diagnose der informationssicherheit in ihrem unternehmen · 88 erwartungen die digitalisierung hat...
TRANSCRIPT
Diagnose der Informationssicherheit in Ihrem UnternehmenInformation Security in Healthcare
Hans-Joachim BlachSenior Information Security Consultant
06. Juni 2019
22
AdNovum
Ungarn
AdNovum
Singapur
AdNovum
Vietnam
AdNovum
Zürich (HQ)Bern
Lausanne
AdNovum
Portugal
AdNovum auf einen Blick
Enterprise-scale software and security solutions
1988 gegründet, privat gehaltene Aktiengesellschaft
600 Mitarbeitende weltweit
Kunden in der Schweiz, Deutschland, Singapur und weiteren Ländern,
Privatwirtschaft und öffentliche Hand, alle Branchen, über 50% Finanz
ConsultingStrategien, Konzepte,
Assessments
Software SolutionsMassgeschneiderte Software
für Web und Mobile
NEVISZugriffsschutz und
Benutzerverwaltung
Cyber SecurityAudits, Konzepte und
Lösungen zum umfassenden Schutz der IT
Application ManagementBetrieb, Wartung und
Support von Applikationen und Systemen
User ExperienceIntuitive und ansprechende
Kundenerlebnisse
33
https://hotforsecurity.bitdefender.com/blog/ransomware-attack-encrypts-medical-records-at-australian-hospital-20887.html
44
https://www.heise.de/security/meldung/Unzureichend-abgesichert-Defibrillator-Implantate-offen-fuer-Hacker-Attacken-4342484.html
55
Wie sieht es mit der Akzeptanz aus?
66
Akzeptanz eHealth
Pragmatische Internetnutzung –Sensibilisierung für Datenmissbrauch
Studie im Auftrag von ICTswitzerland, Februar 2017
77
Trends eHealth
Die weltweite Anzahl der Downloads von Health-Apps im Jahr 2016 betrug
ca. 3,2 Milliarden, 2013 lag die Anzahl bei ca.1,7 Milliarden
Der globale Markt für Diabetes-Apps erreichte im Jahr 2016 einen
Höchstwert von 135,5 Millionen, wovon 4,1 Millionen aktiv eine Diabetes-
App benutzen.
88
Erwartungen
Die Digitalisierung hat auch das Gesundheitswesen erfasst, und die
Verheissungen sind gross.
Dem elektronischen Patientendossier wird enormes Potential für eine
Verbesserung von Qualität und Wirtschaftlichkeit im Gesundheitswesen
attestiert.
Die Erwartung besteht, dass damit endlich eine besser integrierte und stärker
patientenzentrierte Versorgung ermöglicht wird.
Die Gensequenzierung erlaubt neue Diagnose- und Therapiemöglichkeiten, die
viel gezielter auf das Individuum ausgerichtet sind. Etc…
99
Doch neben den grossen Hoffnungen auf ein effizienteres Wirtschaften
und auf ein besseres Leben entstehen auch neue Herausforderungen.
Datensicherheit, Datenschutz und Cyberkriminalität stehen für die
Kehrseite der Medaille!
1010
Wunsch und Wirklichkeit
Nov. 2018
1111
Chancen und Angriffsflächen
1212
weitere Anforderungen, Regulatorien und Normen
▪ BAG, Gesetzgebung Arzneimittel…
▪ (Medical Device Regulation, MDR) ab 2020, Ersatz für Medizinprodukterichtlinie 93/42/EWG (Medical Device Directive, MDD)
▪ DIN EN 62304 VDE 0750-101:2016-10
▪ Anforderungen an den Lebenszyklus von Medizinprodukte-Software
▪ Softwareentwicklung relevante Norm IEC 62304 («Health software – Software life cycleprocesses»)
▪ Risikomanagement (IEC 14971),
▪ IEC 82304-1:2016 Gesundheitssoftware - Teil 1: Allgemeine Anforderungen für die Produktsicherheit (Standalone Software vs. embedded -> 62304)
▪ ISO/CD 13485 "Quality Systems--Medical Devices--Supplementary Requirements to ISO 9001
▪ ISO27799, Gesundheitsinformatik - Informationssicherheitsmanagement im Gesundheitswesen nach ISO/IEC 27002
▪ GDPR, Patientendaten -> ISO27799, Kap. 3.8 Kritis Spitäler
▪ Etc. etc.
1313
Wer soll sich um all diese Themen kümmern?
1414
Wer kümmert sich um das Thema?
