Adatvédelem-vírusvédelem aktuális szervezeti kérdései az egészségügyi intézményekben Nagy István Gottsegen György Országos Kardiológiai Intézet Informatikai osztályvezető XXIII. Magyarországi Egészségügyi Napok Debrecen 2016
Felelős kórházi vezetőkérdései informatikai adatvédelem és sérülékenység témában
Milyen informatikai fenyegetéseknek vagyunk kitéve? Vajon mennyire biztonságosak az informatikai rendszereim? Mennyire nehéz kijátszani az általunk alkalmazott biztonsági technológiákat? Elegendő-e az eddig elért biztonsági szintünk? Mit kell tennem annak érdekében, hogy minél költséghatékonyabban, de tovább lehessen növelni? Mi a helyzet az adatszivárgással? Elkerülhető-e a bizalmas adatokkal való visszaélés? Törvényi megfelelés!??
Az adatvédelemmel kapcsolatos kérdések indokoltságát alátámasztó tények
2015 év végén több egészségügyi informatikával kapcsolatos projekt lezáródott EESZT (TIOP 2.3.2) ehealth szolgáltatások (TIOP 2.3.1) TIOP 2.3.3
Hamarosan indul az EESZT és a hozzá kapcsolódó szolgáltatások
2016 év első 8 hónapjában mind az európai, mind a magyar kórházakban okoztak meglepetéseket és zavarokat a vírusok
Adatvédelmi audit Forrás- Dr. Hortobágyi József Operatív projektvezető, TIOP 2.3.3
TIOP 2.3.3. kapcsán készült kérdőíves felmérés melynek a projektcélja Hatókör a fekvő- és járóbeteg intézmények IT infrastruktúráinak, HIS rendszereinek és külső internetes / publikus felületeinek IT biztonsági auditja, az állami és önkormányzati szervek elektronikus információbiztonságáról szóló 2013. évi L. törvényben (Ibtv.), valamint végrehajtási rendeleteiben foglalt követelményrendszer meglétének vizsgálata. A projektben részt vevő összes (191) db. intézmény 144 db intézmény adott választ (75%) A kérdőívben szereplő megválaszolt kérdések aránya átlagosan 32,5%-os volt.
Kibertér(cyberspace) A számítógéprendszerekéshálózatokáltal alkotott metaforikus tér,amelyben elektronikus adatok tárolódnak ésonlineadatforgalom, valamint kommunikáció zajlik. A kifejezés atudományos-fantasztikus irodalombólment át a köztudatba, ahol olyan virtuális világot is jelent(het), amelyben a megszállott számítógép használók és más lények, például kiborgok élnek. (Wikipedia)
Az elektronikus információbiztonsági megfelelőség és sérülékenység-vizsgálat célja pontos kép alakuljon ki a rendszerben meglévő azon informatikai sérülékenységekről, melyek a rendszerben tárolt védett adatokhoz való illetéktelen hozzáférést tesznek lehetővé, és célszerű javaslat szülessen az e sérülékenységekből adódó kockázatok csökkentésére, illetve megszüntetésére, valamint, hogy megállapítsa, hogy a megvalósított rendszerek mennyiben felelnek meg a 2013. évi L. törvény és végrehajtási rendeleteiben foglaltaknak.
