Willkommen in der realen Welt!

Transkript

1 Willkommen in der realen Welt!

2 «Wenn der Wurm drin ist» IT Desaster in Gesundheitseinrichtungen «Engagiert für sichere Geschäftsprozesse» Stefan Burau / CISO Helsana Gruppe, 18. Juni 2018

3 Themen Sammlung Helsana Intro - für unsere Kunden engagiert Helsana Informatik - Helsana im Wandel... Cyber Kriminalität- sind wir sicher? Krisenmanagement in Helsana- wenn s dann passiert Lösungsansätze - Ganzheitlicher Ansatz als Erfolgsfaktor 2

4 Helsana der führende Schweizer Kranken- und Unfallversicherer Die Helsana-Gruppe steht Privaten und Unternehmen bei Gesundheit und Vorsorge sowie im Fall von Krankheit und Unfall umfassend zur Seite. 3

5 Helsana hat über 100 Jahre Erfahrung im Kranken- und Unfallversicherungsgeschäft. Prämieneinnahmen 70% Sozialversicherung, 30% Zusatzversicherung Pro Woche vergütet Helsana rund 100 Mio. CHF. 4

6 Helsana hat eine attraktive Grösse und beschäftigt über 3000 Mitarbeitende. Helsana übernimmt soziale Verantwortung und versichert 1.9 Mio. Menschen jede 4. Person in der Schweiz. 5

7 Helsana im Wandel

8 Helsana im Wandel Paradigma-Change auch innerhalb der IT Lösungsansatz Perimeterschutz Zero-Risk Dream & Compliance Fokussiert auf Kontrollen Sicherheitsstrategie & Bestandsaufnahme Risk Mgmt. & Information Classification (DRM) Application security & Mitarbeiter Awareness Fokussierter Ansatz auf Data Loss (DRM) Information-Risk & Life Cycle Fokus auf Teilnehmer & Security by Design Vorbeugen & Schützen «duck & cover» Cyber Security Operation Erkennen und Reagieren 7

9 Cyber Kriminalität

10 Cyber Kriminalität Von was sprechen wir? Massgebenden Bausteine innerhalb Cyber Kriminalität Cybercrime Informationssicherheit Applikationssicherheit Cybersafety Massgebende Bausteine der Cybersecurity sind: Informationssicherheit Applikationssicherheit Internetsicherheit Netzwerksicherheit Cybersecurity Netzwerksicherheit Internetsicherheit Schutz von kritischen Unternehmenswerten und Infrastrukturen Das Zusammenspiel ist dabei der zentrale Punkt. Geschützt werden sollen kritischen Werte wie: kritische Geschäftsprozesse IT-Infrastruktur Geschäfts- und Kundendaten sowie sämtliche dafür notwendigen Systeme und Applikationen 9

11 Cyber Kriminalität Von was sprechen wir? Bedrohungen und Schwachstellen Quelle: EY GISS Report 2017/18 10

12 Helsana als attraktives Ziel Mitarbeitende als Zielscheibe Bedrohungslage verschärft Gezielte Angriffe auf Krankenversicherungen und/oder Leistungserbringern Zusammenwirken verschiedener Merkmale Mitarbeitende als Zielscheibe Ausnutzen der Schwachstelle Mensch 11

13 Cyber Kriminalität Ausblick Zunahme von Cyber Risiken Cyber Risiken stellen ein ökonomisch relevantes Thema für die Schweizer Volkswirtschaft dar. Das Gefährdungspotential wird weiter zunehmen. Es gibt Anzeichen dafür, dass das Fehlen geeigneter staatlicher Rahmenbedingungen und damit die alleinige Regulierung über den Markt zu einer Unterinvestition in Cyber Security führt. Complianceanforderungen werden zunehmen Ausbildung von Spezialisten Der Regulator wird zu Cyber Risiken entsprechende Vorgaben machen und sie auch durchsetzen wollen. Bsp.: FINMA Rundschreiben 2008/21 Operationelle Risiken Banken «Grundsatz 4 Technologieinfrastruktur» Die Geschäftsleitung hat zudem ein Risikomanagement-Konzept What "Active Defense"? für den Umgang mit Cyber-Risiken zu implementieren. What needs to be improved? How to build "Active Defense" Um diese neuen Herausforderungen meistern zu können, benötigen die Krankenversicherer qualifizierte Spezialisten für den Umgang mit Cyber Risiken USZ Notfallsymposium S. Burau Helsana «Engagiert für sichere Geschäftsprozesse» 12

