Adatvédelem-vírusvédelem aktuális szervezeti kérdései az egészségügyi intézményekben

Adatvédelem-vírusvédelem aktuális szervezeti kérdései az egészségügyi intézményekben Nagy István Gottsegen György Országos Kardiológiai Intézet Informatikai osztályvezető

XXIII. Magyarországi Egészségügyi Napok Debrecen 2016

Felelős kórházi vezető kérdései informatikai adatvédelem és sérülékenység témában

• Milyen informatikai fenyegetéseknek vagyunk kitéve? • Vajon mennyire biztonságosak az informatikai rendszereim? • Mennyire nehéz kijátszani az általunk alkalmazott biztonsági technológiákat? • Elegendő-e az eddig elért biztonsági szintünk? Mit kell tennem annak érdekében, hogy – minél költséghatékonyabban, de – tovább lehessen növelni? • Mi a helyzet az adatszivárgással? Elkerülhető-e a bizalmas adatokkal való visszaélés? • Törvényi megfelelés ! ??

Az adatvédelemmel kapcsolatos kérdések indokoltságát alátámasztó tények

2015 év végén több egészségügyi informatikával kapcsolatos projekt lezáródott TIOP 2.3.3 EESZT (TIOP 2.3.2) eHealth szolgáltatások (TIOP 2.3.1)

Hamarosan indul az EESZT és a hozzá kapcsolódó szolgáltatások

2016 év első 8 hónapjában mind az európai, mind a magyar kórházakban okoztak meglepetéseket és zavarokat a vírusok

Adatvédelmi audit

Forrás- Dr. Hortobágyi József Operatív projektvezető, TIOP 2.3.3

TIOP 2.3.3. kapcsán készült kérdőíves felmérés melynek a projektcélja a fekvő- és járóbeteg intézmények IT infrastruktúráinak, HIS rendszereinek és külső internetes / publikus felületeinek IT biztonsági auditja, az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvényben (Ibtv.), valamint végrehajtási rendeleteiben foglalt követelményrendszer meglétének vizsgálata. Hatókör


A projektben részt vevő összes (191) db. intézmény


144 db intézmény adott választ (75%)




A kérdőívben szereplő megválaszolt kérdések aránya átlagosan 32,5%-os volt.

Kibertér (cyberspace) A számítógéprendszerek és hálózatok által alkotott metaforikus tér,amelyben elektronikus adatok tárolódnak és online adatforgalom, valamint kommunikáció zajlik. A kifejezés a tudományos-fantasztikus irodalomból ment át a köztudatba, ahol olyan virtuális világot is jelent(het), amelyben a megszállott számítógép használók és más lények, például kiborgok élnek. (Wikipedia)

Az elektronikus információbiztonsági megfelelőség és sérülékenység-vizsgálat célja • pontos kép alakuljon ki a rendszerben meglévő azon informatikai sérülékenységekről, melyek a rendszerben tárolt védett adatokhoz való illetéktelen hozzáférést tesznek lehetővé, és • célszerű javaslat szülessen az e sérülékenységekből adódó kockázatok csökkentésére, illetve megszüntetésére, • valamint, hogy megállapítsa, hogy a megvalósított rendszerek mennyiben felelnek meg a 2013. évi L. törvény és végrehajtási rendeleteiben foglaltaknak.

Az elektronikus információbiztonsági megfelelőség és sérülékenység-vizsgálat célja


Kockázatkezelés és kibervédelem





Szervezet





Informatikai biztonsági felelős; kibervédelmi képzések; biztosítás károkozás esetére;

Hálózat- és információvédelem





Eszközök, szoftverek nyilvántartása; adattárolási helyek; külső rendszer kapcsolatok; szabályzatok; korábbi felmérések, vizsgálatok voltak-e;

Hálózatbiztonsági eszközök; fejlesztői-teszt környezet; szabályozás: info. eszk. mozgatása, külső adattárolók; archiválás, incidenskezelés, mentési eljárások, titkosítás, hitelesítés

Távoli hozzáférés kockázatai


Módja; igénybe vehető szolgáltatások; authentikáció; authorizáció; naplózás; határvédelem; behatolás védelem;

Az elektronikus információbiztonsági megfelelőség és sérülékenység-vizsgálat célja -2


Szállítói és harmadik félből eredő kockázatok





Jogosulatlan tevékenység észlelése





Szabályzatok kiterjesztése beszállítókra; minőség bizt. tanúsítványok; it bizt. követelmények beszerzéskor; szállító hozzáférése belső erőforráshoz; szállítói támogatás kívülről;

naplózás; monitorozás: hálózat, eszközök, külső hozzáférések, jogosulatlan eszközök belső hálózatban; veszélyes kódok futásának ellenőrzése;

