Diagnose der Informationssicherheit in Ihrem UnternehmenInformation Security in Healthcare

Hans-Joachim BlachSenior Information Security Consultant

06. Juni 2019

22

AdNovum

Ungarn

AdNovum

Singapur

AdNovum

Vietnam

AdNovum

Zürich (HQ)Bern

Lausanne

AdNovum

Portugal

AdNovum auf einen Blick

Enterprise-scale software and security solutions

1988 gegründet, privat gehaltene Aktiengesellschaft

600 Mitarbeitende weltweit

Kunden in der Schweiz, Deutschland, Singapur und weiteren Ländern,

Privatwirtschaft und öffentliche Hand, alle Branchen, über 50% Finanz

ConsultingStrategien, Konzepte,

Assessments

Software SolutionsMassgeschneiderte Software

für Web und Mobile

NEVISZugriffsschutz und

Benutzerverwaltung

Cyber SecurityAudits, Konzepte und

Lösungen zum umfassenden Schutz der IT

Application ManagementBetrieb, Wartung und

Support von Applikationen und Systemen

User ExperienceIntuitive und ansprechende

Kundenerlebnisse

33

https://hotforsecurity.bitdefender.com/blog/ransomware-attack-encrypts-medical-records-at-australian-hospital-20887.html

44

https://www.heise.de/security/meldung/Unzureichend-abgesichert-Defibrillator-Implantate-offen-fuer-Hacker-Attacken-4342484.html

55

Wie sieht es mit der Akzeptanz aus?

66

Akzeptanz eHealth

Pragmatische Internetnutzung –Sensibilisierung für Datenmissbrauch

Studie im Auftrag von ICTswitzerland, Februar 2017

77

Trends eHealth

Die weltweite Anzahl der Downloads von Health-Apps im Jahr 2016 betrug

ca. 3,2 Milliarden, 2013 lag die Anzahl bei ca.1,7 Milliarden

Der globale Markt für Diabetes-Apps erreichte im Jahr 2016 einen

Höchstwert von 135,5 Millionen, wovon 4,1 Millionen aktiv eine Diabetes-

App benutzen.

88

Erwartungen

Die Digitalisierung hat auch das Gesundheitswesen erfasst, und die

Verheissungen sind gross.

Dem elektronischen Patientendossier wird enormes Potential für eine

Verbesserung von Qualität und Wirtschaftlichkeit im Gesundheitswesen

attestiert.

Die Erwartung besteht, dass damit endlich eine besser integrierte und stärker

patientenzentrierte Versorgung ermöglicht wird.

Die Gensequenzierung erlaubt neue Diagnose- und Therapiemöglichkeiten, die

viel gezielter auf das Individuum ausgerichtet sind. Etc…

99

Doch neben den grossen Hoffnungen auf ein effizienteres Wirtschaften

und auf ein besseres Leben entstehen auch neue Herausforderungen.

Datensicherheit, Datenschutz und Cyberkriminalität stehen für die

Kehrseite der Medaille!

1010

Wunsch und Wirklichkeit

Nov. 2018

1111

Chancen und Angriffsflächen

1212

weitere Anforderungen, Regulatorien und Normen

▪ BAG, Gesetzgebung Arzneimittel…

▪ (Medical Device Regulation, MDR) ab 2020, Ersatz für Medizinprodukterichtlinie 93/42/EWG (Medical Device Directive, MDD)

▪ DIN EN 62304 VDE 0750-101:2016-10

▪ Anforderungen an den Lebenszyklus von Medizinprodukte-Software

▪ Softwareentwicklung relevante Norm IEC 62304 («Health software – Software life cycleprocesses»)

▪ Risikomanagement (IEC 14971),

▪ IEC 82304-1:2016 Gesundheitssoftware - Teil 1: Allgemeine Anforderungen für die Produktsicherheit (Standalone Software vs. embedded -> 62304)

▪ ISO/CD 13485 "Quality Systems--Medical Devices--Supplementary Requirements to ISO 9001

▪ ISO27799, Gesundheitsinformatik - Informationssicherheitsmanagement im Gesundheitswesen nach ISO/IEC 27002

▪ GDPR, Patientendaten -> ISO27799, Kap. 3.8 Kritis Spitäler

▪ Etc. etc.

1313

Wer soll sich um all diese Themen kümmern?

1414

Wer kümmert sich um das Thema?

Quelle: https://www.allianz-fuer-cybersicherheit.de/SharedDocs/Downloads/ACS/cyber-sicherheits-umfrage_2018.pdf

1515

Aufgaben der Unternehmen

1616

▪ Zwischenfazit Anforderungsprofil

▪ Erwartungen Digitalisierung -> managen

▪ Cyber Angriffsflächen identifizieren -> managen

▪ Cyber Vektoren, Bedrohungen identifizieren -> managen

▪ regulatorische Auflagen analysieren -> managen

▪ Standards und Normen identifizieren -> managen

Aufgaben der Unternehmen im Gesundheitsbereich Phase I

1717

▪ Digitalisierung heisst;

▪ Unternehmung müssen weitere Kompetenzen entwickeln

▪ Governance ->Regierungsführung, Steuerung, Kontrolle, angemessene Unternehmensorganisation

▪ Angemessene Repräsentanz, d.h. innerhalb des Unternehmens muss eine Organisationseinheit aufgebaut werden die in der Lage ist, diese verschiedenen Anforderungen zu managen.