14 Krisenmanagement in Helsana Wenn s dann passiert

15 Krisenmanagement in Helsana es muss auch definiert sein Reglement Informationssicherheit Reglement Sicherheits- und Ereignismanagement What is "Active Defense"? What needs to be improved? How to build "Active Defense" USZ Notfallsymposium S. Burau Helsana «Engagiert für sichere Geschäftsprozesse» 14

16 Stossrichtungen für benötigte Ressourcen Grundsätzliche Handlungsansätze (Szenarien) regeln generisch die Stossrichtungen zur Sicherstellung Kundenkernprozessbezogener Ressourcen: Personal Facilities Technik / Telekommunikation Externe Dienstleister Interne Kommunikation Know-how Sicherstellung Arbeitsverlagerungen Schichtbetrieb Arbeitsplatzverlagerungen Home Office Datenverfügbarkeit Systemredundanz Kommunikationsmittel Service Level Definition Ausweich-Dienstleister Eskalationsverfahren Cyber Angriffe können in sämtlichen Szenarien auftreten 15

17 Organigramm Krisenstab --- Krisenstab * FGG: Führungsgrundgebiet Geschäftsleitung Leiter Krisenstab Leiter Stab Führungsunterstützung FGG* 1 Personelles FGG 2 Kommunikation FGG 3 Kundenservice & Leistungen FGG 4 Marketing & Vertrieb FGG 5 Informatik & Dienste FGG 6 Recht & Compliance FGG 7 Finanzen & Versicherungstechnik HR HR-Systeme Vertreter Peko Vertreter Care Medienstelle Internet/Intranet Leistungen - Service Center - Kundendienst Eventual- u. Folgeplanung Leistungen (BE) BCP Kundenservice & Leistungen Marketing & Vertrieb Eventual- u. Folgeplanung Marketing & Vertrieb (BE) BCP Marketing & Vertrieb Technology & Applikation Field Service Gebäudetechnik Transporte / Material Eventual- u.folgeplanung Informatik BCP Informatik Recht Debitoren Mgmt Rechnungswesen Versicherungstechnik Eventual- u. Folgeplanung Finanzen (BE) BCP Finanzen 16

18 Erhalten der Führungsfähigkeit in ausserordentlichen Lagen Der Krisenstab kommt zum Einsatz wenn unternehmensweite Ereignisse nicht durch die Linienorganisation bewältigt werden können. Übersicht gewinnen Probleme ordnen Lösungsvarianten erarbeiten Erarbeitung von Entscheidungsgrundlagen Koordination von Massnahmenumsetzung Koordination von Kommunikation 17

19 Schutz von Betrieb und Dienstleistung Kontinuitätsmanagement reduziert die Ausfalldauer kritischer Ressourcen wie, Mitarbeitende, Facility Technik / Telekommunikation/ Informatik usw. Ereignis Auswahl und Inkraftsetzung vorbereiteter Pläne Koordination der Umsetzung Eine Versicherungspolice für die Unternehmung 18

20 Lösungsansätze Ganzheitlicher Ansatz als Erfolgsfaktor

21 Fördern des Bewusstseins & Verhalten Ganzheitlicher Ansatz als Erfolgsfaktor & Kernbotschaften Etablieren adäquate Sicherheitskultur Bewusster Umgang mit Risiken um Geschäftsprozesse abzusichern Sichere Informationsverarbeitung Fördern Eigenverantwortung im Sinne der unternehmerischen Werte und Ziele Festlegen & einhalten Vorgaben Verhalten prüfen 20

22 Sicherheitskultur ist ein Verhaltensmerkmal einer Gruppe oder Organisation wie mit Fragen zur Sicherheit umgegangen wird. Es unterliegt einem komplexen Lernprozess, in dem sich gemeinsame Ziele, Interessen, Normen, Werte und Verhaltensmuster herausbilden.. Wir gehen auf Sicher! Informationssicherheit 21

23 Vielen Dank! Stefan Burau (CISO) / Risk Management stefan.burau@helsana.ch 22