Az elektronikus információbiztonsági megfelelőség és sérülékenység-vizsgálat célja Kockázatkezelés és kibervédelem Eszközök, szoftverek nyilvántartása; adattárolási helyek; külső rendszer kapcsolatok; szabályzatok; korábbi felmérések, vizsgálatok voltak-e; Szervezet Informatikai biztonsági felelős; kibervédelmi képzések; biztosítás károkozás esetére; Hálózat-és információvédelem Hálózatbiztonságieszközök;fejlesztői-teszt környezet; szabályozás: info. eszk. mozgatása, külső adattárolók; archiválás, incidenskezelés, mentési eljárások, titkosítás, hitelesítés Távoli hozzáférés kockázatai Módja; igénybe vehető szolgáltatások; authentikáció; authorizáció; naplózás; határvédelem; behatolás védelem;
Az elektronikus információbiztonsági megfelelőség és sérülékenység-vizsgálat célja -2 Szállítói és harmadik félből eredő kockázatok Szabályzatok kiterjesztése beszállítókra; minőség bizt. tanúsítványok; it bizt. követelmények beszerzéskor; szállító hozzáférése belső erőforráshoz; szállítói támogatás kívülről; Jogosulatlan tevékenység észlelése naplózás; monitorozás: hálózat, eszközök, külső hozzáférések, jogosulatlan eszközök belső hálózatban; veszélyes kódok futásának ellenőrzése; Eddigi incidensek és kezelésük Volt e?: Malware; DOS/DDOS; alkalmazás leállás hardver hiba miatt; jogosulatlan hozzáférés vállalati / nem vállalati eszközön keresztül; adathalász levél; érzékeny adatszivárgás;
A felmérés alapján a jellemző intézményi problémák
Weboldal sérülékenység miatt portál alkalmazások kompromittálhatóak, adatok elérhetővé tehetőek illetve miatt kapcsolat létesíthető a belső rendszerekkel Ha a szoftver nem jól van megírva sérülékenyebb a rendszerünk Csak a használt hálózati protokollok engedélyezése (pl:tcp/ip) A protokoll titkosítási erősség beállítása A kommunikáció titkosítási algoritmusának megadása A kommunikációra használt portok nyitása vagy zárása (pl.http- Port 80) Titkosított kommunikációra használt port nyitása vagy zárása Weboldal sérülékenység webhostingesetében nehezen ellenőrizhető, más nem ismert weboldalak miatt
Gyenge, triviális, kitalálható, alapértelmezett vagy gyári jelszavak használata
Külső harmadik fél által üzemeltetett szolgáltatás veszélye hibaelhárítás lassú
Az információbiztonság kiterjesztése mobil eszközökre Minden korábbi elképzelést felülmúl a mobil eszközök napjainkban tapasztalható térnyerése. Okostelefonok, táblagépek, netbook-ok, notebook-ok széles skálája könnyíti meg életünket és nyújt soha nem látott kommunikációs szabadságot. Nem szabad azonban elfeledkeznünk arról, hogy ezek az eszközök komoly biztonsági kockázatot is hordoznak, hiszen bizalmas adatokhoz adnak hozzáférést, sokszor nem megfelelően kontrollált módon. A vállalati felhasználóknál gyakran előfordul, hogy az ilyen eszközök alkalmazásakor elsiklanak az információbiztonsági szempontok felett.
Az információbiztonság kiterjesztése mobil eszközökre Néhány példa: Nem védik jelszóval, PIN kóddal az eszközhöz való hozzáférést, így az eszköz elvesztése, ellopása vagy egyszerűen magára hagyása esetén könnyen vissza tudnak élni a rajta tárolt bizalmas adatainkkal. A mobil eszközökön futó operációs rendszerek nem titkosítva tárolják az adatokat. A tárolt adatokról nem mindig készülnek biztonsági mentések, azaz az eszköz elvesztése, ellopása esetén gyakorlatilag megsemmisülnek pótolhatatlan bizalmas adataink. Tömegesen használják az alapból nem biztonságos kommunikációs csatornákat(wifi, bluetooth). A közösségi oldalakkal való automatikus adatszinkronizációrévén bizalmas adatok is könnyedén publikálásra kerülhetnek, ezzel gyakorlatilag megszüntetve a vállalati adattestek szeparáltságát.
Hálózatok túlzott átjárhatósága Cél: világméretű infokommunikációs hálózat kialakítása, amely biztosítja a különböző hálózatok közti barangolás képességét, anélkül, hogy a felhasználó ennek a hatásait bármilyen módon érzékelné: a felhasználó szemszögéből a kommunikáció transzparens legyen.
Információbiztonság tudatosság hiánya
Hiányzó biztonsági szabályzatok és betartatásuk
Túlzóan széleskörű jogosultság adás (kényelmi okból) szakmai és nem szakmai rendszerekhez 1. authentikáció (authentication) hitelesítés (személy)azonosítás biztosítása 2. A megfelelő autentikáció után következik a jogosultságok felhasználóhoz vagy egyéb szubjektumhoz rendelése. Fontos kiemelni, hogy a megfelelő autentikációtkövetheti egy nem megfelelő autorizáció. Amennyiben nem megfelelő a jogosultságok kezelése, úgy a rendszer mindhárom fő biztonsági paramétere sérülhet.
Internetes oldalak korlátlan használata
Naplózás és naplómenedzsment hiánya, mely nélkül adatlopások és kémkedési kampányok nem deríthetőek fel
Elavult, régi nem támogatott rendszerek és szoftverek használata A szoftverben felismert biztonsági rések nem kerülnek kijavításra.
https://pixelmarketing.hu/serulekeny-bovitmenyek-2016-julius/
A dolgozók informatikai biztonság tudatosságának oktatása
Mottó: az aggodalom önmagában senkit nem óv meg semmitől. A tudás, a tapasztalatok és a segítség viszont annál inkább.