▪ Diese Organisationseinheit heisst Informations-Sicherheits-Management (ISM).

Aufgaben der Unternehmen im Gesundheitsbereich Phase II

1818

Management der Informationssicherheit

▪ Informations-Sicherheits-Management (ISM Team).

▪ Informations-Sicherheit Management System (ISMS ->all in one)

▪ Ein ISMS ist ein systematischer Ansatz für die Einrichtung, Implementierung, den Betrieb, die Überwachung, die Überprüfung, die Wartung und die Verbesserung der Informationssicherheit eines Unternehmens zur Erreichung der Geschäftsziele.

▪ Es basiert auf einer Risikobewertung und dem Risikoakzeptanzniveau des Unternehmens, um Risiken effektiv zu behandeln und zu managen.

▪ Kontinuierlicher Prozess solange das Unternehmen existiert!

1919

Aufgaben des Unternehmens

Phase 1

▪ Unternehmensprofil erstellen

▪ Unternehmensaufgabe definieren

▪ Unternehmensstrategie definieren

▪ Erwartung an Digitalisierung formulieren

▪ Governance

▪ Reicht die Kompetenz und Organisationsstruktur um die Strategien und Visionen sicher umzusetzen?

2020

Aufgaben des Unternehmens

Phase 2

▪ Organisationsstruktur bezüglich Security und Risiken definieren

▪ “Information Security Management” (ISM) Team zusammenstellen welches in der Lage ist

alle IT Security Anforderungen zu definieren, prüfen, verwalten, umzusetzen bzw. durchzusetzen

▪ Das ISM Team ist eine Querfunktion – es arbeitet mit Legal and Compliance, internem RiskManagement, der IT sowie der GL zusammen

▪ Verantwortlichkeiten regeln und benennen

2121

Aufgaben des Unternehmens

Phase 3

▪ Kernprozesse definieren/dokumentieren und Anforderungskataloge erstellen (z.B. IT-Security Anforderungskatalogs für die Beschaffung von internetfähigen Geräten und der damit verbundenen Services)

▪ Risiko-Metriken definieren, bzw. interne Metriken übernehmen

▪ Auslegeordnung über sämtliche Sicherheitsthemen erstellen

▪ Evaluieren der regulatorischen Anforderungen

▪ Bedrohungsanalyse durchführen

▪ Gap/Risiko Analyse durchführen und mögliche Massnahmen definieren und priorisieren

2222

Aufgaben des Unternehmens

Phase 4

▪ Risikobearbeitung

▪ Mindern

▪ Transferieren

▪ Akzeptieren

▪ Vermeiden

▪ Priorisierte organisatorische und technische Umsetzungen

2323

Aufgaben des Unternehmens

Phase 5

▪ Periodische Überprüfungder Rahmenbedingungen,Risiken und Massnahmen

2424

Aufgaben des Unternehmens

ISMS = Information Security Management System

Phase 6

▪ Ich betreibe schon ein ISMS!

▪ Kombinieren Sie verschiedene Compliance Anforderungen miteinander?

▪ Z.B. die DSGVO mit ISO-Standards oder mit Access Control

▪ Wann haben Sie die letzte GAP Analyse durchgeführt?

▪ Wann wurde die letzte technische Analyse durchgeführt?

▪ Wie prüfen Sie , Z.B. die Login Prozeduren, die Rollenkonzepte, die Netzwerksegmentierung? Wie wurde das tatsächlich konfiguriert?

▪ Neue Digitalisierungsprogramme mit Einfluss auf Cyber Security?

2525

IT Risikomanagement und ISMS

ISMS = Information Security Management System

2626

ISMS als Teil des Risiko Managements

To do List «für uns alle»

➢Das Ziel «Cyber Resilienz» muss jeden Tag auf der Agenda stehen!

➢Governance, Verantwortung klar benennen, regeln und managen

➢Risikoprofil erstellen, managen

➢Cyber Incident Response Prozess definieren und einüben

➢ Schaffen Sie immer wieder Awarness im Unternehmen

➢Versicherungen helfen

➢Behalten Sie die Turnschuhe an, seien sie einen Schritt voraus…nicht hinterher!

2727

Cyber SecurityNEVISConsulting Application

Management

Software Solutions User Experience

Hans-Joachim Blach, Senior Information Security Consultant

Hans-joachim.blach@adnovum.ch

www.adnovum.ch