Eddigi incidensek és kezelésük


Volt e?: Malware; DOS/DDOS; alkalmazás leállás hardver hiba miatt; jogosulatlan hozzáférés vállalati / nem vállalati eszközön keresztül; adathalász levél; érzékeny adatszivárgás;

A felmérés alapján a jellemző intézményi problémák

Weboldal sérülékenység miatt portál alkalmazások kompromittálhatóak, adatok elérhetővé tehetőek illetve miatt kapcsolat létesíthető a belső rendszerekkel

• • • • •

Ha a szoftver nem jól van megírva sérülékenyebb a rendszerünk Csak a használt hálózati protokollok engedélyezése (pl:TCP/IP) A protokoll titkosítási erősség beállítása A kommunikáció titkosítási algoritmusának megadása A kommunikációra használt portok nyitása vagy zárása (pl.HTTP - Port 80) • Titkosított kommunikációra használt port nyitása vagy zárása • Weboldal sérülékenység webhosting esetében nehezen ellenőrizhető, más nem ismert weboldalak miatt

Gyenge, triviális, kitalálható, alapértelmezett vagy gyári jelszavak használata

Külső „harmadik fél” által üzemeltetett szolgáltatás veszélye – hibaelhárítás lassú

Az információbiztonság kiterjesztése mobil eszközökre Minden korábbi elképzelést felülmúl a mobil eszközök napjainkban tapasztalható térnyerése. Okostelefonok, táblagépek, netbook-ok, notebook-ok széles skálája könnyíti meg életünket és nyújt soha nem látott kommunikációs szabadságot. Nem szabad azonban elfeledkeznünk arról, hogy ezek az eszközök komoly biztonsági kockázatot is hordoznak, hiszen bizalmas adatokhoz adnak hozzáférést, sokszor nem megfelelően kontrollált módon. A vállalati felhasználóknál gyakran előfordul, hogy az ilyen eszközök alkalmazásakor elsiklanak az információbiztonsági szempontok felett.

Az információbiztonság kiterjesztése mobil eszközökre Néhány példa: • Nem védik jelszóval, PIN kóddal az eszközhöz való hozzáférést, így az eszköz elvesztése, ellopása vagy egyszerűen magára hagyása esetén könnyen vissza tudnak élni a rajta tárolt bizalmas adatainkkal. • A mobil eszközökön futó operációs rendszerek nem titkosítva tárolják az adatokat. • A tárolt adatokról nem mindig készülnek biztonsági mentések, azaz az eszköz elvesztése, ellopása esetén gyakorlatilag megsemmisülnek pótolhatatlan bizalmas adataink. • Tömegesen használják az alapból nem biztonságos kommunikációs csatornákat (wifi, bluetooth). • A közösségi oldalakkal való automatikus adatszinkronizáció révén bizalmas adatok is könnyedén publikálásra kerülhetnek, ezzel gyakorlatilag megszüntetve a vállalati adattestek szeparáltságát.

Hálózatok túlzott átjárhatósága

Cél: világméretű infokommunikációs hálózat kialakítása, amely biztosítja a különböző hálózatok közti barangolás képességét, anélkül, hogy a felhasználó ennek a hatásait bármilyen módon érzékelné: a felhasználó szemszögéből a kommunikáció transzparens legyen.

Információbiztonság tudatosság hiánya

Hiányzó biztonsági szabályzatok és betartatásuk

Túlzóan széleskörű jogosultság adás (kényelmi okból) szakmai és nem szakmai rendszerekhez 1. authentikáció (authentication) – hitelesítés (személy)azonosítás biztosítása 2. A megfelelő autentikáció után következik a jogosultságok felhasználóhoz vagy egyéb szubjektumhoz rendelése. Fontos kiemelni, hogy a megfelelő autentikációt követheti egy nem megfelelő autorizáció . Amennyiben nem megfelelő a jogosultságok kezelése, úgy a rendszer mindhárom fő biztonsági paramétere sérülhet.

Internetes oldalak korlátlan használata

Naplózás és naplómenedzsment hiánya, mely nélkül adatlopások és kémkedési kampányok nem deríthetőek fel

Elavult, régi nem támogatott rendszerek és szoftverek használata A szoftverben felismert biztonsági rések nem kerülnek kijavításra.

https://pixelmarketing.hu/serulekeny-bovitmenyek-2016-julius/

A dolgozók informatikai biztonság tudatosságának oktatása

Mottó: az aggodalom önmagában senkit nem óv meg semmitől. A tudás, a tapasztalatok és a segítség viszont annál inkább.