Quelle: https://www.allianz-fuer-cybersicherheit.de/SharedDocs/Downloads/ACS/cyber-sicherheits-umfrage_2018.pdf
1515
Aufgaben der Unternehmen
1616
▪ Zwischenfazit Anforderungsprofil
▪ Erwartungen Digitalisierung -> managen
▪ Cyber Angriffsflächen identifizieren -> managen
▪ Cyber Vektoren, Bedrohungen identifizieren -> managen
▪ regulatorische Auflagen analysieren -> managen
▪ Standards und Normen identifizieren -> managen
Aufgaben der Unternehmen im Gesundheitsbereich Phase I
1717
▪ Digitalisierung heisst;
▪ Unternehmung müssen weitere Kompetenzen entwickeln
▪ Governance ->Regierungsführung, Steuerung, Kontrolle, angemessene Unternehmensorganisation
▪ Angemessene Repräsentanz, d.h. innerhalb des Unternehmens muss eine Organisationseinheit aufgebaut werden die in der Lage ist, diese verschiedenen Anforderungen zu managen.
▪ Diese Organisationseinheit heisst Informations-Sicherheits-Management (ISM).
Aufgaben der Unternehmen im Gesundheitsbereich Phase II
1818
Management der Informationssicherheit
▪ Informations-Sicherheits-Management (ISM Team).
▪ Informations-Sicherheit Management System (ISMS ->all in one)
▪ Ein ISMS ist ein systematischer Ansatz für die Einrichtung, Implementierung, den Betrieb, die Überwachung, die Überprüfung, die Wartung und die Verbesserung der Informationssicherheit eines Unternehmens zur Erreichung der Geschäftsziele.
▪ Es basiert auf einer Risikobewertung und dem Risikoakzeptanzniveau des Unternehmens, um Risiken effektiv zu behandeln und zu managen.
▪ Kontinuierlicher Prozess solange das Unternehmen existiert!
1919
Aufgaben des Unternehmens
Phase 1
▪ Unternehmensprofil erstellen
▪ Unternehmensaufgabe definieren
▪ Unternehmensstrategie definieren
▪ Erwartung an Digitalisierung formulieren
▪ Governance
▪ Reicht die Kompetenz und Organisationsstruktur um die Strategien und Visionen sicher umzusetzen?
2020
Aufgaben des Unternehmens
Phase 2
▪ Organisationsstruktur bezüglich Security und Risiken definieren
▪ “Information Security Management” (ISM) Team zusammenstellen welches in der Lage ist
alle IT Security Anforderungen zu definieren, prüfen, verwalten, umzusetzen bzw. durchzusetzen
▪ Das ISM Team ist eine Querfunktion – es arbeitet mit Legal and Compliance, internem RiskManagement, der IT sowie der GL zusammen
▪ Verantwortlichkeiten regeln und benennen
2121
Aufgaben des Unternehmens
Phase 3
▪ Kernprozesse definieren/dokumentieren und Anforderungskataloge erstellen (z.B. IT-Security Anforderungskatalogs für die Beschaffung von internetfähigen Geräten und der damit verbundenen Services)
▪ Risiko-Metriken definieren, bzw. interne Metriken übernehmen
▪ Auslegeordnung über sämtliche Sicherheitsthemen erstellen
▪ Evaluieren der regulatorischen Anforderungen
▪ Bedrohungsanalyse durchführen
▪ Gap/Risiko Analyse durchführen und mögliche Massnahmen definieren und priorisieren
2222
Aufgaben des Unternehmens
Phase 4
▪ Risikobearbeitung
▪ Mindern
▪ Transferieren
▪ Akzeptieren
▪ Vermeiden
▪ Priorisierte organisatorische und technische Umsetzungen
2323
Aufgaben des Unternehmens
Phase 5
▪ Periodische Überprüfungder Rahmenbedingungen,Risiken und Massnahmen
2424
Aufgaben des Unternehmens
ISMS = Information Security Management System
Phase 6
▪ Ich betreibe schon ein ISMS!
▪ Kombinieren Sie verschiedene Compliance Anforderungen miteinander?
▪ Z.B. die DSGVO mit ISO-Standards oder mit Access Control
▪ Wann haben Sie die letzte GAP Analyse durchgeführt?
▪ Wann wurde die letzte technische Analyse durchgeführt?
▪ Wie prüfen Sie , Z.B. die Login Prozeduren, die Rollenkonzepte, die Netzwerksegmentierung? Wie wurde das tatsächlich konfiguriert?
▪ Neue Digitalisierungsprogramme mit Einfluss auf Cyber Security?
2525
IT Risikomanagement und ISMS
ISMS = Information Security Management System
2626
ISMS als Teil des Risiko Managements
To do List «für uns alle»
➢Das Ziel «Cyber Resilienz» muss jeden Tag auf der Agenda stehen!
➢Governance, Verantwortung klar benennen, regeln und managen
➢Risikoprofil erstellen, managen
➢Cyber Incident Response Prozess definieren und einüben
➢ Schaffen Sie immer wieder Awarness im Unternehmen
➢Versicherungen helfen
➢Behalten Sie die Turnschuhe an, seien sie einen Schritt voraus…nicht hinterher!
2727
Cyber SecurityNEVISConsulting Application
Management
Software Solutions User Experience
Hans-Joachim Blach, Senior Information Security Consultant
www.adnovum.ch