisiken in Schweizer KMUs,Dezember 2017

KMU Erfahrungen mit Cyberangriffen in der Schweiz

Im Jahr 2017 wurden 4587verschiedene eindeutige Phishing-Seiten über das von MELANI betriebene Portal antiphishing.ch gemeldet.

Quelle:

MELANI Halbjahresbericht 2017/II

Von Januar bis Mai 2017 wurden rund 280.000 neueSchadprogrammvarianten pro Tag beobachtet.

Quelle: BSI, Die Lage der IT-Sicherheit in Deutschland 2017


IT-SICHERHEIT

Perimeter Transparenz

Monitoring Datenschutz


ÜBERBLICK


IT-SICHERHEIT




PERIMETER

• Ist Ihr Internetzugang vor Angriffen geschützt?• Welche Systeme dürfen sich mit dem Internet verbinden?• Welche Informationen/Daten dürfen aus dem Internet

geholt werden?• Haben Ihre Medizintechnik-Geräte eine Verbindung zum

Internet?

• Sind Ihre IT-Systeme geschützt?• Sind Ihre Kommunikationsmittel geschützt?• Ist Ihre Medizintechnik geschützt?


IT-SICHERHEIT




TRANSPARENZ


• Sind alle Geräte im Netzwerk bekannt?• Dürfen sich nur bekannte Geräte mit dem Netzwerk

verbinden?• Wie werden diese verwaltet?• Welche Systeme dürfen miteinander kommunizieren?

• Sind alle Benutzernamen tatsächlichen Personen zugeordnet?

• Unterliegen Administratorkonten besonderen Regelungen?• Ist der Zugriff auf sensible Daten beschränkt?• Ist bekannt, wer auf sensible Daten zugreifen darf?

IT-SICHERHEIT




MONITORING


• Werden alle Systeme überwacht?• Internetzugang• Netzwerk• Server• PCs

• Werden alle Zugriffe überwacht?• Systeme• Daten

• Sind alle Zugriffe nachvollziehbar?

IT-SICHERHEIT




DATENSCHUTZ


• Wo sind Ihre sensiblen Daten gespeichert?• Wer darf auf Ihre sensiblen Daten zugreifen?• Wo darf auf Ihre sensiblen Daten zugegriffen werden?• Sind Ihre sensiblen Daten ausreichend vor unberechtigten

Zugriffen geschützt?• Werden alle gesetzlichen Vorgaben berücksichtigt?

• Schweizer Datenschutzgesetz• EU-DSGVO

SCHWACHSTELLEN UND GEFAHRENQUELLEN


INTERNETZUGRIFF

• Offen oder bestenfalls leicht eingeschränkter Zugang aus …• Usernetzwerken• Servernetzwerken• Netzwerken für Medizinalgeräte

• Gefahr durch …• Infizierte Websites• Werbeanzeigen• Ungehinderter Download von Malware• Veraltete Softwareversionen• Alte bekannte wie Internet Explorer und Flash


SCHWACHSTELLEN UND GEFAHRENQUELLEN


FEHLENDE NAC (NETWORK ACCESS CONTROL)

• Zentrale Administration setzt Netzwerkverbindungen voraus• Netzwerkanschlüsse müssen vorhanden sein

• Gefahr durch …• Gezielte Angriffe aus dem Internen Netzwerk• Jedes Gerät kann sich mit dem Netzwerk verbinden• Je nach Konfiguration sind weitreichende Zugriffe auf andere Geräte und Netzwerke möglich


LÖSUNGSANSÄTZE


GRUNDSATZ

• Komfort und Security sind Begriffe, die sich gegenseitig ausschliessen

• Jedoch: Sobald sich alle über die Security beklagen wird es gefährlich• Mitarbeiter suchen Umgehungslösungen (diese «Kreativität» darf nicht unterschätzt werden)

Security muss gegenüber den Anwendern und Mitarbeitern möglichst transparent bzw. nicht «sichtbar» sein


LÖSUNGSANSÄTZE


RESTRIKTIVER INTERNETZUGRIFF

• Umsetzung von Best Practise beim Internetzugriff• So restriktiv wie möglich

• Brauchen Server und Geräte aus der Medizinaltechnik wirklich Zugriff ins Internet?

• Sehr sichere Zugriffe sind mit geeigneten technischen Hilfsmitteln ohne grossen Aufwand möglich• Sperrung von Zugriffen auf unbekannte Websites• Sperrung von bestimmten Top Level Domains• Sperrung von bestimmten Dateitypen


LÖSUNGSANSÄTZE


ROLLENKONZEPT

• Rollendefinition (Aufgabenbereiche)• Was wird zur Ausübung dieser Aufgaben benötigt?

• Funktionsdefinition• Granulare Definition von einzelnen Aufgaben

Empfangsmitarbeiter/in

Radiologie Mitarbeiter/in MRI


LÖSUNGSANSÄTZE


STARKE ZONIERUNG

• Voraussetzung: Zonenkonzept• Gruppierung von Systemen bzw. deren Einsatzzwecken

• Verhindern von (unerwünschten) zonenübergreifenden Verbindungen• Eingehende Zugriffe nicht generell öffnen• Lediglich für definierte Systeme bzw. User/Usergruppen (aufbauend auf Rollenkonzept)


LÖSUNGSANSÄTZE


STARKE ZONIERUNG - BEISPIEL

Zone Management

Netzwerkmanagement ESX Management Firewallmanagement Storagemanagement

Zone Medical Devices

Radiologie Dialyse Laborgeräte

Zone Internal Ressources

Active Directory Exchange Citrix Backend Monitoring Datenbanken Softwareverteilung


LÖSUNGSANSÄTZE


RESTRIKTIVE INTERNE ZUGRIFFE

• Umsetzung von Datacenter Best Practise• Basierend auf Zonenkonzept• Klare Richtlinien definieren

Technology trust is a good thing, but control is a better one.


AVECTRIS CONSULTING


INFORMATIONSSICHERHEIT & DATENSCHUTZ

Rent a CISO

Aufbau Informationssicher-heitsmanagement nach ISO 27001

Business Continuity Management

Awareness (z.B. Phishing Kampagne)

Umsetzung EU DSGVO Datenschutzgesetz

Begleitung zur ISO 27001 Zertifizierung

Security Operation Center (SOC)

Umsetzung des neuen Schweizer Datenschutzgesetzes

Quick-Health-Check


Avectris AG

Bruggerstrasse 68, Postfach

CH-5401 Baden

T +41 58 411 77 77

F +41 58 411 77 78

www.avectris.ch IT. Simply Personal.

Wir sind für Sie da

IST IHRE KRITISCHE SPITALINFRASTRUKTUR GENÜGEND … · 2018-06-06 · KMU Erfahrungen mit...

Documents

Transcript of IST IHRE KRITISCHE SPITALINFRASTRUKTUR GENÜGEND … · 2018-06-06 · KMU Erfahrungen mit...